IAM ロールを Quick に渡す - Amazon Quick
前提条件追加のポリシーのアタッチQuick での既存の IAM ロールの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ロールを Quick に渡す

 適用対象: Enterprise Edition 

IAM ユーザーが Quick にサインアップすると、Amazon Quick マネージドロール (デフォルトロール) の使用を選択できます。または、既存の IAM ロールを Amazon Quick に渡すこともできます。

以下のセクションを使用して、既存の IAM ロールを Amazon Quick に渡す

前提条件

ユーザーが IAM ロールを Amazon Quick に渡すには、管理者が次のタスクを完了する必要があります。

  • IAM ロールを作成します。IAM ロールの作成の詳細については、IAM ユーザーガイドの「IAM ロールの作成」を参照してください。

  • Amazon Quick がロールを引き受けることを許可する信頼ポリシーを IAM ロールにアタッチします。次の例を使用して、ロールのポリシーを作成します。次の信頼ポリシーの例では、クイックプリンシパルがアタッチされている IAM ロールを引き受けることを許可します。

    IAM 信頼ポリシーの作成とロールへのアタッチの詳細については、IAM ユーザーガイドの「ロールの修正 (コンソール)」を参照してください。

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • 管理者 (IAM ユーザーまたはロール) に次の IAM 許可を割り当てます。:

    • quicksight:UpdateResourcePermissions – これにより、Amazon Quick 管理者である IAM ユーザーに、Amazon Quick でリソースレベルのアクセス許可を更新するアクセス許可が付与されます。Amazon Quick で定義されるリソースタイプの詳細については、IAM ユーザーガイド「クイックのアクション、リソース、および条件キー」を参照してください。

    • iam:PassRole – これにより、Amazon Quick にロールを渡すアクセス許可がユーザーに付与されます。詳細については、IAM ユーザーガイドの「 AWS サービスにロールを渡すアクセス許可をユーザーに付与する」を参照してください。

    • iam:ListRoles – (オプション) これにより、Amazon Quick の既存のロールのリストを表示するアクセス許可がユーザーに付与されます。このアクセス権限が提供されない場合、ARN を使用して既存の IAM ロールを使用できます。

    以下は、リソースレベルのアクセス許可の管理、IAM ロールの一覧表示、Quick での IAM ロールの受け渡しを許可する IAM アクセス許可ポリシーの例です。

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Amazon Quick で使用できる IAM ポリシーのその他の例については、「Amazon Quick の IAM ポリシーの例」を参照してください。

ユーザーまたはユーザーグループにアクセス許可ポリシーを割り当てる詳細については、IAM ユーザーガイドの「IAM ユーザーのアクセス許可の変更」を参照してください。

追加のポリシーのアタッチ

Amazon Athena や Amazon S3 などの別の AWS サービスを使用している場合は、特定のアクションを実行するためのアクセス許可を Amazon Quick に付与するアクセス許可ポリシーを作成できます。 Amazon S3 その後、後で Amazon Quick に渡す IAM ロールにポリシーをアタッチできます。次に、追加のアクセス権限ポリシーを設定して IAM ロールにアタッチする方法の例を示します。

Athena での Amazon Quick の管理ポリシーの例については、「Amazon AWSQuicksightAthenaAccess 管理ポリシー」を参照してください。 Amazon Athena IAM ユーザーは、次の ARN を使用して Amazon Quick でこのロールにアクセスできます: arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess

以下は、Amazon S3 の Amazon Quick のアクセス許可ポリシーの例です。Amazon S3 での IAM の使用方法の詳細については、Amazon S3 ユーザーガイドの「Amazon S3 の Identity and Access Management」を参照してください。

Amazon Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを作成する方法については、 AWS ナレッジセンターの「Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを設定する方法」を参照してください。

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Quick での既存の IAM ロールの使用

Amazon Quick 管理者で、Amazon Quick リソースを更新して IAM ロールを渡すアクセス許可がある場合は、Amazon Quick で既存の IAM ロールを使用できます。Amazon Quick で IAM ロールを渡すための前提条件の詳細については、前のリストで概説した前提条件を参照してください。

Amazon Quick で IAM ロールを渡す方法については、次の手順に従います。

Amazon Quick で既存の IAM ロールを使用するには

  1. Amazon Quick で、右上のナビゲーションバーでアカウント名を選択し、Manage QuickSight を選択します。

  2. 開いた Amazon Quick の管理ページで、左側のメニューでセキュリティとアクセス許可を選択します。

  3. 開いた Security & Permissions ページで、Amazon Quick Access to AWS servicesManage を選択します。

  4. [IAM ロール] は [Use an existing role] を選択し、次のいずれかを実行します。

    • リストから使用するロールを選択します。

    • または、既存の IAM ロールのリストが表示されない場合は、ロールの IAM ARN を次の形式で入力できます: arn:aws:iam::account-id:role/path/role-name

  5. [保存] を選択します。