他の AWS サービスの使用 アクセスの範囲を制限する - Amazon QuickSight

他の AWS サービスの使用 アクセスの範囲を制限する

 適用先: Enterprise Edition および Standard Edition 
 対象者: システム管理者および Amazon QuickSight 管理者 

AWSリソースは Amazon QuickSight これらのリソースへのアクセスとスコープダウンを、よりきめ細かいレベルで行うことができます。Enterprise エディションでは、アカウントの全員に適用される一般的なデフォルトアクセスをセットアップし、個別のユーザーとグループに特定のアクセスをセットアップできます。

開始する前に、正しい権限があることを確認してください。システム管理者が許可します。そのためには、システム管理者が特定のIAMアクションを使用できるポリシーを作成します。システム管理者は、そのポリシーをIAMのユーザーまたはグループに関連付けます。必要なアクションは次のとおりです。

  • quicksight:AccountConfigurations – AWS リソースへのデフォルトアクセスの設定を有効にする

  • quicksight:ScopeDownPolicy – AWS リソースへのアクセス許可に関するポリシーの範囲を設定する

Amazon QuickSight からアクセスできる AWS のサービスを有効または無効にするには

  1. サインイン Amazon QuickSight で https://quicksight.aws.amazon.com/.

  2. 左上でユーザー名を選択し、 QuickSightの管理.

  3. [Security & permissions (セキュリティとアクセス許可)] を選択します。

  4. [QuickSight access to AWS services (QuickSight の AWS のサービスへのアクセス)] で、[Add or remove (追加または削除)] を選択します。

    利用可能なすべての AWS のサービスを有効にする画面が表示されます。

    注記

    アクセス許可エラーが表示されたが、Amazon QuickSight 管理者として承認されている場合は、システム管理者までお問い合わせください。

  5. 許可するサービスのチェックボックスをオンにします。許可しないサービスのチェック ボックスをオフにします。

    注記

    AWS のサービスをすでに有効にしている場合は、そのサービスのチェックボックスはオンになっています。Amazon QuickSight から AWS のサービスにアクセスできない場合、そのチェックボックスはオフになっています。

    次のようなメッセージが表示される場合があります。

    This policy used by Amazon QuickSight for AWS resource access was modified outside of Amazon QuickSight, so you can no longer edit this policy to provide AWS resource permission to Amazon QuickSight. To edit this policy permissions, go to IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy.

    このようなメッセージは、Amazon QuickSight で使用される IAM ポリシーのいずれかが手動で変更されたことを意味します。これを修正するには、システム管理者がエラーメッセージにリストされているIAMポリシーを削除し、 セキュリティと許可 画面に戻ってからやり直してください。

  6. [Update (更新)] を選択して確定します。または、[Cancel (キャンセル)] を選択して前の画面に戻ります。

AWS サービスへのデフォルトのリソースアクセスの設定

 適用先: Enterprise Edition 
 対象者: システム管理者および Amazon QuickSight 管理者 

Enterprise Editionでは、 Amazon QuickSight アクセスできます。そのような構成が発生しない場合は、 Amazon QuickSight は、ユーザーの設定に基づくデフォルトの権限セットを使用します。現在の動作は青色の情報ボックスに表示されます。

すべてのユーザーのデフォルトリソースアクセス (他のアクセス許可が設定されていない場合に使用する) を変更するには

  1. サインイン Amazon QuickSight で https://quicksight.aws.amazon.com/.

  2. 左上でユーザー名を選択し、 QuickSightの管理.

  3. [Security & permissions (セキュリティとアクセス許可)] を選択します。

  4. [Default resource access (デフォルトリソースアクセス)] で [Change (変更)] を選択します。

  5. 次のいずれかを選択します。

    • Allow access to all AWS data and resources (すべての AWS のデータおよびリソースへのアクセスを許可する)

    • Deny access to all AWS data and resources (すべての AWS のデータおよびリソースへのアクセスを拒否する)

IAMを介したAWSサービスへの詳細なアクセスの設定

 適用先: Enterprise Edition 
 対象者: システム管理者および Amazon QuickSight 管理者 

Enterprise Edition では、Amazon QuickSight は AWS のサービスのリソースへの詳細なアクセスを設定する方法を提供します。他の AWS のサービスと同様に、 Amazon QuickSight は IAM ポリシーを使用してユーザーとグループのアクセスを制御します。

開始する前に、IAM管理者に事前に必要なIAMポリシーを設定するよう依頼してください。これらが設定されている場合は、このセクションの手順の一部として選択できます。Amazon QuickSight で使用する IAM ポリシーの作成方法の詳細については、「Amazon QuickSight の Identity and Access Management」を参照してください。

IAM ポリシーをユーザーまたはグループに割り当てるには

  1. サインイン Amazon QuickSight で https://quicksight.aws.amazon.com/.

