2026-01
使用 AWS IAM 身份中心和 Amazon QuickSight 管理访问权限 商业智能博客
使用 AWS IAM 身份中心和 Amazon QuickSight 管理访问权限
主要要点
介绍如何透过 AWS IAM 身份中心的帐户实例来管理 QuickSight 的用户和群组访问权限。探讨何时应使用组织实例和帐户实例的最佳情况。描述如何设定帐户实例以便与 QuickSight 集成,以及如何利用该实例访问相关数据。AWS IAM 身份中心IAM Identity Center能够帮助管理员安全地创建或连接工作人员身份,并管理他们在各个 AWS 帐户和应用程序中的访问权限。利用 IAM 身份中心,您可以在 AWS 中创建和管理用户身份,或者连接到现有的身份源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud、Google Workspace、Microsoft Entra ID 等。这简化了对 AWS 应用程序的访问管理。
一个 实例 是 IAM 身份中心的一次单独部署,该中心提供两种实例类别: 组织实例:当您配合 AWS 组织 启动 IAM 身份中心时,您就是在创建一个 IAM 身份中心的组织实例。这是启用 IAM 身份中心的主要且推荐的方法。 帐户实例:您可以为单个 AWS 帐户创建一个 IAM 身份中心的 实例,这称为 IAM 身份中心的帐户实例。帐户实例仅用于管理单个 AWS 帐户内的用户和群组访问。
Amazon QuickSight 是一款支持 IAM 身份中心的应用程序。管理员可以创建新的 QuickSight 帐户,并使用 IAM 身份中心管理 QuickSight 的用户和群组。用户和群组身份可保存在 IAM 身份中心内部,或根据您的需要配置为使用第三方身份提供者IdP。管理员可以使用其 IdP 中的群组为 QuickSight 用户分配角色管理员、作者和读者。
何时使用 IAM 身份中心的组织实例或帐户实例
您可以将 QuickSight 与 IAM 身份中心的组织实例集成,以便从您组织的身份库中启用对多个 AWS 帐户和应用程序如 QuickSight中的用户和群组的访问。举例来说,假设您使用像 Okta 这样的 SAML 20 兼容第三方 IdP 服务来集中管理您组织的内部工作人员身份。不同部门使用各自的 QuickSight 帐户,或者您在不同的 QuickSight 帐户中部属资源,例如开发、UAT 和生产环境。在这种情况下,使用组织实例可以集中管理整个组织的用户和群组,并中央身份验证至各种 AWS 和 QuickSight 帐户。
帐户实例的 IAM 身份中心在以下 QuickSight 使用情况中非常有用:
用户管理用于独立软件供应商ISV的业务应用程序:您可以集中管理来自不同客户组织的用户和群组,并为这些用户的 QuickSight 和商业应用程序中的资源启用访问控制。需要为内部和外部用户提供 QuickSight 访问权限的情况:您可能需要启用 QuickSight 的访问权限,这些用户不能被配置到组织实例中。跨多个业务子公司创建无缝 QuickSight 访问权限的场景:若不同子公司需要协作并访问共用的 QuickSight 资源,可以使用帐户实例来创建所需的用户和群组。为嵌入 QuickSight 的试用版授予访问权限:您可以使用帐户实例授予特定用户对 QuickSight 嵌入式仪表板的访问权限,并在试用期结束时撤回这些权限。这篇文章探讨了如何构建一个基于 QuickSight 嵌入式分析的 SaaS 业务应用程序,并使用帐户实例来管理访问权限的步骤。
使用 IAM 身份中心的优势
如果您是 ISV,并提供给不同客户组织的业务用户使用的应用程序,您可以在中心化的 IdP 中管理这些用户和群组。若您在应用程序中也提供 QuickSight 嵌入式分析,可以使用 IdP 管理的用户和群组于 QuickSight 中进行自动同步。这样用户和群组的集成,使得一切过程变得更加简便。
将帐户实例与 QuickSight 集成有以下优势: 凭据在单一身份库中集中存储。 IdP 群组无缝同步至 IAM 身份中心,简化了对群组授权和撤销的过程。 Application and resource authorization works for users and groups created in your IdP
解决方案概述
这篇文章将展示如何使用帐户实例配置 QuickSight 并管理用户和群组。一旦配置完成,对用户和群组的配置和撤消将自动同步到 QuickSight。此过程通过以下步骤实现:1 启用帐户实例。2 管理身份源。3 注册 QuickSight 与 IAM 身份中心。4 使用文件夹创建和组织资产。
前置条件
在创建帐户实例之前,请确保没有阻碍启用的约束出现。此外,您需要完成与 Okta 目录的集成,并将其用作身份源。请参考 Integrate Okta with AWS IAM Identity Center to manage users roles and multiaccount access 了解如何进行集成。
创建帐户实例
您需要在 AWS 帐户中启用 IAM 身份中心。
管理身份源
在首次创建 IAM 身份中心实例后,它将自动配置为使用身份中心目录作为预设身份源。本文章中使用 Okta 作为外部 IdP 身份库。您需要在 Okta 中为 QuickSight 创建至少三个群组:admin、author 和 reader。
注册并配置 QuickSight
注册 QuickSight 时需要使用先前创建的 Okta 群组名称,确保匹配适当的角色。完成注册后,您可以登录 QuickSight 页面。
实现共享和组织仪表板
可以根据不同的客户使用共享文件夹设置 QuickSight 仪表板,确保每个客户的资料独立。在此过程中,您可以设置只对特定客户组授予访问权限。
使用及总结
您的应用程序和 QuickSight 的用户身份集中于一处,便与其他网站服务统一管理。通过综合上述内容,我们展示了如何实现和管理 IAM 身份中心的帐户实例并将其与 QuickSight 结合使用,希望能为您在 SaaS 应用中提供更优质的用户体验。
参考作者
本篇文章的作者均来自于 AWS,专注于提供最佳业务分析与数据解决方案。
黑豹机场本篇文章涵盖了如何使用 IAM 身份中心与 QuickSight,对于寻求细致用户管理的团队来说,这将是一项极为便利的功能。
