翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon の IAM ポリシーの例 QuickSight
このセクションでは、Amazon で使用できる IAM ポリシーの例を示します QuickSight。
Amazon の IAM アイデンティティベースのポリシー QuickSight
このセクションでは、Amazon で使用するアイデンティティベースのポリシーの例を示します QuickSight。
トピック
- IAM コンソール管理用の QuickSight IAM アイデンティティベースのポリシー
- Amazon の IAM アイデンティティベースのポリシー QuickSight: ダッシュボード
- Amazon の IAM アイデンティティベースのポリシー QuickSight: 名前空間
- Amazon の IAM アイデンティティベースのポリシー QuickSight: カスタムアクセス許可
- Amazon の IAM アイデンティティベースのポリシー QuickSight: E メールレポートテンプレートのカスタマイズ
- Amazon の IAM アイデンティティベースのポリシー QuickSight: ユーザーの作成
- Amazon の IAM アイデンティティベースのポリシー QuickSight: グループの作成と管理
- Amazon の IAM アイデンティティベースのポリシー QuickSight: Standard Edition のすべてのアクセス
- Amazon の IAM アイデンティティベースのポリシー QuickSight: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition へのすべてのアクセス
- Amazon の IAM アイデンティティベースのポリシー QuickSight: IAM Identity Center を使用した Enterprise Edition へのすべてのアクセス
- Amazon の IAM アイデンティティベースのポリシー QuickSight: Active Directory を使用した Enterprise Edition のすべてのアクセス
- Amazon の IAM アイデンティティベースのポリシー QuickSight: Active Directory グループ
- Amazon の IAM アイデンティティベースのポリシー QuickSight: 管理者アセット管理コンソールの使用
- Amazon の IAM アイデンティティベースのポリシー QuickSight: 管理者キー管理コンソールの使用
- AWS リソース Amazon QuickSight: Enterprise Edition のスコープポリシー
IAM コンソール管理用の QuickSight IAM アイデンティティベースのポリシー
次の例は、IAM コンソールの管理アクションに必要な QuickSight IAM アクセス許可を示しています。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } }
Amazon の IAM アイデンティティベースのポリシー QuickSight: ダッシュボード
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: 名前空間
次の例は、 QuickSight 管理者が名前空間を作成または削除できるようにする IAM ポリシーを示しています。
名前空間の作成
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
名前空間の削除
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: カスタムアクセス許可
次の例は、 QuickSight 管理者またはデベロッパーがカスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: E メールレポートテンプレートのカスタマイズ
次の例は、 での E メールレポートテンプレートの表示、更新 QuickSight、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、 QuickSight 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが SES で検証済みの ID であることを確認することができます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: ユーザーの作成
次の例は、Amazon QuickSight ユーザーの作成のみを許可するポリシーを示しています。quicksight:CreateReader、quicksight:CreateUser、および quicksight:CreateAdmin で、"Resource":
"arn:aws:quicksight:: へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: グループの作成と管理
次の例は、 QuickSight 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: Standard Edition のすべてのアクセス
Amazon QuickSight Standard Edition の次の例は、作成者と閲覧者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition へのすべてのアクセス
次の Amazon QuickSight Enterprise Edition の例では、IAM Identity Center と統合された QuickSight アカウントで、 QuickSight へのサブスクライブ QuickSight、ユーザーの作成、Active Directory の管理をユーザーに許可するポリシーを示しています。
このポリシーでは、 QuickSight Generative BI 機能で Amazon Q へのアクセスを許可する QuickSight Pro ロールにサブスクライブすることもできます。Amazon の Pro ロールの詳細については QuickSight、「」を参照してくださいGenerative BI の使用を開始する。
この例では、Amazon からのサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim" ], "Resource": [ "*" ] } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: IAM Identity Center を使用した Enterprise Edition へのすべてのアクセス
次の Amazon QuickSight Enterprise Edition の例では、IAM Identity Center と統合された QuickSight アカウントで Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。
このポリシーは、 で Pro ロールを作成するアクセス許可を付与しません QuickSight。で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには QuickSight、「」を参照してくださいAmazon の IAM アイデンティティベースのポリシー QuickSight: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition へのすべてのアクセス。
この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:DescribeGroup", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: Active Directory を使用した Enterprise Edition のすべてのアクセス
Amazon QuickSight Enterprise Edition の次の例は、ID 管理に Active Directory を使用する QuickSight アカウントで Active Directory をサブスクライブ、ユーザーの作成、管理できるようにするポリシーを示しています。この例では、Amazon からサブスクリプションを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: Active Directory グループ
次の例は、Amazon QuickSight Enterprise Edition アカウントの Active Directory グループ管理を許可する IAM ポリシーを示しています。
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Amazon の IAM アイデンティティベースのポリシー QuickSight: 管理者アセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Amazon の IAM アイデンティティベースのポリシー QuickSight: 管理者キー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
QuickSight コンソールからカスタマーマネージドキーにアクセスするには、 "quicksight:ListKMSKeysForUser"および アクセス"kms:ListAliases"許可が必要です。 "quicksight:ListKMSKeysForUser"および "kms:ListAliases"は、 QuickSight キー管理 APIsを使用する必要はありません。
ユーザーがアクセスできるようにするキーを指定するには、 UpdateKeyRegistration条件キーを使用して、ユーザーに quicksight:KmsKeyArns 条件へのアクセスを許可するキーの ARNs を追加します。ユーザーは、 で指定されたキーにのみアクセスできますUpdateKeyRegistration。でサポートされている条件キーの詳細については QuickSight、「Amazon の条件キー QuickSight」を参照してください。
以下の例では、アカウントに登録されているすべての CMKs に対するDescribeアクセス許可と、 QuickSight アカウントに登録されている特定の CMKs に対するUpdateアクセス許可を付与します QuickSight 。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS リソース Amazon QuickSight: Enterprise Edition のスコープポリシー
次の Amazon QuickSight Enterprise Edition の例では、 AWS リソースへのデフォルトアクセスと、 リソースへのアクセス AWS 許可のスコープポリシーの設定を許可するポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
