Amazon QuickSight ポリシー (アイデンティティベース) - Amazon QuickSight
アクションリソース条件キー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon QuickSight ポリシー (アイデンティティベース)

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon QuickSight は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイドIAM JSON ポリシーの要素のリファレンスを参照してください。

AWS ルート認証情報または IAM ユーザー認証情報を使用して、Amazon QuickSight アカウントを作成できます。 AWS ルート認証情報と管理者認証情報には、 AWS リソースへの Amazon QuickSight アクセスを管理するために必要なアクセス許可がすべて付与されています。

しかし、root 認証情報を保護して、代わりに IAM ユーザー認証情報を使用することをお勧めします。そのためには、ポリシーを作成して、Amazon QuickSight で使用する予定の IAM ユーザーおよびロールにアタッチします。ポリシーには、以下のセクションに説明されているように、実行する必要のある Amazon QuickSight 管理タスクに該当する適切なステートメントが含まれている必要があります。

重要

Amazon QuickSight および IAM ポリシーを使用する場合は、次の点に注意してください。

  • Amazon QuickSight によって作成されたポリシーに直接変更を加えないでください。ユーザーがそのポリシーに変更を加えると、Amazon QuickSight は編集できなくなります。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。

  • Amazon QuickSight アカウントの作成時にアクセス許可エラーが発生する場合は、IAM ユーザーガイドAmazon QuickSight で定義されるアクションを参照してください。

  • 場合によっては、ルートアカウントからもアクセスできない Amazon QuickSight アカウントがあります (誤って Directory Service を削除した場合など)。この場合、古い Amazon QuickSight アカウントを削除してから再作成することができます。詳細については、「Amazon QuickSight サブスクリプションの削除とアカウントの閉鎖」を参照してください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon QuickSight のポリシーアクションは、アクションの前に以下のプレフィックスを使用します: quicksight:。たとえば、 Amazon EC2 RunInstances API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに ec2:RunInstances アクションを含めます。ポリシーステートメントには、Action または NotAction エレメントを含める必要があります。Amazon QuickSight は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには、次のようにコンマで区切ります。

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Create という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "quicksight:Create*"

Amazon QuickSight には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon QuickSight アクションは、quicksight:Subscribe のように、プレフィックス quicksight: がついています。IAM ポリシーで Amazon QuickSight アクションを使用する方法については、Amazon QuickSight 向けの IAM ポリシーの例 を参照してください。

Amazon QuickSight アクションの最新リストについては、IAM ユーザーガイドAmazon QuickSight で定義されるアクションを参照してください。

リソース

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ステートメントにはResource または NotResource 要素を含める必要があります。ベストプラクティスとして、アマゾン リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルのアクセス許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。

"Resource": "*"

次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が CreateGroupMembership でない限り、すべてのグループで user1 オペレーションを呼び出すことができます。

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

リソースの作成など、一部の Amazon QuickSight は、特定のリソースで実行できません。このような場合は、ワイルドカード (*) を使用する必要があります。

"Resource": "*"

一部の API アクションには、複数のリソースが関連します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [
	      "resource1",
	      "resource2"

Amazon QuickSight リソースタイプとその Amazon リソースネーム (ARN) のリストを確認するには、IAM ユーザーガイドAmazon QuickSight で定義されるリソースを参照してください。どのアクションで各リソースの ARN を指定できるかについては、Amazon QuickSight で定義されるアクションを参照してください。

条件キー

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、「IAM ユーザーガイド」の「‬IAM ポリシーの要素: 変数およびタグ‭」‬を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「 グローバル条件コンテキストキー」を参照してください。

Amazon QuickSight にはサービス固有条件キーがありませんが、いくつかのグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon QuickSight のアイデンティティベースのポリシーの例を表示するには、Amazon QuickSight 向けの IAM アイデンティティベースポリシー を参照してください。