Amazon QuickSight コンソールへのアクセスのカスタマイズ

適用先: Enterprise Edition

対象者: 管理者と Amazon QuickSight デベロッパー

エンタープライズエディションでは、ユーザーが Amazon QuickSight でアクセスできる機能を制限できます。Amazon QuickSight カスタム許可は、IAM ポリシーによって適用されます。QuickSight のすべての ID タイプのロール (管理者、作成者、閲覧者) について、カスタム許可を設定できます。ユーザーレベルのカスタム許可を AWS Identity and Access Management ユーザーに適用することもできます。ユーザーレベルのカスタム許可は、指定されたユーザーについてのロールの既存のデフォルト、またはカスタムロールレベルの許可をオーバーライドします。

ユーザーレベルのカスタム許可には次の制限が適用されます。

• ユーザーのデフォルトのロールを超える許可を付与することはできません。例えば、ユーザーに読み取りアクセスが付与されている場合、そのユーザーにダッシュボードを編集するための許可を付与することはできません。

• 許可をカスタマイズするには、"quicksight:CustomPermissions" を使用する許可を持つ QuickSight 管理者である必要があります。

IAM ポリシーと QuickSight の許可は同じものではありません。ユーザーには許可を付与し、IAM ポリシーを使ってロールを割り当てることができますが、IAM ポリシーは 内でユーザーが実行できる操作を制御しません。QuickSight アセットには、QuickSight 固有の機能をカスタマイズするために使用される独自の許可セットがあります。これらの許可は、IAM 外で、リソースレベルで処理されます。

カスタム許可プロファイルを作成して、次のオペレーションの任意の組み合わせに対するアクセスを制限できます。

アセット	カスタマイズ可能な許可
データソースとデータセット	データソースの作成または更新
	データセットの作成または更新
	データセットの共有
ダッシュボードと分析	異常検出の追加または実行
	テーマの作成または更新
	CSV または Excel にエクスポート
	共有
フォルダ	共有フォルダの作成
	共有フォルダの名前変更
レポート	作成
	更新
	E メールレポートのサブスクライブ

共有フォルダに追加された項目は、アセットのカスタム許可にかかわらず共有されます。これは、ダッシュボード、分析、データセット、データソースに適用されます。

QuickSight でカスタム許可プロファイルを作成するには、次の手順を使用します。

カスタム許可プロファイルを作成するには

1. QuickSight コンソールの任意のページから、右上の [QuickSight を管理] を選択します。

   QuickSight 管理者のみが [QuickSight を管理] メニューオプションにアクセスできます。[QuickSight を管理] メニューにアクセスできない場合は、QuickSight 管理者に問い合わせて、サポートを依頼してください。

2. [Security & permissions (セキュリティとアクセス許可)] を選択します。

3. [許可を管理] で、[管理] を選択します。

4. 次のいずれかのオプションを選択します。

   • 既存のカスタム許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 点) を選択し、[表示/編集] を選択します。

   • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

   • [名前] で、カスタム許可プロファイルの名前を入力します。

   • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。例えば、ユーザーにデータソースを作成または更新させたくないが、それ以外の操作はすべて実行できるようにしたい場合は、[データソースを作成または更新] のみを選択します。

6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

QuickSight API を使用してカスタム許可プロファイルを QuickSight ロールに適用する

カスタム許可プロファイルを作成した後、QuickSight API を使用して、ロールに割り当てられたカスタム許可プロファイルを追加または変更します。

開始する前に、AWS CLI を設定する必要があります。AWS CLI のインストールの詳細については、「AWS Command Line Interface ユーザーガイド」の「最新バージョンの AWS CLI をインストールまたは更新する」および「AWS CLI を設定する」を参照してください。QuickSight API を使用するための許可も必要です。

次の例では、UpdateRoleCustomPermission API を呼び出して、ロールに割り当てられているカスタム許可を更新します。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、ロールに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

次の例では、ロールからカスタム許可プロファイルを削除します。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

QuickSight API を使用してカスタム許可プロファイルを IAM ユーザーに適用する

次の例では、新しい IAM ユーザーにカスタム許可を追加します。

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

既存の IAM ユーザーを新しい許可プロファイルに関連付けることもできます。次の例では、既存の IAM ユーザーのカスタム許可プロファイルを更新しました。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

以下の例では、許可プロファイルから既存のユーザーを削除します。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

ロールまたはユーザーに適用されるカスタム許可をテストするには、ユーザーのアカウントにログインします。ユーザーが QuickSight にログインすると、このユーザーがアクセスできる最高の特権ロールが付与されます。ユーザーに付与できる最高の特権ロールは管理者です。ユーザーに付与できる最低の特権ロールは閲覧者です。Amazon QuickSight のロールに関する詳細については、「Amazon QuickSight 内でのユーザーアクセスの管理」を参照してください。

データソースの共有を作成者のロールに制限するカスタム許可プロファイルを割り当てると、その作成者はデータソースの共有を許可するコントロールにアクセスできなくなります。代わりに、影響を受ける作成者は、データソースに対する閲覧専用の許可を持ちます。