Amazon QuickSight コンソールへのアクセスのカスタマイズ

適用対象: Enterprise Edition

対象読者:管理者と Amazon QuickSight 開発者

エンタープライズエディションでは、ユーザーがAmazonでアクセスできる機能を制限できます QuickSight。Amazon QuickSight のカスタム権限は IAM ポリシーを通じて適用されます。のすべての ID タイプについて、ロール (管理者、作成者、閲覧者) のカスタム権限を設定できます。 QuickSight AWS Identity and Access Management ユーザーレベルのカスタム権限をユーザーに適用することもできます。ユーザーレベルのカスタム許可は、指定されたユーザーについてのロールの既存のデフォルト、またはカスタムロールレベルの許可をオーバーライドします。

ユーザーレベルのカスタム許可には次の制限が適用されます。

• ユーザーのデフォルトのロールを超える許可を付与することはできません。例えば、ユーザーに読み取りアクセスが付与されている場合、そのユーザーにダッシュボードを編集するための許可を付与することはできません。

• 権限をカスタマイズするには、 QuickSight 使用する権限を持つ管理者である必要があります"quicksight:CustomPermissions"。

IAM QuickSight ポリシーと権限は同じものではありません。IAM ポリシーを使用してユーザーにアクセス権限を付与し、ロールを割り当てることはできますが、IAM ポリシーではそのユーザーが実行できる操作は制御されません。 QuickSight アセットには、 QuickSight特定の機能をカスタマイズするための独自の権限セットがあります。これらの許可は、IAM 外で、リソースレベルで処理されます。

カスタム許可プロファイルを作成して、次のオペレーションの任意の組み合わせに対するアクセスを制限できます。

アセット	カスタマイズ可能な許可
データソースとデータセット	データソースの作成または更新
	データセットの作成または更新
	データセットの共有
ダッシュボードと分析	異常検出の追加または実行
	テーマの作成または更新
	CSV または Excel にエクスポート
	共有
フォルダ	共有フォルダの作成
	共有フォルダの名前変更
レポート	作成
	更新
	E メールレポートのサブスクライブ

共有フォルダに追加された項目は、アセットのカスタム許可にかかわらず共有されます。これは、ダッシュボード、分析、データセット、データソースに適用されます。

以下の手順に従って、 QuickSightでカスタム権限プロファイルを作成します。

カスタム許可プロファイルを作成するには

1. QuickSight コンソールの任意のページから、右上隅の [管理 QuickSight] を選択します。

   「管理 QuickSight」 QuickSight メニューオプションにアクセスできるのは管理者だけです。「管理 QuickSight」メニューにアクセスできない場合は、 QuickSight 管理者に連絡して支援を求めてください。

2. [Security & permissions (セキュリティとアクセス許可)] を選択します。

3. [許可を管理] で、[管理] を選択します。

4. 次のいずれかのオプションを選択します。

   • 既存のカスタム許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 点) を選択し、[表示/編集] を選択します。

   • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

   • [名前] で、カスタム許可プロファイルの名前を入力します。

   • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。例えば、ユーザーにデータソースを作成または更新させたくないが、それ以外の操作はすべて実行できるようにしたい場合は、[データソースを作成または更新] のみを選択します。

6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

QuickSight API QuickSight を使用してカスタム権限プロファイルをロールに適用します。

カスタム権限プロファイルを作成したら、 QuickSight API を使用してロールに割り当てられるカスタム権限プロファイルを追加または変更します。

始める前に、 AWS CLI をセットアップして設定する必要があります。 AWS CLI のインストールの詳細については、『 AWS Command Line Interface ユーザーガイド』の「最新バージョンの AWS CLI のインストールまたは更新」と「AWS CLI の設定」を参照してください。 QuickSight API を使用するには権限も必要です。

次の例では、UpdateRoleCustomPermission API を呼び出して、ロールに割り当てられているカスタム許可を更新します。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、ロールに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

次の例では、ロールからカスタム許可プロファイルを削除します。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

API を使用して IAM ユーザーにカスタム権限プロファイルを適用します。 QuickSight

次の例では、新しい IAM ユーザーにカスタム許可を追加します。

aws quicksight register-user \
--iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

既存の IAM ユーザーを新しい許可プロファイルに関連付けることもできます。次の例では、既存の IAM ユーザーのカスタム許可プロファイルを更新しました。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--custom-permissions-name custom-permissions-profile-name \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default \

以下の例では、許可プロファイルから既存のユーザーを削除します。

aws quicksight update-user \
--user-name USERNAME \
--role AUTHOR \
--unapply-custom-permissions \
--email EMAIL \
--aws-account-id AWSACCOUNTID \
--namespace default

ロールまたはユーザーに適用されるカスタム許可をテストするには、ユーザーのアカウントにログインします。ユーザーがログインすると QuickSight、アクセス可能な最高権限のロールが付与されます。ユーザーに付与できる最高の特権ロールは管理者です。ユーザーに付与できる最低の特権ロールは閲覧者です。Amazon のロールの詳細については QuickSight、を参照してくださいAmazon 内でのユーザーアクセスの管理 QuickSight。

データソースの共有を作成者のロールに制限するカスタム許可プロファイルを割り当てると、その作成者はデータソースの共有を許可するコントロールにアクセスできなくなります。代わりに、影響を受ける作成者は、データソースに対する閲覧専用の許可を持ちます。