AWS QuickSight - IAM策略管理

要管理 QuickSight 账户的 IAM 策略，您可以使用 root 用户或 IAM 凭证。建议使用 IAM 凭证来管理资源访问和策略，而不是 root 用户。

注册并使用 Amazon QuickSight 需要以下策略：

标准版

ds:AuthorizeApplication
ds:CheckAlias
ds:CreateAlias
ds:CreateIdentityPoolDirectory
ds:DeleteDirectory
ds:DescribeDirectories
ds:DescribeTrusts
ds:UnauthorizeApplication
iam:CreatePolicy
iam:CreateRole
iam:ListAccountAliases
quicksight:CreateUser
quicksight:CreateAdmin
quicksight:Subscribe

企业版

除了上述策略外，企业版还需要以下权限：

quicksight:GetGroupMapping
quicksight:SearchDirectoryGroups
quicksight:SetGroupMapping

您还可以允许**用户管理 QuickSight 中 AWS 资源的权限**。在两个版本中都应分配以下 IAM 策略：

iam:AttachRolePolicy
iam:CreatePolicy
iam:CreatePolicyVersion
iam:CreateRole
iam:DeletePolicyVersion
iam:DeleteRole
iam:DetachRolePolicy
iam:GetPolicy
iam:GetPolicyVersion
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListEntitiesForPolicy
iam:ListPolicyVersions
iam:ListRoles
s3:ListAllMyBuckets

为防止 AWS 管理员取消 QuickSight 订阅，您可以拒绝所有用户**“quicksight:Unsubscribe”**权限。

仪表盘嵌入的 IAM 策略

要在网页中嵌入 AWS QuickSight 仪表盘 URL，需要为用户分配以下 IAM 策略：

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": "quicksight:RegisterUser",
         "Resource": "*",
         "Effect": "Allow"
      },
      {
         "Action": "quicksight:GetDashboardEmbedUrl", 
         "Resource": "arn:aws:quicksight:us-east-1: 
         868211930999:dashboard/ 
         f2cb6cf2-477c-45f9-a1b3-639239eb95d8 ",
         "Effect": "Allow"
      }
   ]
}

您可以使用 QuickSight 中的 IAM 策略模拟器来管理和测试这些角色和策略。以下是访问 IAM 策略模拟器的链接：

https://policysim.aws.amazon.com/home/index.jsp?#

打印页面