AWS Quicksight - การจัดการนโยบาย IAM
ในการจัดการนโยบาย IAM สำหรับบัญชี Quicksight คุณสามารถใช้ข้อมูลรับรองผู้ใช้รูทหรือข้อมูลรับรอง IAM ขอแนะนำให้ใช้ข้อมูลรับรอง IAM เพื่อจัดการการเข้าถึงทรัพยากรและนโยบายแทนผู้ใช้รูท
ต้องใช้นโยบายต่อไปนี้ในการสมัครและใช้ Amazon Quicksight -
Standard Edition
- ds:AuthorizeApplication
- ds:CheckAlias
- ds:CreateAlias
- ds:CreateIdentityPoolDirectory
- ds:DeleteDirectory
- ds:DescribeDirectories
- ds:DescribeTrusts
- ds:UnauthorizeApplication
- iam:CreatePolicy
- iam:CreateRole
- iam:ListAccountAliases
- quicksight:CreateUser
- quicksight:CreateAdmin
- quicksight:Subscribe
Enterprise Edition
นอกเหนือจากนโยบายที่กล่าวถึงข้างต้นสิทธิ์ด้านล่างนี้จำเป็นสำหรับรุ่นองค์กร -
- quicksight:GetGroupMapping
- quicksight:SearchDirectoryGroups
- quicksight:SetGroupMapping
คุณยังสามารถอนุญาตไฟล์ user to manage permissions for AWS resources in Quicksight. ควรกำหนดนโยบาย IAM ตามทั้งสองฉบับ -
- iam:AttachRolePolicy
- iam:CreatePolicy
- iam:CreatePolicyVersion
- iam:CreateRole
- iam:DeletePolicyVersion
- iam:DeleteRole
- iam:DetachRolePolicy
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:GetRole
- iam:ListAttachedRolePolicies
- iam:ListEntitiesForPolicy
- iam:ListPolicyVersions
- iam:ListRoles
- s3:ListAllMyBuckets
ในการป้องกันไม่ให้ผู้ดูแลระบบ AWS ยกเลิกการสมัครจาก Quicksight คุณสามารถปฏิเสธผู้ใช้ทั้งหมดได้ “quicksight:Unsubscribe”
นโยบาย IAM สำหรับการฝังแดชบอร์ด
ในการฝัง URL แดชบอร์ด AWS Quciksight ในหน้าเว็บคุณต้องกำหนดนโยบาย IAM ต่อไปนี้ให้กับผู้ใช้ -
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-east-1:
868211930999:dashboard/
f2cb6cf2-477c-45f9-a1b3-639239eb95d8 ",
"Effect": "Allow"
}
]
}
คุณสามารถจัดการและทดสอบบทบาทและนโยบายเหล่านี้ได้โดยใช้โปรแกรมจำลองนโยบาย IAM ใน Quicksight ด้านล่างนี้คือลิงก์เพื่อเข้าถึงโปรแกรมจำลองนโยบาย IAM -
https://policysim.aws.amazon.com/home/index.jsp?#