Amazon QuickSight コンソールへのアクセスのカスタマイズ
適用先: Enterprise Edition |
対象者: 管理者と Amazon QuickSight デベロッパー |
Enterprise Edition では、ユーザーが Amazon QuickSight コンソールでアクセスできる機能を選択できます。Amazon QuickSight カスタム許可は、IAM ポリシーによって適用されます。これらは、QuickSight ユーザーを QuickSight のデフォルトのセキュリティコホート (管理者、作成者、閲覧者) のいずれかに割り当てることによって通常付与される許可を上書きします。
以下の制限が適用されます。
-
カスタム許可を機能させるには、AWS Identity and Access Management (IAM) フェデレーティッドユーザーを使用する必要があります。
-
他のユーザーのデフォルトのセキュリティコホートを超える許可を付与することはできません。たとえば、閲覧者アクセス権限を持つユーザーに、ダッシュボードの編集許可を付与することはできません。
-
許可をカスタマイズするには、
"quicksight:*CustomPermissions"
を使用する許可を持つ QuickSight 管理者である必要があります。
IAM ポリシーと QuickSight 許可は、互いに分離しています。ユーザーにはアクセス許可を付与し、IAM ポリシーを使ってロールを割り当てることができますが、IAM ポリシーは QuickSight 内でユーザーが実行できる操作を制御しません。QuickSight リソースには、QuickSight 固有の機能へのアクセスをカスタマイズするために使用される独自の許可セットがあります。これらの許可は、IAM 外で、リソースレベルで処理されます。
カスタム許可プロファイルを使用することにより、以下の操作の任意の組み合わせへのアクセスを制限できます。
アセット | カスタマイズ可能な許可 |
---|---|
データソースとデータセット |
データソースの作成または更新 データセットの作成または更新 データセットの共有 |
ダッシュボードと分析 |
異常検出の追加または実行 テーマの作成または更新 CSVへのエクスポート/Excelへのエクスポート 共有 |
フォルダ |
共有フォルダの作成 共有フォルダの名前変更 |
レポート |
作成 更新 E メールレポートのサブスクライブ |
注記
フォルダーに追加されたアイテムは、カスタム権限にかかわらず共有されます。これは、ダッシュボード、分析、データセットに適用されます。
一連のカスタム権限の名前付きプロファイルを作成するには
-
右上のプロファイルメニューを開き、[Manage QuickSight (QuickSight の管理)] を選択します。このプロセスを完了するには、Amazon QuickSight 管理者である必要があります。
-
左側の [Manage users (ユーザーの管理)] を選択して、[Manage users (ユーザーの管理)] 画面を開きます。
-
[Manage permissions (権限の管理)] を選択します。[Manage custom permissions (カスタム権限の管理)] 画面が表示されます。
-
次のいずれかのオプションを選択します。
-
既存のカスタム権限プロファイルを表示または編集するには、右側の省略記号 (
…
) メニューの [View/Edit (表示/編集)] を選択します。 -
新しいカスタム権限プロファイルを作成するには、画面下側の [Create (作成)] を選択します。
-
-
作成中または更新中でも、次のアイテムを選択します。
-
[Name (名前)] — カスタム権限プロファイルの名前を入力します。
-
制限 – 拒否するオプションを選択します。
選択されていないオプションはすべて許可されます。例えば、ユーザーにデータソースの作成または更新を行ってほしくないが、他の操作は実行しても問題ない場合は、[Creating or updating all data sources] (すべてのデータソースの作成または更新) のみを選択します。残りのオプションは選択しません。
-
-
[Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。左上の [Back (戻る)] を選択し、変更を加えずに終了します。ポリシーの例を表示するには、Amazon QuickSight 向けの IAM アイデンティティベースポリシー を参照してください。
-
変更内容が適切であることを確認した後、カスタム権限プロファイルの名前を記録します。API を使用して新規または既存のユーザー権限を追加するすべてのユーザーにこれを提供します。
ユーザーに割り当てられたアクセス許可を追加または変更するには、API を使用します。
開始する前に、AWS CLI を設定する必要があります。詳細については、「AWS Command Line Interface ユーザーガイド」の「AWS CLI のインストール」と「AWS CLI の設定」を参照してください。さらに、QuickSight API を使用する権限が必要です。詳細については、こちらを参照してください。
コマンドプロンプトでカスタム権限プロファイルを割り当てまたは変更するには
-
ターミナルウィンドウ (Linux、Max) を開くか、コマンドプロント (Windows) を開きます。
-
ユーザーにカスタム権限を追加するには、次のいずれかを選択します。
-
新しいユーザーの場合 — 次の例のようなコマンドを使用して、権限プロファイルを持つ新しいユーザーを追加します。
aws quicksight register-user \ --iam-arn arn:aws:iam::
111122223333
:user/JorjeSouza
\ --identity-typeIAM
\ --user-roleAUTHOR
\ --custom-permissions-namecustom-permissions-profile-name
\ --emailJorjeSouza@example.com
\ --aws-account-id 111122223333 \ --namespacedefault
\ -
既存のユーザーの場合 — 次の例のようなコマンドを使用して、既存のユーザーを権限プロファイルに関連付けます。
aws quicksight update-user \ --user-name
JorjeSouza
\ --roleAUTHOR
\ --custom-permissions-namecustom-permissions-profile-name
\ --emailJorjeSouza@example.com
\ --aws-account-id 111122223333 \ --namespacedefault
\
-
-
(オプション) 次の例のようなコマンドを使用して、権限プロファイルから既存のユーザーを削除します。
aws quicksight update-user \ --user-name TestUser \ --role AUTHOR \ --unapply-custom-permissions \ --email <email> \ --aws-account-id 111122223333 \ --namespace default