  2. 左上でユーザー名を選択し、 QuickSightの管理.

  3. [Security & permissions (セキュリティとアクセス許可)] を選択します。

  4. [Resource access for individual users and groups (個別のユーザーとグループのリソースアクセス)] で [IAM policy assignments (IAM ポリシーの割り当て)] を選択します。

    この時点の残りの手順で、ユーザーまたはグループに割り当てる IAM ポリシーを選択します。1 つの Amazon QuickSight ユーザーまたはグループに複数の IAM ポリシーを割り当てられます。許可を決定するには、 Amazon QuickSight は、AWS アカウントとの結合および交差を実行します。–設定することができます。

    アクティブな IAM ポリシーの割り当てがすでにある場合は、このページに表示されます。既存の割り当てを検索するには、検索ボックスを使用します。まだアクティブではない下書きがある場合、[Assignment drafts (割り当ての下書き)] の下に一覧表示されます。

  5. 次のいずれかを選択します。

    • IAM ポリシーの割り当てを作成するには、[Add new assignment (新しい割り当ての追加)] を選択します。

    • 既存の割り当てを編集するには、[Edit assignment (割り当ての編集)] アイコンを選択します。

    • ポリシーを有効または無効にするには、そのポリシーのチェックボックスを選択し、[Enable (有効化)] または [Disable (無効化)] を選択します。複数のポリシーの割り当てを選択できます。

    • 既存の割り当てを削除するには、割り当ての名前の近くにある [Remove assignment (割り当ての削除)] アイコンを選択します。選択した内容を確認するには、確認画面で [Delete (削除)] を選択します。または、[Back (戻る)] を選択して削除をキャンセルします。

    割り当てを作成または編集する場合は、次のステップに進みます。それ以外の場合は、この手順の最後に進みます。

  6. 次の画面では、ポリシー割り当てプロセスを実行します。この処理はステップに分割されています。手順を進めながら、前へまたは後ろへ進んで変更を加えることができます。画面を閉じると、すべての手順で行った変更が保存されます。

    1. ステップ 1. 名前の割り当て – これが新しい割り当ての場合は、割り当ての名前を入力し、 次へ 続行します。名前を変更する場合は、左側の [Step 1 (手順 1)] を選択します。

    2. ステップ 2. IAMポリシーの選択 – 使用するIAMポリシーを選択します。この画面から、次のようにポリシーとやり取りすることができます。

      • 使用するポリシーを選択します。

      • ポリシー名を検索します。

      • すべての IAM ポリシー、AWS 管理ポリシー、またはカスタマー管理ポリシーを表示するには、リストをフィルターリングします。

      • [View policy (ポリシーを表示)] を選択して、ポリシーを表示します。

      ポリシーを選択するには、ポリシーの横にあるボタンを選択し、[Next (次へ)] を選択して続行します。

    3. ステップ 3 ユーザーとグループの割り当て – 特定のユーザーまたはグループを選択します。または、選択した IAM ポリシーをすべてのユーザーとグループに使用することを選択します。

      次のいずれかを選択します。

      • 対象: すべてのユーザーとグループに割り当てる、IAMポリシーをすべての Amazon QuickSight ユーザーとグループ。このオプションを選択すると、現在および将来のすべてのユーザーとグループにポリシーが割り当てられます。

      • この IAM ポリシーに割り当てるユーザーとグループを選択します。ユーザーおよびグループは、名前、E メールアドレス、またはグループ名で検索できます。

      ユーザーとグループの選択が完了したら、[Next (次へ)] をクリックして続行します。

    4. ステップ 4. 変更の確認と有効化 – 変更を保存します。

      次のいずれかを選択します。

      • 選択内容を編集するには、そのステップを選択して編集します。

      • このポリシーの割り当てを保存するには、[Save as draft (下書きとして保存)] を選択します。ドラフトは後で有効にできます。

      • このポリシーを今すぐ有効にするには、[Save and enable (保存して有効化)] を選択します。このオプションでは、同じ名前の既存のポリシーの割り当てが上書きされます。