在 Amazon Quick Suite 中创建自定义权限配置文件 - Amazon Quick Suite
快速套件家长功能快捷套件功能为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick Suite 账户创建自定义权限配置文件为使用 Amazon Quick Suite 托管用户的亚马逊 Quick Suite 账户创建自定义权限配置文件将自定义权限配置文件应用于角色将自定义权限配置文件应用于用户将自定义权限配置文件应用于账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Quick Suite 中创建自定义权限配置文件

 适用于:企业版 
   目标受众:管理员和 Amazon Quick Suite 开发者 

在企业版中,您可以限制人们可以在 Amazon Quick Suite 中访问的功能。您可以在 Quick Suite 中为所有身份类型配置账户、角色(管理员、作者、读者)和用户级别的自定义权限。用户级自定义权限会为指定用户覆盖角色的现有默认权限或自定义角色级权限。用户级自定义权限角色级自定义权限会覆盖账户级自定义权限

下面的限制适用于自定义权限。

  • 您不能授予高于用户默认角色的权限。例如,如果用户拥有读者访问权限,则您不能向该用户授予编辑控制面板的权限。

  • 要自定义用户或角色权限,您需要成为具有以下 IAM 权限的 Amazon Quick Suite 管理员:

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

您可以创建自定义权限配置文件以限制对以下功能的任意组合的访问。父权能可用于限制对整个资产功能集的访问权限。禁用父权能后,所有关联的子功能也将被禁用。

使用此机制无法关闭没有父权能的功能。相反,必须将其限制为单个功能。

快速套件家长功能

家长能力 功能

分析

限制所有与分析相关的功能

控制面板

限制所有与仪表板相关的功能

操作

限制所有与操作相关的功能

自动化

限制所有与自动化相关的功能

聊天代理

限制所有与 Chat Agent 相关的功能

扩展

限制所有与扩展相关的功能

限制所有与 Flows 相关的功能

知识库

限制所有与知识库相关的功能

研究

限制所有与研究相关的功能

空间

限制所有与 Spaces 相关的功能

快捷套件功能

功能 亚马逊 Quick Suite 行为 家长能力

创建聊天代理

  • 无法查看或访问任何聊天代理

  • 代理库和导航被隐藏

  • 仍然可以访问和创建其他 Quick Suite 资源,例如创建用于与团队共享文件的空间或用于结构化交互的流程(前提是这些功能不受限制)

