翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon QuickSight コンソールへのアクセスのカスタマイズ
適用先: Enterprise Edition |
対象者: 管理者と Amazon QuickSight デベロッパー |
Enterprise Edition では、Amazon でユーザーがアクセスできる機能を制限できます QuickSight。Amazon QuickSight カスタムアクセス許可は、 IAM ポリシーを通じて適用されます。のすべての ID タイプに対して、ロール (管理者、作成者、リーダー) のカスタムアクセス許可を設定できます QuickSight。ユーザーレベルのカスタムアクセス許可を に適用することもできます。 AWS Identity and Access Management ユーザー。ユーザーレベルのカスタム許可は、指定されたユーザーについてのロールの既存のデフォルト、またはカスタムロールレベルの許可をオーバーライドします。
ユーザーレベルのカスタム許可には次の制限が適用されます。
-
ユーザーのデフォルトロールを超えるアクセス許可を付与することはできません。例えば、ユーザーに読み取りアクセスが付与されている場合、そのユーザーにダッシュボードを編集するための許可を付与することはできません。
-
アクセス許可をカスタマイズするには、 を使用するアクセス許可を持つ QuickSight 管理者である必要があります
"quicksight:CustomPermissions"
。
IAM ポリシーと QuickSight アクセス許可は同じではありません。ユーザーにアクセス許可を付与し、 IAMポリシーを持つロールを割り当てることはできますが、IAMポリシーは、ユーザーが 内で実行できる操作を制御するものではありません QuickSight。 QuickSight アセットには、カスタマイズに使用される独自のアクセス許可のセットがあります QuickSight。これらのアクセス許可は、 以外のリソースレベルで処理されますIAM。
カスタム許可プロファイルを作成して、次のオペレーションの任意の組み合わせに対するアクセスを制限できます。
アセット | カスタマイズ可能な許可 |
---|---|
データソースとデータセット |
データソースの作成または更新 |
データセットの作成または更新 |
|
データセットの共有 |
|
ダッシュボードと分析 |
異常検出の追加または実行 |
テーマの作成または更新 |
|
CSV または Excel へのエクスポート |
|
共有 |
|
フォルダ |
共有フォルダの作成 |
共有フォルダの名前変更 |
|
レポート |
作成 |
更新 |
|
E メールレポートのサブスクライブ |
共有フォルダに追加された項目は、アセットのカスタム許可にかかわらず共有されます。これは、ダッシュボード、分析、データセット、データソースに適用されます。
でカスタムアクセス許可プロファイルを作成するには、次の手順に従います QuickSight。
カスタム許可プロファイルを作成するには
-
QuickSight コンソールの任意のページから、右上隅にある管理 QuickSightを選択します。
QuickSight 管理者のみがメニューの管理 QuickSightオプションにアクセスできます。管理 QuickSightメニューにアクセスできない場合は、 QuickSight 管理者にお問い合わせください。
-
[Security & permissions (セキュリティとアクセス許可)] を選択します。
-
[許可を管理] で、[管理] を選択します。
-
次のいずれかのオプションを選択します。
-
既存のカスタム許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 点) を選択し、[表示/編集] を選択します。
-
新しいカスタム許可プロファイルを作成するには、[作成] を選択します。
-
-
カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。
-
[名前] で、カスタム許可プロファイルの名前を入力します。
-
[制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。例えば、ユーザーにデータソースを作成または更新させたくないが、それ以外の操作はすべて実行できるようにしたい場合は、[データソースを作成または更新] のみを選択します。
-
-
[Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。
-
変更が完了したら、カスタム許可プロファイルの名前を記録します。カスタムアクセス許可プロファイルをロールまたはAPIユーザーに適用できるように、カスタムアクセス許可プロファイルの名前をユーザーに提供します。
を使用してカスタムアクセス許可プロファイルを QuickSight ロールに適用する QuickSight API
カスタムアクセス許可プロファイルを作成したら、 QuickSight APIを使用して、ロールに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。
開始する前に、 をセットアップして設定する必要があります。 AWS CLI。のインストールの詳細については、「」を参照してください。 AWS CLI「 の最新バージョンのインストールまたは更新」を参照してください。 AWS CLI および の設定 AWS CLI の AWS Command Line Interface ユーザーガイド。また、 を使用するためのアクセス許可も必要です QuickSight API。
次の例では、 を呼び出しUpdateRoleCustomPermission
APIて、ロールに割り当てられたカスタムアクセス許可を更新します。
aws quicksight update-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --custom-permissions-namePERMISSIONNAME
\ --regionREGION
次の例では、ロールに割り当てられているカスタム許可プロファイルを返します。
aws quicksight describe-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --regionREGION
次の例では、ロールからカスタム許可プロファイルを削除します。
aws quicksight delete-role-custom-permission \ --role
ROLE
\ --aws-account-idAWSACCOUNTID
\ --namespace default \ --regionREGION
を使用してカスタムアクセス許可プロファイルを IAM ユーザーに適用する QuickSight API
次の例では、新しいIAMユーザーにカスタムアクセス許可を追加します。
aws quicksight register-user \ --iam-arn arn:aws:iam::
AWSACCOUNTID
:user/USER
\ --identity-type IAM \ --user-role AUTHOR \ --custom-permissions-namecustom-permissions-profile-name
\ --emailAWSACCOUNTID
\ --namespace default \
既存のIAMユーザーを新しいアクセス許可プロファイルに関連付けることもできます。次の例では、既存のIAMユーザーのカスタムアクセス許可プロファイルを更新しました。
aws quicksight update-user \ --user-name
USERNAME
\ --role AUTHOR \ --custom-permissions-namecustom-permissions-profile-name
\ --emailAWSACCOUNTID
\ --namespace default \
以下の例では、許可プロファイルから既存のユーザーを削除します。
aws quicksight update-user \ --user-name
USERNAME
\ --role AUTHOR \ --unapply-custom-permissions \ --emailAWSACCOUNTID
\ --namespace default
ロールまたはユーザーに適用されるカスタム許可をテストするには、ユーザーのアカウントにログインします。ユーザーが にログインすると QuickSight、アクセスできる最高の特権ロールが付与されます。ユーザーに付与できる最高の特権ロールは管理者です。ユーザーに付与できる最低の特権ロールは閲覧者です。Amazon でのロールの詳細については、 QuickSight「」を参照してくださいAmazon 内でのユーザーアクセスの管理 QuickSight。
データソースの共有を作成者のロールに制限するカスタム許可プロファイルを割り当てると、その作成者はデータソースの共有を許可するコントロールにアクセスできなくなります。代わりに、影響を受ける作成者は、データソースに対する閲覧専用の許可を持ちます。