For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
如何對 Quick Sight 中的 AWS 資源權限錯誤進行疑難排解?
我想對在嘗試編輯 Amazon Quick Sight 對 AWS 資源的權限時,收到的錯誤進行疑難排解。
簡短描述
如果您在 AWS Identity and Access Management (IAM) 主控台中編輯 Quick Sight 對 AWS 資源的權限,那麼您可能會收到下列錯誤:
- 「The role used by Quick Sight for AWS resource access was modified to an un-recoverable state outside of Quick Sight, so you can no longer edit AWS resource permissions in Quick Sight.」
- 「We were unable to update Quick Sight permissions for AWS resources.Either you are not authorized to edit Quick Sight permissions on AWS resources, or the Quick Sight permissions were changed using the IAM console and are therefore no longer updateable through Quick Sight.」
- 「We cannot update the IAM Role」
- 「Quick Sight has detected unknown policies attached to following roles please detach them and retry」
- 「Something went wrong For more information see Set IAM policy」
最佳做法是在 Quick Sight 主控台中編輯 Quick Sight 對 AWS 資源的權限。
解決方法
當 Quick Sight 與其他 AWS 服務互動時,Quick Sight 會承擔 aws-Quick Sight-service-role-v0 和 aws-Quick Sight-s3-consumers-role-v0 服務角色,然後將受管政策附加到這些角色。請移除這些服務角色,然後移除附加的受管政策。最後,還原 Quick Sight 對 AWS 服務的存取權。
**重要:**在刪除 IAM 政策之前,請務必先將其備份。您可以使用備份來參考您先前有權存取的 Amazon Simple Storage Service (Amazon S3) 帳戶資源。
確認 Quick Sight 和 IAM 權限,然後移除服務角色和政策
請完成下列步驟:
-
查看您的 Quick Sight 使用者帳戶,並確認您擁有具有 ADMIN 角色的使用者。
-
開啟 IAM console (IAM 主控台)。
-
(選用) 如果您尚未執行此操作,請建立 IAM 使用者管理員。
-
請確定您的 IAM 政策允許您建立和刪除 Quick Sight 服務和角色。
IAM 政策範例:{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:DetachRolePolicy", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource":[ "arn:aws:iam::Account-id:role/service-role/aws-quicksight-service-role-v0" "arn:aws:iam::Account-id:role/service-role/aws-quicksight-s3-consumers-role-v0" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicyVersion", "iam:GetRole", "iam:GetPolicy", "iam:ListPolicyVersions", "iam:ListAttachedRolePolicies", "iam:GenerateServiceLastAccessedDetails", "iam:ListEntitiesForPolicy", "iam:ListPoliciesGrantingServiceAccess", "iam:ListRoles", "iam:GetServiceLastAccessedDetails", "iam:ListAccountAliases", "iam:ListRolePolicies", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "iam:DeletePolicy", "iam:CreatePolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion" ], "Resource": [ "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightIAMPolicy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRDSPolicy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3Policy", "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightRedshiftPolicy" "arn:aws:iam::Account-id:policy/service-role/AWSQuickSightS3ConsumersPolicy" ] } ] } -
在導覽窗格中,選擇 Roles (角色)。
-
在角色搜尋窗格中,找到並刪除 aws-quicksight-service-role-v0 和 aws-quicksight-s3-consumers-role-v0 IAM 角色。
**注意:**當您在 Quick Sight 中設定權限時,Quick Sight 會自動建立這些服務角色。如果 Quick Sight 未建立 aws-quicksight-s3-consumers-role-v0 角色,請刪除 aws-quicksight-service-role-v0 角色,然後繼續。 -
在導覽窗格中,選擇 Policies (政策)。
-
在政策搜尋窗格中,找到並刪除客戶管理的 IAM 政策。例如,刪除步驟 4 中範例 IAM 政策中的以下客戶管理政策:
AWSQuickSightRedshiftPolicy
AWSQuickSightRDSPolicy
AWSQuickSightIAMPolicy
AWSQuickSightS3Policy
AWSQuickSightS3ConsumersPolicy
**注意:**當您允許 Quick Sight 存取 AWS 資源時,Quick Sight 會使用 AWS 受管政策。例如,Quick Sight 會使用 AWSQuick SightAthenaAccess 政策來控制對特定 AWS 資源的存取權。您無法移除 AWS 受管政策。
還原 Quick Sight 對 AWS 服務的存取權
請完成下列步驟:
- 開啟 Quick Sight console (Quick Sight 主控台)。
- 在導覽列中,選擇使用者名稱下拉式清單,然後選擇 Manage Quick Sight (管理 Quick Sight)。
- 在導覽窗格中,選擇 Security & Permissions (安全和權限)。
- 在 Quick Sight access to AWS services (Quick Sight 存取 AWS 服務) 下方,選擇 Manage (管理)。
- 對於 Allow access and autodiscovery for these resources (允許存取和自動探索這些資源),選擇要還原的 AWS 服務。
- 選擇 Save (儲存)。
如需如何為 Quick Sight 設定存取其他 AWS 服務中資源的詳細資訊,請參閱存取資料來源。
- 語言
- 中文 (繁體)
相關內容
- 已提問 5 個月前
- 已提問 2 年前
