翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
QuickSight での Amazon の使用 IAM
| 適用先: Enterprise Edition と Standard Edition |
| 対象者: システム管理者 |
IAM を使用して Amazon へのアクセスを管理する前に QuickSight、Amazon で使用できるIAM機能を理解しておく必要があります QuickSight。Amazon QuickSight およびその他の AWS のサービスが と連携する方法の概要を把握するにはIAM、「 IAMユーザーガイド」のAWS 「 と連携IAMする のサービス」を参照してください。
トピック
Amazon QuickSight ポリシー (アイデンティティベース)
IAM アイデンティティベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon QuickSight は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、 ユーザーガイドのIAMJSON「ポリシー要素のリファレンスIAM」を参照してください。
AWS ルート認証情報またはIAMユーザー認証情報を使用して Amazon QuickSight アカウントを作成できます。 AWS ルート認証情報と管理者認証情報には、 AWS リソースへの Amazon QuickSight アクセスを管理するために必要なアクセス許可がすべて付与されています。
ただし、ルート認証情報を保護し、代わりにIAMユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon で使用する予定のIAMユーザーとロールにアタッチします QuickSight。このポリシーには、以下のセクションで説明するように、実行する必要がある Amazon QuickSight 管理タスクに適したステートメントを含める必要があります。
重要
Amazon および IAMポリシーを使用する場合は QuickSight 、次の点に注意してください。
-
Amazon によって作成されたポリシーを直接変更することは避けてください QuickSight。自分で変更すると、Amazon QuickSight は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。
-
Amazon QuickSight アカウントの作成時にアクセス許可にエラーが発生した場合は、IAM「 ユーザーガイド」の「Amazon で定義されるアクション QuickSight」を参照してください。
-
場合によっては、ルート QuickSight アカウントからでもアクセスできない Amazon アカウントがあることがあります (例えば、ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon QuickSight アカウントを削除してから再作成できます。詳細については、「Amazon QuickSight サブスクリプションを削除してアカウントを閉鎖する」を参照してください。
アクション
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action要素は、ポリシーでアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションの名前は通常、関連する AWS APIオペレーションと同じです。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
Amazon のポリシーアクションは、アクションの前にプレフィックス QuickSight を使用しますquicksight:。例えば、Amazon EC2RunInstancesAPIオペレーションで Amazon EC2インスタンスを実行するアクセス許可を付与するには、ポリシーに ec2:RunInstancesアクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon QuickSight は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:
"Action": [ "quicksight:action1", "quicksight:action2"]
ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Create という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "quicksight:Create*"
Amazon QuickSight には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon QuickSight アクションにはquicksight:、 などのプレフィックス が付きますquicksight:Subscribe。IAM ポリシーで Amazon QuickSight アクションを使用する方法については、「」を参照してくださいIAM Amazon の ポリシーの例 QuickSight。
Amazon QuickSight アクションの最も up-to-date リストを確認するには、「 ユーザーガイド」の「Amazon で定義されるアクション QuickSightIAM」を参照してください。
リソース
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
Policy ResourceJSON要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。
オペレーションのリスト化など、リソースレベルのアクセス許可をサポートしないアクションの場合は、ワイルドカード (*) を使用して、ステートメントがすべてのリソースに適用されることを示します。
"Resource": "*"
次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が CreateGroupMembership でない限り、すべてのグループで user1 オペレーションを呼び出すことができます。
{ "Effect": "Allow", "Action": "quicksight:CreateGroupMembership", "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*", "Condition": { "StringNotEquals": { "quicksight:UserName": "user1" } } }
リソースを作成するためのアクションなど、一部の Amazon QuickSight アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。
"Resource": "*"
一部のAPIアクションには、複数のリソースが含まれます。1 つのステートメントで複数のリソースを指定するには、 をカンマARNsで区切ります。
"Resource": [ "resource1", "resource2"
Amazon QuickSight リソースタイプとその Amazon リソースネーム (ARNs) のリストを確認するには、IAM「 ユーザーガイド」の「Amazon で定義されるリソース QuickSight」を参照してください。各リソースARNの を指定できるアクションについては、「Amazon で定義されるアクション QuickSight」を参照してください。
条件キー
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。
Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。
1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。
条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグIAM」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、「 ユーザーガイド」のAWS 「 グローバル条件コンテキストキーIAM」を参照してください。
Amazon QuickSight はサービス固有の条件キーを提供していませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、「 IAMユーザーガイドAWS 」の「グローバル条件コンテキストキー」を参照してください。
例
Amazon QuickSight アイデンティティベースのポリシーの例を表示するには、「」を参照してくださいIAM Amazon のアイデンティティベースのポリシー QuickSight。
Amazon QuickSight ポリシー (リソースベース)
Amazon QuickSight はリソースベースのポリシーをサポートしていません。ただし、Amazon QuickSight コンソールを使用して、 内の他の AWS リソースへのアクセスを設定できます AWS アカウント。
Amazon QuickSight タグに基づく認可
Amazon QuickSight は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。
Amazon QuickSight IAM ロール
IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。IAM ロールを使用してアクセス許可をグループ化することで、Amazon QuickSight アクションへのユーザーのアクセスを簡単に管理できます。
Amazon QuickSight では、次のロール機能はサポートされていません。
-
サービスにリンクされたロール。
-
サービスロール。
-
一時的な認証情報 (直接使用): ただし、Amazon QuickSight は一時的な認証情報を使用して、ユーザーが埋め込みダッシュボードにアクセスするための IAMロールを引き受けることを許可します。詳細については、「埋め込み分析の使用」を参照してください。
Amazon がIAMロール QuickSight を使用する方法の詳細については、 QuickSight での Amazon の使用 IAM「」および「」を参照してくださいIAM Amazon の ポリシーの例 QuickSight。
Amazon へのIAMロールの受け渡し QuickSight
| 適用先: Enterprise Edition |
IAM ユーザーが Amazon にサインアップすると QuickSight、 QuickSightマネージドロール (これがデフォルトロール) の使用を選択できます。または、既存のIAMロールを に渡すこともできます QuickSight。
前提条件
ユーザーが にIAMロールを渡すには QuickSight、管理者が次のタスクを完了する必要があります。
-
IAM ロール を作成します。IAM ロールの作成の詳細については、「 ユーザーガイド」のIAM「ロールの作成IAM」を参照してください。
-
がIAMロール を引き受けることを許可する信頼ポリシー QuickSight をロールにアタッチします。次の例を使用して、ロールのポリシーを作成します。次の信頼ポリシーの例では、Amazon QuickSight プリンシパルがアタッチされているIAMロールを引き受けることを許可します。
IAM 信頼ポリシーの作成とロールへのアタッチの詳細については、 IAM ユーザーガイドの「ロールの変更 (コンソール)」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
管理者 (IAM ユーザーまたはロール) に次のIAMアクセス許可を割り当てます。
-
quicksight:UpdateResourcePermissions– これにより、 QuickSight 管理者であるIAMユーザーに、 のリソースレベルのアクセス許可を更新するアクセス許可が付与されます QuickSight。で定義されるリソースタイプの詳細については QuickSight、「 ユーザーガイド」の「Amazon のアクション、リソース、および条件キー QuickSightIAM」を参照してください。 -
iam:PassRole– これにより、 にロールを渡すアクセス許可がユーザーに付与されます QuickSight。詳細については、「 IAMユーザーガイド」の「 サービスにロールを AWS 渡すアクセス許可をユーザーに付与する」を参照してください。 -
iam:ListRoles– (オプション) これにより、 の既存のロールのリストを表示するアクセス許可がユーザーに付与されます QuickSight。このアクセス許可が指定されていない場合は、 を使用してARN既存のIAMロールを使用できます。
以下は、リソースレベルのIAMアクセス許可の管理、IAMロールの一覧表示、Amazon でのIAMロールの受け渡しを許可するアクセス許可ポリシーの例です QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role:*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/path/role-name", "Condition": { "StringEquals": { "iam:PassedToService": [ "quicksight.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "quicksight:UpdateResourcePermissions", "Resource": "*" } ] }で使用できるIAMポリシーの例については、 QuickSight「」を参照してくださいIAM Amazon の ポリシーの例 QuickSight。
-
ユーザーまたはユーザーグループへのアクセス許可ポリシーの割り当ての詳細については、 IAMユーザーガイドのIAM「ユーザーのアクセス許可の変更」を参照してください。
管理者が前提条件を完了すると、IAMユーザーは にIAMロールを渡すことができます QuickSight。そのためには、 にサインアップするときに QuickSightIAMロールを選択するか、switching to an IAM roleセキュリティとアクセス許可ページで を選択します QuickSight。で既存のIAMロールに切り替える方法については QuickSight、次のセクションを参照してください。
追加のポリシーのアタッチ
Amazon Athena や Amazon S3 などの別の AWS サービスを使用している場合は、特定のアクションを実行するアクセス許可を付与する QuickSight アクセス許可ポリシーを作成できます。その後、後で に渡すIAMロールにポリシーをアタッチできます QuickSight。以下は、追加のアクセス許可ポリシーを設定してIAMロールにアタッチする方法の例です。
Athena QuickSight での の管理ポリシーの例については、「Amazon Athena ユーザーガイド」の「 AWSQuicksightAthenaAccess管理ポリシー」を参照してください。 Amazon Athena IAM ユーザーは、次の QuickSight を使用して でこのロールにアクセスできますARN。 arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess
Amazon S3 の QuickSight のアクセス許可ポリシーの例を次に示します。Amazon S3 IAMで を使用する方法の詳細については、Amazon S3S3 での Identity and Access ManagementAmazon S3」を参照してください。 Amazon S3
から QuickSight別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを作成する方法については、 AWS ナレッジセンターの「Amazon から別のアカウントの Amazon S3 バケット QuickSight へのクロスアカウントアクセスを設定する方法
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws:s3:::*" }, { "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] }, { "Action": [ "s3:ListBucketMultipartUploads", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789" ] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*" ] } ] }
Amazon での既存のIAMロールの使用 QuickSight
QuickSight 管理者で、 QuickSight リソースを更新してIAMロールを渡すアクセス許可がある場合は、 で既存のIAMロールを使用できます QuickSight。でIAMロールを渡すための前提条件の詳細については QuickSight、前のリストでprerequisites概説した「」を参照してください。
でIAMロールを渡す方法については、以下の手順に従います QuickSight。
で既存のIAMロールを使用するには QuickSight
-
で QuickSight、右上のナビゲーションバーでアカウント名を選択し、 の管理を選択します QuickSight。
-
開いた管理 QuickSightページで、左側のメニューでセキュリティとアクセス許可を選択します。
-
開いたセキュリティとアクセス許可ページで、QuickSight AWS サービス へのアクセスで、 の管理を選択します。
-
IAM ロール で、既存のロール を使用する を選択し、次のいずれかを実行します。
-
リストから使用するロールを選択します。
-
または、既存のIAMロールのリストが表示されない場合は、ロールIAMARNの を の形式で入力できます
arn:aws:iam::。account-id:role/path/role-name
-
-
[Save] を選択します。
