IAM Amazon の ポリシーの例 QuickSight - Amazon QuickSight

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Amazon の ポリシーの例 QuickSight

このセクションでは、Amazon で使用できるIAMポリシーの例を示します QuickSight。

IAM Amazon のアイデンティティベースのポリシー QuickSight

このセクションでは、Amazon で使用するアイデンティティベースのポリシーの例を示します QuickSight。

トピック

IAM コンソール管理用の QuickSight IAM ID ベースのポリシー

次の例は、コンソールの管理アクションに必要なIAM QuickSight IAMアクセス許可を示しています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: ダッシュボード

次の例は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAMポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: 名前空間

次の例は、 QuickSight 管理者が名前空間を作成または削除できるようにするIAMポリシーを示しています。

名前空間の作成

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }

名前空間の削除

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: カスタムアクセス許可

次の例は、 QuickSight 管理者またはデベロッパーがカスタムアクセス許可を管理できるようにする IAMポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }

以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: E メールレポートテンプレートのカスタマイズ

次の例は、 での E メールレポートテンプレートの表示、更新 QuickSight、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、 QuickSight 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが で検証済みの ID であることを確認することができますSES。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: QuickSight マネージドユーザーでエンタープライズアカウントを作成する

次の例は、 QuickSight 管理者が QuickSight マネージドユーザーで Enterprise Edition QuickSight アカウントを作成できるようにするポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: ユーザーの作成

次の例は、Amazon QuickSight ユーザーの作成のみを許可するポリシーを示しています。quicksight:CreateReaderquicksight:CreateUser、および quicksight:CreateAdmin で、"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、"Resource": "*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: グループの作成と管理

次の例は、 QuickSight 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: Standard Edition のすべてのアクセス

Amazon QuickSight Standard Edition の次の例は、作成者と閲覧者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon からのサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: IAM Identity Center (Pro ロール) を使用した Enterprise Edition へのすべてのアクセス

次の Amazon QuickSight Enterprise Edition の例では、IAMIdentity Center と統合された QuickSight アカウントで QuickSight、 QuickSight ユーザーが にサブスクライブし、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。

このポリシーでは、Generative BI 機能で Amazon Q QuickSight へのアクセスを許可する QuickSight Pro ロールにサブスクライブすることもできます。Amazon の Pro ロールの詳細については QuickSight、「」を参照してくださいGenerative BI の使用を開始する

この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim" ], "Resource": [ "*" ] } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: IAM Identity Center を使用した Enterprise Edition のすべてのアクセス

次の Amazon QuickSight Enterprise Edition の例では、IAMIdentity Center と統合された QuickSight アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。

このポリシーは、 で Pro ロールを作成するアクセス許可を付与しません QuickSight。で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには QuickSight、「」を参照してくださいIAM Amazon のアイデンティティベースのポリシー QuickSight: IAM Identity Center (Pro ロール) を使用した Enterprise Edition へのすべてのアクセス

この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。

{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory を使用した Enterprise Edition のすべてのアクセス

Amazon QuickSight Enterprise Edition の次の例は、ID 管理に Active Directory を使用する QuickSight アカウントで Active Directory をサブスクライブ、ユーザーの作成、管理できるようにするポリシーを示しています。この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory グループ

次の例は、Amazon QuickSight Enterprise Edition アカウントの Active Directory グループ管理を許可する IAMポリシーを示しています。

{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }

IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理アセット管理コンソールの使用

次の例は、管理アセット管理コンソールへのアクセスを許可する IAMポリシーを示しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }

IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理者キー管理コンソールの使用

次の例は、管理者キー管理コンソールへのアクセスを許可する IAMポリシーを示しています。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }

QuickSight コンソールからカスタマーマネージドキーにアクセスするには、 "quicksight:ListKMSKeysForUser"および アクセス"kms:ListAliases"許可が必要です。 "quicksight:ListKMSKeysForUser"および "kms:ListAliases"は、 QuickSight キー管理 を使用する必要はありませんAPIs。

ユーザーがアクセスできるようにするキーを指定するには、 UpdateKeyRegistration 条件ARNsキーを使用して、ユーザーが quicksight:KmsKeyArns 条件にアクセスできるようにするキーの を追加します。ユーザーは、 で指定されたキーにのみアクセスできますUpdateKeyRegistration。でサポートされている条件キーの詳細については QuickSight、「Amazon の条件キー QuickSight」を参照してください。

以下の例では、アカウントに登録CMKsされているすべての に対するDescribeアクセス許可と、 QuickSight アカウントに登録CMKsされている特定の に対するUpdateアクセス許可を付与します QuickSight 。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }

AWS リソース Amazon QuickSight: Enterprise Edition のスコープポリシー

Amazon QuickSight Enterprise Edition の次の例は、 へのデフォルトアクセスの設定を許可するポリシーを示しています。 AWS へのアクセス許可の リソースとスコープポリシー AWS リソースの使用料金を見積もることができます。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }