Amazon のフォルダへのアセットの整理 QuickSight - Amazon QuickSight
QuickSight フォルダの概要共有フォルダのアクセス許可の概要共有フォルダのアクセス許可を作成および管理します。考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のフォルダへのアセットの整理 QuickSight

 適用対象: Enterprise Edition 

Amazon QuickSight Enterprise Edition では、チームメンバーは個人用フォルダと共有フォルダを作成して、 QuickSight アセット管理に階層構造を追加できます。フォルダを使用すると、ダッシュボード、分析、データセット、データソース、トピックをより簡単に整理、移動、検出できます。フォルダ内では、通常どおりのツールを使用してアセットを検索したり、お気に入りリストにアセットを追加したりできます。

では、次のタイプのフォルダを使用できます QuickSight。

  • 自分の仕事を整理するための個人用フォルダ。

    個人用フォルダは、所有者のみが表示できます。個人用フォルダの所有権を他のユーザーに譲渡することはできません。

  • 共有フォルダ:

    • 共有フォルダは作業を整理し、複数のユーザー間での共有を簡素化します。共有フォルダを作成および管理するには、 QuickSight 管理者である必要があります。

    • 共有制限付きフォルダは、アセットを共有フォルダに確実に保持 QuickSight する の共有フォルダの一種です。共有制限付きフォルダ内にあるアセットから作成されたアセットは、制限付きフォルダにも存在する必要があります。制限付きフォルダにあるアセットは、制限付きフォルダの外へ移動したり共有したりすることはできません。例えば、共有制限付きフォルダにあるデータソースを使用するデータセットを作成した場合、この新しいデータセットを共有制限付きフォルダの外へ移動することはできません。

      制限付きフォルダは、 CreateFolder API QuickSightオペレーションでのみ作成できます。

    共有フォルダが、アクセス権を持つユーザーに表示されます。

トピック

QuickSight フォルダの概要

Amazon では QuickSight、個人用フォルダと共有フォルダを作成できます。また、個人フォルダまたは共有フォルダの横にあるお気に入り ( ) アイコンを選択することで、すぐにアクセスできるようになります。

個人用フォルダでは、以下のことを実行できます。

  • サブフォルダを作成する。

  • 分析、ダッシュボード、データセット、データ ソースなどのアセットをフォルダに追加する。アセットを個人用フォルダに追加するには、アセットへのアクセス権を持っている必要があります。複数のアセットを同じ名前にすることができます。

共有フォルダ (制限なし)

QuickSight 管理者は、共有フォルダで次のタスクを実行できます。

  • 共有フォルダとその中のサブフォルダを作成または削除する。最上位フォルダ内で、共有フォルダとサブフォルダのいずれかを移動できます。

  • 所有者、投稿者、表示者を追加または削除する。あるユーザーを所有者に設定すると、フォルダ内のすべてのアセットの所有権が付与されます。詳細については、「共有フォルダのアクセス許可の概要」を参照してください。

次の表は、 QuickSight ユーザーがロールに基づいて無制限の共有フォルダを操作するときに実行できるアクションをまとめたものです。

[アクション] 所有者 [寄稿者] [表示者]
フォルダ内のアセットを、そのフォルダへのアクセス権を持たないユーザーと共有します。 はい いいえ いいえ
フォルダのアクセス許可の変更します。 はい いいえ いいえ
フォルダにアセットを作成します。 Yes はい いいえ
フォルダ内のアセットを変更します。 Yes はい いいえ
フォルダ内のアセットを削除します。 Yes はい いいえ
既存のアセットをフォルダに追加します。 Yes はい いいえ
共有フォルダからアセットを削除します。 はい いいえ いいえ
フォルダ内のアセットを表示します。 Yes はい はい
共有フォルダにあるアセットを使用する下流のアセットを共有フォルダの外に作成します。 Yes はい Yes*
フォルダ外にあるアセットを使用する下流のアセットをフォルダ内に作成します。 Yes はい いいえ

*アセットを作成するには、ユーザーに管理者ロールまたは作成者ロールを割り当てる必要があります。

制限付き共有フォルダ

制限付き共有フォルダは、フォルダ外のデータの共有を制限する追加のセキュリティ境界となります。適切な IAM アクセス許可を持つ管理者は、制限付き共有フォルダで以下のタスクを実行できます。

