Amazon QuickSight の IAM ポリシーの例 - Amazon QuickSight

Amazon QuickSight の IAM ポリシーの例

このセクションでは、Amazon QuickSight で使用できる IAM ポリシーの例を示します。

Amazon QuickSight 用の IAM アイデンティティベースのポリシー

このセクションでは、Amazon QuickSight で使用するアイデンティティベースのポリシーの例を示します。

Amazon QuickSight の IAM アイデンティティベースのポリシー: ダッシュボード

次の例では、特定のダッシュボードのダッシュボード共有および埋め込みを可能にする IAM ポリシーを示します。

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }

Amazon QuickSight の IAM アイデンティティベースのポリシー: カスタムアクセス許可

以下の例は、QuickSight 管理者またはデベロッパーが、カスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }

次の例は、前の例に示されているように、同じアクセス許可を付与する別の方法を示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }

Amazon QuickSight の IAM アイデンティティベースのポリシー: ユーザーの作成

以下の例は、Amazon QuickSight ユーザーのみの作成を有効にするポリシーです。quicksight:CreateReaderquicksight:CreateUser、および quicksight:CreateAdmin で、"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、"Resource": "*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }

Amazon QuickSight の IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス

次の Amazon QuickSight Standard Edition の例は、サブスクライブ、および作成者と閲覧者の作成を可能にするポリシーを示しています。この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。

例を示します

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

Amazon QuickSight の IAM アイデンティティベースのポリシー: Enterprise Edition のすべてのアクセス

次の Amazon QuickSight Enterprise Edition の例は、サブスクライブ、ユーザーの作成、Active Directory の管理を有効にするポリシーを示しています。この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

Amazon QuickSight の IAM アイデンティティベースのポリシー: Active Directory グループ

以下の例は、Amazon QuickSight Enterprise Edition アカウントの Active Directory グループ管理を有効にする IAM ポリシーを示しています。

{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

Amazon QuickSight の IAM アイデンティティベースのポリシー: AWS リソースへのアクセス

以下の Amazon QuickSight Enterprise Edition およびStandard Edition の例は、ユーザーが AWS リソースへのアクセスを管理する上で使用できるポリシーを示しています。これは、設定時のオプションのステップであり、ユーザーは、アクセスの設定時にのみこのアクセス権が必要です。

オプションの条件を使用して、ポリシーへのアクセスを制限することもできます。IAM ポリシーを保護するベストプラクティスの詳細については、IAM ベストプラクティスを参照してください。

{ "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:DescribeDataCatalog" ], "Resource": "*" }

Amazon QuickSight の IAM アイデンティティベースのポリシー: Enterprise Edition のポリシーの範囲指定

次の Amazon QuickSight Enterprise Edition の例は、AWS リソースへのデフォルトアクセスの設定、および AWS リソースのアクセス許可ポリシーの範囲指定を可能にするポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:ScopeDownPolicy", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }