Amazon QuickSight ポリシー (アイデンティティベース) - Amazon QuickSight
アクションリソース条件キー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon QuickSight ポリシー (アイデンティティベース)

IAM ID ベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon QuickSight は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、 IAM ユーザーガイドIAMJSON「ポリシー要素リファレンス」を参照してください。

AWS ルート認証情報またはIAMユーザー認証情報を使用して Amazon QuickSight アカウントを作成できます。 AWS ルート認証情報と管理者認証情報には、 AWS リソースへの Amazon QuickSight アクセスを管理するために必要なすべてのアクセス許可が既に付与されています。

ただし、ルート認証情報を保護し、代わりにIAMユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon に使用する予定のIAMユーザーとロールにアタッチします QuickSight。このポリシーには、次のセクションで説明するように、実行する必要がある Amazon QuickSight 管理タスクの適切なステートメントを含める必要があります。

重要

Amazon QuickSight および IAMポリシーを使用する際は、次の点に注意してください。

  • Amazon によって作成されたポリシーを直接変更しないでください QuickSight。自分で変更すると、Amazon QuickSight は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。

  • Amazon QuickSight アカウントの作成時にアクセス許可にエラーが発生した場合は、IAM「 ユーザーガイド」の「Amazon で定義されるアクション QuickSight」を参照してください。

  • 場合によっては、ルート QuickSight アカウントからでもアクセスできない Amazon アカウントがある場合があります (ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon QuickSight アカウントを削除してから再作成できます。詳細については、「Amazon QuickSight サブスクリプションの削除とアカウントの終了」を参照してください。

アクション

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションは通常、関連付けられた AWS APIオペレーションと同じ名前です。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon のポリシーアクションでは、アクションの前に次のプレフィックス QuickSight を使用します。 quicksight:例えば、Amazon EC2RunInstancesAPIオペレーションで Amazon EC2インスタンスを実行するアクセス許可をユーザーに付与するには、ポリシーに ec2:RunInstancesアクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon は、このサービスで実行できるタスクを記述する独自のアクションセット QuickSight を定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Create という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "quicksight:Create*"

Amazon QuickSight には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon QuickSight アクションにはquicksight:、 などのプレフィックスが付けられていますquicksight:Subscribe。IAM ポリシーで Amazon QuickSight アクションを使用する方法については、「」を参照してくださいIAM Amazon のポリシー例 QuickSight

Amazon QuickSight アクションの最も up-to-date多いリストを確認するには、IAM「 ユーザーガイド」の「Amazon で定義されるアクション QuickSight」を参照してください。

リソース

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルのアクセス許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"

次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が CreateGroupMembership でない限り、すべてのグループで user1 オペレーションを呼び出すことができます。

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

リソースを作成するためのアクションなど、一部の Amazon QuickSight アクションは、特定のリソースに対して実行できません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

一部のAPIアクションには、複数のリソースが含まれます。1 つのステートメントで複数のリソースを指定するには、 をカンマARNsで区切ります。

"Resource": [
	      "resource1",
	      "resource2"

Amazon QuickSight リソースタイプとその Amazon リソースネーム (ARNs) のリストを確認するには、IAM「 ユーザーガイド」の「Amazon で定義されるリソース QuickSight」を参照してください。各リソースARNの を指定できるアクションについては、「Amazon で定義されるアクション QuickSight」を参照してください。

条件キー

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスする許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグ」を参照してください。 IAM

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、 ユーザーガイドのAWS 「グローバル条件コンテキストキー」を参照してください。 IAM

Amazon QuickSight はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、 IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon QuickSight ID ベースのポリシーの例を表示するには、「」を参照してくださいIAM Amazon の ID ベースのポリシー QuickSight