  • 制限付きフォルダは CreateFolder API オペレーションを使用して作成できます。CreatFolder API オペレーションの詳細については、「CreateFolder」を参照してください。

  • 投稿者ロールは、制限付きフォルダ内のアセットを作成および編集できるユーザーに割り当てられます。寄稿者はフォルダまたは制限付きフォルダ内のアセットのアクセス許可を管理できません。

  • 管理者は UpdateFolderPermissions API オペレーションを使用してユーザーにフォルダの投稿者と閲覧者のアクセス許可を割り当てることができます。UpdateFolderPermissions API オペレーションの詳細については、「UpdateFolderPermissions」を参照してください。

次の表は、 QuickSight ユーザーが自分の役割に基づいて制限付き共有フォルダを操作するときに実行できるアクションをまとめたものです。

[アクション] [寄稿者] [表示者]
フォルダ内のアセットを、そのフォルダへのアクセス権を持たないユーザーと共有します。 いいえ いいえ
フォルダのアクセス許可の変更します。 いいえ いいえ
フォルダにアセットを作成します。 はい いいえ
フォルダ内のアセットを変更します。 はい いいえ
フォルダ内のアセットを削除します。 はい いいえ
既存のアセットをフォルダに追加します。 いいえ いいえ
共有フォルダからアセットを削除します。 いいえ いいえ
フォルダ内のアセットを表示します。 Yes はい
共有フォルダにあるアセットを使用する下流のアセットを共有フォルダの外に作成します。 いいえ いいえ
フォルダ外にあるアセットを使用する下流のアセットをフォルダ内に作成します。 いいえ いいえ

所有者ロールは、制限付き共有フォルダではサポートされていません。

共有フォルダのアクセス許可の概要

共有フォルダには 3 つのアクセス許可レベルがあります。ユーザーまたはグループにフォルダレベルのアクセス許可を設定する方法については、「共有フォルダのアクセス許可を作成および管理します。」を参照してください。

  • 所有者 - フォルダ所有者は、フォルダ内のすべての (フォルダ、分析、ダッシュボード、データセット、データソース、トピック) を所有します。フォルダ内のアセットの作成、編集、削除、フォルダとそのアセットのアクセス許可の変更、フォルダ全体の削除を行うことができます。所有者ロールは、制限付き共有フォルダではサポートされていません。

  • 寄稿者 - 寄稿者は所有者と同様にフォルダ内のアセットを作成、編集、削除できます。フォルダを削除したり、フォルダまたはフォルダから継承した寄稿者のアクセス許可を持つアセットに対するアクセス許可を変更したりすることはできません。

  • ビューワー - ビューワーは、フォルダ内のアセット (フォルダ、ダッシュボード、データセット、データソース、トピック) のみを表示できます。表示者は、これらのアセットを編集または共有することはできません。

次のルールも共有フォルダのセキュリティに適用されます。

  • QuickSight フォルダに対する閲覧者の共有ステータスは、フォルダと共有されます。ただし、閲覧者はフォルダへの読み取りアクセス権と、ビジュアルへのダッシュボードアクセス権のみを取得します。

  • AWS セキュリティは、フォルダ内のすべてのオブジェクトに適用されます。フォルダでは、アクセスレベル (管理者、作成者、閲覧者) に応じて、フォルダを共有しているユーザーのすべてのアセットに同じ種類のセキュリティが適用されます。

  • 最上位フォルダは、サブフォルダのルートフォルダです。サブフォルダが任意のレベルで共有されている場合、フォルダの共有相手は、最上位のフォルダビューでルートフォルダを表示できます。

  • フォルダのアクセス許可は、現在のフォルダに対するアクセス許可であり、ルートフォルダにつながるすべてのフォルダのアクセス許可と組み合わせたものです。

  • 共有アセットは、フォルダからアクセス許可を継承します。共有アセットは、フォルダ所有者に属するアセットが共有フォルダに追加されたときに作成されます。

  • 無制限の共有フォルダを所有している場合は、そのフォルダの所有権を別の QuickSight 管理者に移管できます。

  • 所有者ロールは、制限付きフォルダではサポートされていません。投稿者ロールは、制限付きフォルダ内のアセットを作成および編集する作成者に割り当てられます。フォルダの投稿者は、制限付きフォルダやそのアセットのアクセス許可を管理できません。

  • 制限付き共有フォルダのアクセス許可を API UpdateFolderPermissions を使用して更新するには、適切な IAM アクセス許可が必要です。

共有フォルダのアクセス許可を作成および管理します。

共有フォルダ (制限なし)

共有フォルダを作成し、そのフォルダを QuickSight コンソールの 1 つ以上のグループと共有するには、Amazon QuickSight 管理者である必要があります。CreateFolder API オペレーションを使用して共有フォルダを作成することもできます。共有フォルダのアクセス許可を共有または変更するには、次の手順を実行します。

  1. 左側のナビゲーションから [共有フォルダ] を選択し、共有またはアクセス許可を管理したいフォルダを探します。

  2. そのフォルダの行のアクションメニューを開くには、省略記号 (3 点リーダー) を選択します。

  3. [共有] を選択します。

  4. [フォルダの共有] モーダルで、フォルダの内容を共有したいグループとユーザーを追加します。

  5. 追加するユーザーやグループごとに、その行の [アクセス許可] メニューからアクセス許可レベルを選択します。

  6. 既存ユーザーの権限タイプを更新するには、[フォルダアクセスの管理] を選択します。

  7. フォルダのユーザーとグループのアクセス許可の設定が完了したら、[共有] を選択します。フォルダにアクセスできるようになったことはユーザーには通知されません。

制限付き共有フォルダ

制限付き共有フォルダは、CreateFolder API オペレーションを使用してのみ作成できます。次の例では、制限共有フォルダを作成する方法を示します。

aws quicksight create-folder \
--aws-account-id AWSACCOUNTID \
--region us-east-1 \
--folder-id example-folder-name \
--folder-type RESTRICTED \
--name "Example Folder" \

制限付き共有フォルダを作成したら、UpdateFolderPermissions API 呼び出しでフォルダの投稿者と閲覧者のアクセス許可を割り当てます。次の例では、制限された共有フォルダの許可を更新します。

aws quicksight update-folder-permissions \
--aws-account-id AWSACCOUNTID \
--region us-east-1 \
--folder-id example-folder-name \
--grant-permissions Principal=arn:aws:quicksight::us-east-1::AWSACCOUNTID:user/default/:username,Actions=quicksight:CreateFolder,quicksight:DescribeFolder, \ 
quicksight:CreateFolderMembership,quicksight:DeleteFolderMembership,quicksight:DescribeFolderPermissions \

考慮事項

Amazon のフォルダには、次の制限が適用されます QuickSight。

  • 自分の AWS アカウント内のフォルダを他の AWS アカウント ユーザーと共有することはできません。

  • QuickSight リーダー権限を持つユーザーには、次の制限が適用されます。

    • 閲覧者は、個人用フォルダや共有フォルダを所有することはできません。

    • 閲覧者は、フォルダまたはフォルダのコンテンツを作成または管理することはできません。

    • 閲覧者は投稿者アクセスレベルを持つことはできません。

    • 共有フォルダでは、閲覧者はダッシュボードアセットのみを表示できます。

さらに、次の制限が特に共有フォルダーに適用されます。

  • 共有フォルダの名前 (ツリーの最上位レベル) は、AWS アカウント内で一意である必要があります。

  • 単一のフォルダで、複数のアセットを同じ名前にすることはできません。たとえば、最上位フォルダで、同じ名前のサブフォルダを 2 つ作成することはできません。同じフォルダに異なるアセット ID がある場合でも、同じ名前の 2 つのアセットを追加することはできません。各アセットへのパスは、Amazon S3 キー名のように動作します。AWS アカウント内で一意にする必要があります。

  • 制限付き共有フォルダは、 QuickSight CLI でのみ作成できます。

  • サブフォルダーは、制限された共有フォルダーではサポートされません。

  • 制限付き共有フォルダにあるデータソースは CreateDataSource API オペレーションを使用して作成する必要があります。

Amazon QuickSight クォータの場合、Service Quotas コンソールは最も正確な と up-to-date情報を提供します。Service Quotas コンソールでは、以下のことを行うことができます。