聊天代理

允许创作者在未经批准的情况下共享

  • 未经批准,创作者不得共享流程

使用 Bedrock 模型进行输出优化

  • 限制基岩模型的使用

启用 UI 代理来执行浏览器任务

  • 限制 Flows UI 代理执行浏览器任务

使用互联网来改善结果

  • 限制在聊天代理和研究中使用基于 Web 的搜索

--

共享分析

  • 文件” 菜单上的 “共享” 选项已禁用,无法进行分析

分析

添加或运行异常检测

  • 无法访问 Insight s 菜单上的 “向工作表添加异常” 选项,无法进行分析

  • 无法访问 “对象” 菜单上的 “异常” 选项以进行分析

  • 用户将无法在工作表中添加异常检测功能

分析

打印表格

  • 无法访问 “文件” 菜单上的 “打印” 选项以进行分析

  • 仪表板禁用 “导出” 菜单上的 “打印” 选项

  • 用户将无法打印表单

--

将工作表导出为 PDF

  • 无法访问 “文件” 菜单上的 “导出为 PDF” 选项,无法进行分析

  • 仪表板已禁用 “导出” 菜单上的 “生成 PDF” 选项

  • 用户将无法将工作表导出为 PDF 文件

--

创建或更新主题

  • 无法访问 “编辑” 菜单上的 “主题” 选项,无法进行分析

  • 用户将无法创建自定义主题

  • 用户将无法编辑或更新现有主题

--

共享控制面板

  • 仪表板无法访问导航菜单上的共享图标

控制面板

将视觉内容导出为 CSV

  • 分析和仪表板均禁止访问每个视觉对象的三点菜单上的 “导出到 CSV” 选项

  • 无法访问 “对象” 菜单上的 “将视觉对象导出为 CSV” 选项,无法进行分析

  • 用户将无法将视觉效果导出到 CSV 文件

--

将可视化文件导出到 E

  • 分析和仪表板均禁止访问每个表格的三点菜单上的 “导出到 Excel” 选项

  • 无法访问 “对象” 菜单上的 “将表格导出到 Excel” 选项,无法进行分析

  • 用户将无法将表格导出到 Excel 文件

--

创建或更新所有数据集

  • 创建或更新所有数据集的权限将被禁用

--

仅创建或更新 SPICE 数据集

  • 创建或更新 SPICE 数据集的权限将被禁用

--

共享数据集

  • 共享数据集的访问权限将被禁用

--

查看账户 SPICE 容量

  • 限制检索账户的 SPICE 容量

--

创建或更新所有数据源

  • 将禁用创建或更新所有数据源的权限

--

共享数据源

  • 共享数据源的访问权限将被禁用

--

创建共享文件夹

  • 限制创建共享文件夹

--

重命名共享文件夹

  • 限制重命名共享文件夹

--

创建或更新预设电子邮件报告

  • 板已禁用 “计划” 菜单上的 “计划” 选项

  • 仪表板的 “日程安排” 菜单上的 “最近快照” 选项已禁用

  • 用户将无法创建或更新预设电子邮件报告

--

订阅预定电子邮件报告

  • 用户将无法订阅预定的电子邮件报告

控制面板

预定电子邮件报告中的 CSV 附件

  • 仪表板的 “日程安排” 菜单的 “内容” 部分中的 CSV 选项已禁用

  • 用户将无法在预定的电子邮件报告中附加 CSV 文件

--

预定电子邮件报告中的 Excel 附件

  • 仪表板已禁用 “日程安排” 菜单中 “内容” 部分的 Excel 选项

  • 用户将无法在预定的电子邮件报告中附加 Excel 文件

--

预定电子邮件报告中的 PDF 附件

  • 仪表板已禁用 “日程安排” 菜单的 “内容” 部分中的 PDF 选项

  • 用户将无法在预定的电子邮件报告中附加 PDF 文件

--

预定电子邮件报告中的内容

  • 用户只能以可下载链接的形式在预定电子邮件报告中收到内容,这些链接在登录后处于封闭状态

  • 将表格包含在电子邮件正文中,“日程安排” 菜单中的 “文件附件” 选项将被忽略

  • 图片将不包含在预定的电子邮件报告中

--

创建或更新阈值警报

  • 仪表板已禁用 “警报” 菜单的访问权限

  • 用户将无法创建或更新阈值警报

--

可以为与 IAM 身份中心、Active Directory 集成的亚马逊 Quick Suite 账户或拥有 Amazon Quick Suite 托管用户的亚马逊 Quick Suite 账户创建自定义权限配置文件。Amazon Quick Suite 账户使用的身份类型决定了 Amazon Quick Suite 管理员配置自定义权限配置文件的方式。

以下过程向您展示如何控制对 Amazon Quick Suite 功能和相应功能的访问权限。

控制对 Amazon Quick Suite 功能和功能的访问权限

  1. 登录 Amazon Quick Suite 控制台。

  2. 选择管理 Quick Suite

  3. 在管理员控制台的左侧导航菜单中,选择权限,然后选择自定义权限

  4. 在 “自定义权限” 中,从 “配置文件” 中选择 “新建配置文件” 或选择编辑默认配置文件。

  5. 在 “新建个人资料” 中,执行以下操作:

    • 在 “限制功能” 中 — 通过选中或取消选中相应的选项,选择是否允许系统使用特定功能。

    • 在 “限制功能” 中 — 通过选中或取消选中相应的选项来选择是否允许特定功能。

为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick Suite 账户创建自定义权限配置文件

Amazon Quick Suite 账户管理员可以使用以下步骤为与 IAM 身份中心或 Active Directory 集成的亚马逊 Quick Suite 账户创建自定义权限配置文件。

为与 IAM 身份中心或 Active Directory 集成的 Amazon Quick Suite 账户创建自定义权限配置文件

  1. 登录 Amazon 管理控制台

  2. 打开亚马逊 Quick Suite。

  3. Amazon Quick Suite 管理控制台打开。选择 “自定义权限”

  4. 此时将打开管理自定义权限页面。选择以下任一选项。

    • 要创建新的自定义权限配置文件,请选择创建

    • 要编辑或查看现有的自定义权限配置文件,请选择所需配置文件旁边的省略号(三个点),然后选择编辑

  5. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。

    • 对于名称,为自定义权限配置文件输入名称。

    • 对于限制,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据源,但希望他们能够执行其他所有操作,请仅选择创建或更新数据源

  6. 选择创建更新,确认您的选择。要返回而不进行任何更改,请选择返回

  7. 完成更改后,记录自定义权限配置文件的名称。向 API 用户提供自定义权限配置文件的名称,以便他们将自定义权限配置文件应用于角色或用户。

为使用 Amazon Quick Suite 托管用户的亚马逊 Quick Suite 账户创建自定义权限配置文件

Amazon Quick Suite 账户管理员可以使用以下步骤为使用亚马逊 Quick Suite 托管用户的亚马逊 Quick Suite 账户创建自定义权限配置文件。

为 Amazon Quick Suite 托管用户创建自定义权限配置文件

  1. 打开 Quick Suite 控制台

  2. 在 Amazon Quick Suite 控制台的任何页面上,选择右上角的 “管理 Quick Suite”。

    只有 Amazon Quick Suite 管理员才能访问 “管理快速套件” 菜单选项。如果您无权访问 “管理 Quick Suite” 菜单,请联系您的 Amazon Quick Suite 管理员寻求帮助。

  3. 选择 “自定义权限”。您也可以选择 “管理用户” 部分,然后选择 “管理自定义权限”。

  4. 此时将打开管理自定义权限页面。选择以下任一选项。

    • 要创建新的自定义权限配置文件,请选择创建

    • 要编辑或查看现有的自定义权限配置文件,请选择所需配置文件旁边的省略号(三个点),然后选择编辑

  5. 如果要创建或更新自定义权限配置文件,请为以下项目做出选择。

    • 对于名称,为自定义权限配置文件输入名称。

    • 对于限制,选择要拒绝的选项。您未选择的任何选项都被允许。例如,如果您不希望用户创建或更新数据来源,但希望他们能够执行其他任何操作,请仅选择创建或更新数据来源

  6. 选择创建更新,确认您的选择。要返回而不进行任何更改,请选择返回

  7. 完成更改后,记录自定义权限配置文件的名称。向 API 用户提供自定义权限配置文件的名称,以便他们将自定义权限配置文件应用于角色或用户。

创建自定义权限配置文件后,使用 Amazon Quick Suite APIs 添加或更改分配给用户、角色或账户的自定义权限配置文件。拥有足够权限的用户还可以使用该AWS::QuickSight::CustomPermissions Amazon CloudFormation 资源来管理 Amazon Quick Suite 自定义权限配置文件。使用以下主题详细了解如何使用 Amazon Quick Suite 管理自定义权限配置文件 APIs。

使用亚马逊 Quick Suite API 将自定义权限配置文件应用于亚马逊 Quick Suite 角色

创建自定义权限配置文件后,使用 Amazon Quick Suite APIs 添加或更改分配给角色的自定义权限配置文件。

在开始之前,您需要设置和配置 Amazon CLI。有关安装 Amazon CLI 的更多信息,请参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CL Amazon I 和配置 CLI。您还需要权限才能使用 Amazon Quick Suite API。

以下示例通过调用 UpdateRoleCustomPermission API 来更新分配给角色的自定义权限。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

以下示例返回分配给角色的自定义权限配置文件。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

以下示例将自定义权限配置文件从角色中删除。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

使用 Amazon Quick Suite API 向用户应用自定义权限配置文件

以下示例将自定义权限配置文件应用于用户。

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

以下示例将自定义权限配置文件从用户中删除。

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

以下示例向新的 Amazon Quick Suite IAM 用户添加了自定义权限。

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

您还可以将现有 IAM 用户与新的权限配置文件关联。以下示例对现有 IAM 用户的自定义权限配置文件进行了更新。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

以下示例将现有用户从权限配置文件中移除。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

要测试应用于某个角色或用户的自定义权限,请登录该用户的账户。当用户登录 Amazon Quick Suite 时,他们将被授予他们有权访问的最高权限角色。可以授予用户的最高权限角色是“管理员”。可以授予用户的最低权限角色是 Reader。有关 Amazon Quick Suite 中角色的更多信息,请参阅在 Ama zon Quick Suite 中管理用户访问权限

如果您分配的自定义权限配置文件将数据来源共享限制给作者的角色,则该作者将无法再访问允许数据来源共享的控件。相反,受影响的作者对数据来源拥有仅查看权限。

将自定义权限配置文件应用于账户

将自定义权限配置文件应用于账户

  1. 打开 Quick Suite 控制台

  2. 从右上角选择配置文件图标。

  3. 选择管理 Quick Suite。只有 Amazon Quick Suite 管理员才能查看此页面。

  4. 选择 “自定义权限”。如果您的 Quick Suite 账户使用 Quick Suite 托管用户,也可以选择 “管理用户” 部分,然后选择 “管理自定义权限”。

  5. 找到所需的账户自定义权限。在操作下的选项菜单中,选择设置为账户配置文件

使用 Quick Suite 将自定义权限配置文件应用于账户 APIs

创建自定义权限配置文件后,使用 Quick Suite API 添加或更改分配给账户的自定义权限配置文件。

在开始之前,您需要设置和配置 Amazon CLI。有关安装 Amazon CLI 的更多信息,请参阅 Amazon 命令行界面用户指南中的安装或更新最新版本的 Amazon CL Amazon I 和配置 CLI。您还需要以下 IAM 权限:quicksight:UpdateAccountPermissionquicksight:DescribeAccountPermissionquicksight:DeleteAccountCustomPermission

以下示例通过调用 UpdateAccountPermission API 来更新分配给账户的自定义权限。

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

以下示例返回分配给账户的自定义权限配置文件。

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

以下示例从账户中取消应用自定义权限配置文件。

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION