翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Quick のセットアップ
このセクションでは、Amazon Quick インスタンスのセットアップ時に ID とアクセスの管理を設定し、ユーザーのサインアップを制御する方法を理解するのに役立ちます。
**注記**
AWS アカウントの作成、Amazon Quick サブスクリプションへのサインアップ、Amazon Quick へのサインインなど、Amazon Quick インスタンスをセットアップする方法については、[「Amazon Quick のセットアップとサインイン](https://docs.aws.amazon.com/quicksuite/latest/userguide/setting-up.html)」を参照してください。
**Topics**
+ [サービスコントロールポリシーを使用して Amazon Quick サインアップオプションを制限する](security-scp-admin.md)
+ [Quick での Identity and Access Management](identity.md)
+ [Amazon Quick ドメインの許可リスト](allowlist-domains.md)
# サービスコントロールポリシーを使用して Amazon Quick サインアップオプションを制限する
管理者の場合は AWS Organizations、サービスコントロールポリシー (SCPs) を使用して、組織内の個人が Amazon Quick にサインアップする方法を制限できます。ユーザーがサインアップできる Quick のエディションと、サインアップできるユーザーのタイプを制限できます。
AWS Organizations は、作成して一元管理する組織に複数の AWS アカウントを統合するために使用できるユーザーアカウント管理サービスです。で SCPs を使用して AWS Organizations 、組織内のアクセス許可を管理できます。詳細については、「 *AWS Organizations ユーザーガイド*」の[「 とは AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)」および[「サービスコントロールポリシー](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
次のトピックでは、SCPs を使用してクイックサインアップオプションを制限する 2 つの方法について説明します AWS Organizations。このトピックには、SCP の例が含まれています。SCP 作成の詳細については、*AWS Organizations ユーザーガイド*の次のトピックを参照してください。
+ [サービスコントロールポリシーの作成、更新、削除](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [SCP 構文](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [SCP を使用した戦略](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [Quick Edition の制限](#security-scp-edition)
+ [ユーザー管理オプションの制限](#security-scp-user)
+ [SCP の例](#security-scp-example)
## Quick Edition の制限
マネージドアカウントがサインアップできる Quick のエディションを制限するには、SCP で `quicksight:Edition`条件キーを使用します。このキーの値を次のテーブルに一覧表示して説明します。
| キー名 | キーバリュー | 説明 |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Amazon Quick Standard Edition |
| | `enterprise` | Amazon Quick Enterprise Edition |
## ユーザー管理オプションの制限
組織内の個人が Quick へのサインアップに使用できるユーザー管理オプションを制限するには、SCP で `quicksight:DirectoryType`条件キーを使用します。このキーの値を次のテーブルに一覧表示して説明します。
| キー名 | キーバリュー | 説明 |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | IAM フェデレーティッド ID と Amazon Quick-managed ユーザー |
| | `iam` | IAM フェデレーティッド ID のみ |
| | `microsoft_ad` | の Microsoft Active Directory で管理されているユーザー AWS Directory Service for Microsoft Active Directory |
| | `ad_connector` | オンプレミス Active Directory で管理され、AD\$1Connector を介して に接続されているユーザー AWS Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | IAM アイデンティティセンターと統合された Amazon Quick アカウントで管理されているユーザー。 |
## SCP の例
Quick の次の例は、Amazon Quick Standard Edition へのサインアップを拒否し、IAM Identity Center 認証を使用してサインアップできないようにするサービスコントロールポリシーを示しています。このポリシーは、前述の条件キーに加えて、`quicksight:Subscribe` アクションも使用します。IAM アクセス許可ポリシーで使用する Amazon Quick 固有のキーのリストについては、*「サービス認可リファレンス*」の[「クイックのアクション、リソース、および条件キー](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html)」を参照してください。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
このポリシーを有効にすると、組織内の個人は Amazon Quick Enterprise Edition にのみサインアップでき、IAM Identity Center 以外の認証方法を使用する必要があります。Amazon Quick Standard Edition にサインアップしようとする場合、または IAM Identity Center 認証を使用しようとすると、サインアップが制限され、適切なアクセス許可がないことを示すメッセージが表示されます。
# Quick での Identity and Access Management
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
Quick への ID とアクセスには、次のツールを使用できます。
+ [IAM アイデンティティセンター](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(エンタープライズ版のみ)
+ [IAM フェデレーション](https://docs.aws.amazon.com/quicksight/latest/user/security.html) (Standard Editionと Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (Enterprise Edition のみ)
+ [SAML ベースのシングルサインオン](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard Edition および Enterprise Edition)
+ [多要素認証 (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard Edition および Enterprise Edition)
**注記**
以下に示すリージョンでは、Amazon Quick アカウントは ID とアクセスの管理にのみ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) を使用できます。
`af-south-1` アフリカ (ケープタウン)
`ap-southeast-3` アジアパシフィック (ジャカルタ)
`ap-southeast-5` アジアパシフィック (マレーシア)
`eu-south-1` 欧州 (ミラノ)
`eu-central-2` 欧州 (チューリッヒ)
以下のセクションは、Quick 用に選択した ID 管理方法を設定するのに役立ちます。
**Topics**
+ [IAM の使用](iam.md)
+ [IAM Identity Center の使用](setting-up-sso.md)
+ [IAM フェデレーション](iam-federation.md)
+ [Amazon Quick Enterprise Edition での Active Directory の使用](aws-directory-service.md)
+ [Amazon Quick での多要素認証 (MFA) の使用](using-multi-factor-authentication-mfa.md)
# IAM の使用
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Amazon Quick リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [IAM の概念について](security_iam_concepts.md)
+ [IAM での Quick の使用](security_iam_service-with-iam.md)
+ [IAM ロールを Quick に渡す](security-create-iam-role.md)
+ [Quick の IAM ポリシーの例](iam-policy-examples.md)
+ [Amazon Quick のユーザーのプロビジョニング](provisioning-users.md)
+ [クイック ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
# IAM の概念について
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスをより安全に制御するのに役立つ AWS サービスです。管理者は、誰を*認証* (サインイン) し、誰に Amazon Quick リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、 AWS のサービスで追加料金は発生しません。
IAM は、以下を含むいくつかの方法で Amazon Quick で使用されます。
+ 会社が ID 管理に IAM を使用している場合、ユーザーは Amazon Quick へのサインインに使用する IAM ユーザー名とパスワードを持っている可能性があります。
+ 初回サインイン時に Amazon Quick ユーザーを自動的に作成する場合は、IAM を使用して、Amazon Quick の使用を事前に許可されているユーザーのポリシーを作成できます。
+ Amazon Quick ユーザーの特定のグループまたは特定のリソースへの特別なアクセスを作成する場合は、IAM ポリシーを使用してこれを行うことができます。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
## オーディエンス
本節で提供される情報のコンテキストや、ロールに適用される方法について理解するには、以下を参照してください。 AWS Identity and Access Management (IAM) の使用方法は、Amazon Quick で行う作業によって異なります。
**サービスユーザー** – 場合によっては、Amazon Quick を作成者またはリーダーとして使用して、ブラウザインターフェイスを使用して Amazon Quick を介してデータ、分析、ダッシュボード、スペース、エージェントとやり取りできます。このような場合、このセクションでは背景情報のみを提供します。IAM を使用して Amazon Quick にサインインする場合を除き、IAM サービスと直接やり取りすることはありません。
**Amazon Quick administrator** – 社内の Amazon Quick リソースを担当している場合は、通常、Amazon Quick へのフルアクセスがあります。チームメンバーがどの Amazon Quick 機能やリソースにアクセスするかを決めるのは管理者の仕事です。Amazon Quick 管理パネルを使用して解決できない特殊な要件がある場合は、管理者と協力して Amazon Quick ユーザーのアクセス許可ポリシーを作成できます。IAM の詳細については、このページを読むと IAM の基本概念を理解することができます。会社で Amazon Quick で IAM を使用する方法の詳細については、[「IAM で Amazon Quick ](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)を使用する」を参照してください。
**管理者** – システム管理者は、Amazon Quick へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Amazon Quick アイデンティティベースのポリシーの例を表示するには、[「Amazon Quick の IAM アイデンティティベースのポリシー](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)」を参照してください。
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
**Topics**
+ [AWS アカウント ルートユーザー](#security_iam_authentication-rootuser)
+ [IAM ユーザーとグループ](#security_iam_authentication-iamuser)
+ [IAM ロール](#security_iam_authentication-iamrole)
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# IAM での Quick の使用
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
IAM を使用して Amazon Quick へのアクセスを管理する前に、Amazon Quick で使用できる IAM 機能を理解しておく必要があります。Amazon Quick およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon クイックポリシー (アイデンティティベース)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick ポリシー (リソースベース)](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Quick タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM ロール](#security_iam_service-with-iam-roles)
## Amazon クイックポリシー (アイデンティティベース)
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Quick は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
AWS ルート認証情報または IAM ユーザー認証情報を使用して Amazon Quick account. AWS root を作成できます。管理者認証情報には、 AWS リソースへの Amazon Quick アクセスを管理するために必要なすべてのアクセス許可が既に付与されています。
しかし、root 認証情報を保護して、代わりに IAM ユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon Quick に使用する予定の IAM ユーザーとロールにアタッチします。ポリシーには、以下のセクションで説明するように、実行する必要がある Amazon Quick 管理タスクの適切なステートメントを含める必要があります。
**重要**
クイックポリシーと IAM ポリシーを使用する場合は、次の点に注意してください。
Quick によって作成されたポリシーを直接変更することは避けてください。自分で変更すると、Quick は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。
Amazon Quick アカウントの作成時にアクセス許可にエラーが発生した場合は、*IAM ユーザーガイド*の[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
場合によっては、ルートアカウントからでもアクセスできない Amazon Quick アカウントがある場合があります (ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon Quick アカウントを削除してから再作成できます。詳細については、[「Amazon Quick サブスクリプションの削除とアカウントの閉鎖](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)」を参照してください。
**Topics**
+ [アクション](#security_iam_service-with-iam-id-based-policies-actions)
+ [リソース](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [例](#security_iam_service-with-iam-id-based-policies-examples)
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon Quick のポリシーアクションは、アクションの前にプレフィックス を使用します`quicksight:`。たとえば、 Amazon EC2 `RunInstances` API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに `ec2:RunInstances` アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。Amazon Quick は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Create` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "quicksight:Create*"
```
Amazon Quick には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon Quick アクションには`quicksight:`、 などのプレフィックスが付けられます`quicksight:Subscribe`。IAM ポリシーで Amazon Quick アクションを使用する方法については、[「Amazon Quick の IAM ポリシーの例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
Amazon Quick アクションの最新 up-to-date リストを確認するには、*IAM ユーザーガイド*の[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が `CreateGroupMembership` でない限り、すべてのグループで `user1` オペレーションを呼び出すことができます。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
リソースを作成するためのアクションなど、一部の Amazon Quick アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
一部の API アクションには、複数のリソースが関連します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Amazon Quick リソースタイプとその Amazon リソースネーム (ARNs」を参照してください。 [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) **各リソースの ARN を指定できるアクションについては、[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Quick はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Amazon Quick ID ベースのポリシーの例を表示するには、[「Amazon Quick Policies (ID ベース)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)」を参照してください。
## Amazon Quick ポリシー (リソースベース)
Amazon Quick はリソースベースのポリシーをサポートしていません。ただし、Amazon Quick コンソールを使用して、 内の他の AWS リソースへのアクセスを設定できます AWS アカウント。
## Amazon Quick タグに基づく認可
Amazon Quick は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。
## Amazon Quick IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。IAM ロールを使用してアクセス許可をグループ化することで、Amazon Quick アクションへのユーザーのアクセスを簡単に管理できます。
Amazon Quick は、以下のロール機能をサポートしていません。
+ サービスにリンクされたロール。
+ サービスロール。
+ 一時的な認証情報 (直接使用): ただし、Amazon Quick は一時的な認証情報を使用して、ユーザーが埋め込みダッシュボードにアクセスするための IAM ロールを引き受けることを許可します。詳細については、[「Amazon Quick の埋め込み分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)」を参照してください。
Amazon Quick が IAM ロールを使用する方法の詳細については、「Amazon [Quick での Amazon Quick の使用](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)」および[「Amazon Quick の IAM ポリシー例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
# IAM ロールを Quick に渡す
| |
| --- |
| 適用対象: Enterprise Edition |
IAM ユーザーが Quick にサインアップすると、Amazon Quick マネージドロール (デフォルトロール) の使用を選択できます。または、既存の IAM ロールを Amazon Quick に渡すこともできます。
以下のセクションを使用して、既存の IAM ロールを Amazon Quick に渡す
**Topics**
+ [前提条件](#security-create-iam-role-prerequisites)
+ [追加のポリシーのアタッチ](#security-create-iam-role-athena-s3)
+ [Quick での既存の IAM ロールの使用](#security-create-iam-role-use)
## 前提条件
ユーザーが IAM ロールを Amazon Quick に渡すには、管理者が次のタスクを完了する必要があります。
+ **IAM ロールを作成します。**IAM ロールの作成の詳細については、*IAM ユーザーガイド*の「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
+ **Amazon Quick がロールを引き受けることを許可する信頼ポリシーを IAM ロールにアタッチします**。次の例を使用して、ロールのポリシーを作成します。次の信頼ポリシーの例では、クイックプリンシパルがアタッチされている IAM ロールを引き受けることを許可します。
IAM 信頼ポリシーの作成とロールへのアタッチの詳細については、*IAM ユーザーガイド*の「[ロールの修正 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)」を参照してください。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **管理者 (IAM ユーザーまたはロール) に次の IAM 許可を割り当てます。**:
+ `quicksight:UpdateResourcePermissions` – これにより、Amazon Quick 管理者である IAM ユーザーに、Amazon Quick でリソースレベルのアクセス許可を更新するアクセス許可が付与されます。Amazon Quick で定義されるリソースタイプの詳細については、*IAM ユーザーガイド*の[「クイックのアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)」を参照してください。
+ `iam:PassRole` – これにより、Amazon Quick にロールを渡すアクセス許可がユーザーに付与されます。詳細については、*IAM ユーザーガイド*[の「 AWS サービスにロールを渡すアクセス許可をユーザーに付与](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)する」を参照してください。
+ `iam:ListRoles` – (オプション) これにより、Amazon Quick の既存のロールのリストを表示するアクセス許可がユーザーに付与されます。このアクセス権限が提供されない場合、ARN を使用して既存の IAM ロールを使用できます。
以下は、リソースレベルのアクセス許可の管理、IAM ロールの一覧表示、Quick での IAM ロールの受け渡しを許可する IAM アクセス許可ポリシーの例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Amazon Quick で使用できる IAM ポリシーのその他の例については、[「Amazon Quick の IAM ポリシーの例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
ユーザーまたはユーザーグループにアクセス許可ポリシーを割り当てる詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)の「*IAM ユーザーのアクセス許可の変更*」を参照してください。
## 追加のポリシーのアタッチ
Amazon Athena や Amazon S3 などの別の AWS サービスを使用している場合は、特定のアクションを実行するためのアクセス許可を Amazon Quick に付与するアクセス許可ポリシーを作成できます。 Amazon S3 その後、後で Amazon Quick に渡す IAM ロールにポリシーをアタッチできます。次に、追加のアクセス権限ポリシーを設定して IAM ロールにアタッチする方法の例を示します。
Athena での Amazon Quick の管理ポリシーの例については、「Amazon [AWSQuicksightAthenaAccess 管理ポリシー](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)」を参照してください。 *Amazon Athena * IAM ユーザーは、次の ARN を使用して Amazon Quick でこのロールにアクセスできます: `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`。
以下は、Amazon S3 の Amazon Quick のアクセス許可ポリシーの例です。Amazon S3 での IAM の使用方法の詳細については、*Amazon S3 ユーザーガイド*の「[Amazon S3 の Identity and Access Management](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)」を参照してください。
Amazon Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを作成する方法については、 AWS ナレッジセンターの[「Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを設定する方法](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)」を参照してください。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Quick での既存の IAM ロールの使用
Amazon Quick 管理者で、Amazon Quick リソースを更新して IAM ロールを渡すアクセス許可がある場合は、Amazon Quick で既存の IAM ロールを使用できます。Amazon Quick で IAM ロールを渡すための前提条件の詳細については、前のリストで概説した[前提条件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)を参照してください。
Amazon Quick で IAM ロールを渡す方法については、次の手順に従います。
**Amazon Quick で既存の IAM ロールを使用するには**
1. Amazon Quick で、右上のナビゲーションバーでアカウント名を選択し、**Manage QuickSight** を選択します。
1. 開いた **Amazon Quick の管理**ページで、左側のメニューで**セキュリティとアクセス許可**を選択します。
1. 開いた **Security & Permissions** ページで、**Amazon Quick Access to AWS services** で **Manage **を選択します。
1. [**IAM ロール**] は [**Use an existing role**] を選択し、次のいずれかを実行します。
+ リストから使用するロールを選択します。
+ または、既存の IAM ロールのリストが表示されない場合は、ロールの IAM ARN を次の形式で入力できます: `arn:aws:iam::account-id:role/path/role-name`。
1. **[保存]** を選択します。
# Quick の IAM ポリシーの例
このセクションでは、Quick で使用できる IAM ポリシーの例を示します。
## Quick の IAM アイデンティティベースのポリシー
このセクションでは、Quick で使用するアイデンティティベースのポリシーの例を示します。
**Topics**
+ [Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー](#security_iam_conosole-administration)
### Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick IAM コンソール管理アクションに必要な IAM アクセス許可を示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: ダッシュボードの IAM アイデンティティベースのポリシー
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 名前空間の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者が名前空間を作成または削除できるようにする IAM ポリシーを示しています。
**名前空間の作成**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**名前空間の削除**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Quick: カスタムアクセス許可の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者または開発者がカスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Quick: E メールレポートテンプレートをカスタマイズするための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick での E メールレポートテンプレートの表示、更新、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、Amazon Quick 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが SES で検証済み ID であることを確認します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Amazon Quick マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、Amazon Quick 管理者が Amazon Quick マネージドユーザーを使用して Enterprise Edition Amazon Quick アカウントを作成できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: ユーザーの作成
次の例は、Amazon Quick ユーザーの作成のみを許可するポリシーを示しています。`quicksight:CreateReader`、`quicksight:CreateUser`、および `quicksight:CreateAdmin` で、**"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、**"Resource": "\$1"** を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Quick: グループの作成と管理のための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス
Amazon Quick Standard Edition の次の例は、作成者と読者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス (Pro ロール)
次の Amazon Quick Enterprise Edition の例では、Amazon Quick ユーザーが IAM Identity Center と統合された Amazon Quick アカウントで Amazon Quick にサブスクライブし、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。
このポリシーでは、ユーザーは Quick Generative BI 機能で Amazon Q へのアクセスを許可する Amazon Quick Pro ロールにサブスクライブすることもできます。Amazon Quick の Pro ロールの詳細については、[「Generative BI の開始方法](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、IAM Identity Center と統合された Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。
このポリシーは、Amazon Quick で Pro ロールを作成するアクセス許可を付与しません。Amazon Quick で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには、[「Amazon Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition のすべてのアクセス](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Active Directory を使用した Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、ID 管理に Active Directory を使用する Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory グループ用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick Enterprise Edition アカウントの Active Directory グループ管理を許可する IAM ポリシーを示しています。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理アセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理キー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"quicksight:ListKMSKeysForUser"` および アクセス`"kms:ListAliases"`許可は、Amazon Quick コンソールからカスタマーマネージドキーにアクセスするために必要です。 `"quicksight:ListKMSKeysForUser"`および `"kms:ListAliases"`は、Amazon Quick キー管理 APIsを使用する必要はありません。
ユーザーにアクセスを許可するキーを指定するには、ユーザーにアクセスを許可するキーの ARN を `quicksight:KmsKeyArns` 条件キーと一緒に `UpdateKeyRegistration` 条件に追加します。ユーザーは、`UpdateKeyRegistration` で指定されたキーにのみアクセスできます。Amazon Quick でサポートされている条件キーの詳細については、[「Amazon Quick の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)」を参照してください。
以下の例では、Amazon Quick アカウントに登録されているすべての CMKs に対する`Describe`アクセス許可と、Amazon Quick アカウントに登録されている特定の CMKs に対する`Update`アクセス許可を付与します。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS リソースクイック: Enterprise Edition でのポリシーのスコープ設定
次の Amazon Quick Enterprise Edition の例では、リソースへのデフォルトアクセスの設定と AWS 、リソースへのアクセス許可のスコープポリシーを許可するポリシーを示しています AWS 。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Amazon Quick のユーザーのプロビジョニング
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
## Amazon Quick 管理者のセルフプロビジョニング
Amazon Quick 管理者は、アカウント設定やアカウントなどの Amazon Quick 機能を管理できるユーザーです。また、追加の Amazon Quick ユーザーサブスクリプションの購入、[SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) の購入、 の Amazon Quick へのサブスクリプションのキャンセルを行うこともできます AWS アカウント。
AWS ユーザーまたはグループポリシーを使用して、Amazon Quick の管理者として自身を追加できるようにします。この権限を付与されたユーザーは、自分自身を管理者として追加することのみが可能で、このポリシーを使用して他のユーザーを追加することはできません。アカウントは、Amazon Quick を初めて開いたときにアクティブになり、請求対象になります。自己プロビジョニングをセットアップするには、これらのユーザーに `quicksight:CreateAdmin` アクションを使用する許可を付与します。
または、次の手順を使用して、コンソールを使用して Amazon Quick の管理者を設定または作成することもできます。
**ユーザーを Amazon Quick 管理者にするには**
1. AWS ユーザーを作成します。
+ IAM を使用して、Amazon Quick の管理者にするユーザーを作成します。または、IAM で管理者ロールのある既存のユーザーを識別します。そのユーザーを管理しやすいように新しいグループに追加することもできます。
+ ユーザー (またはグループ) に十分なアクセス許可を付与します。
1. ターゲットユーザーの認証情報 AWS マネジメントコンソール を使用して にサインインします。
1. [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email) に移動してターゲットユーザーの E メールを入力し、[**続行**] を選択します。
成功すると、ターゲットユーザーは Amazon Quick の管理者になります。
## Amazon Quick 作成者のセルフプロビジョニング
Amazon Quick 作成者は、データソース、データセット、分析、ダッシュボードを作成できます。分析とダッシュボードを Amazon Quick アカウントの他の Amazon Quick ユーザーと共有できます。ただし、**Amazon Quick の管理**メニューにはアクセスできません。アカウント設定を変更したり、アカウントを管理したり、追加の Amazon Quick ユーザーサブスクリプションや [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量を購入したり、 の Amazon Quick へのサブスクリプションをキャンセルしたりすることはできません AWS アカウント。Author Pro ユーザーは、自然言語を使用してコンテンツを作成したり、ナレッジベースを構築したり、アクションを設定したり、高度な自動化機能にアクセスしたりすることもできます。
AWS ユーザーまたはグループポリシーを使用して、ユーザーが Amazon Quick 作成者アカウントを自分で作成できるようにします。Amazon Quick を初めて開くと、アカウントがアクティブになり、請求対象になります。自己プロビジョニングを設定するには、`quicksight:CreateUser` アクションを使用するアクセス権限を付与する必要があります。
## Amazon Quick 読み取り専用ユーザーのセルフプロビジョニング
Amazon Quick の読み取り専用ユーザーまたは*リーダーは*、共有されているダッシュボードを表示および操作できますが、詳細な分析のためにダッシュボードを変更したり保存したりすることはできません。Amazon Quick Reader は、データソース、データセット、分析、ビジュアルを作成できません。管理タスクは一切できません。ダッシュボードのコンシューマーで、エグゼクティブなどの独自の分析を作成しないユーザーには、このロールを選択します。Reader Pro ユーザーは、AI チャットエージェント、コラボレーションスペース、フロー、拡張機能などの高度な機能にアクセスできます。
Amazon Quick で Microsoft Active Directory を使用している場合は、 グループを使用して読み取り専用アクセス許可を管理できます。それ以外の場合は、Amazon Quick を使用するようにユーザーを一括招待できます。 AWS ユーザーまたはグループポリシーを使用して、ユーザーが Amazon Quick Reader アカウントを自分で作成できるようにすることもできます。
リーダーアカウントは、Amazon Quick を初めて開いたときにアクティブになり、請求対象になります。ユーザーのアップグレードまたはダウングレードを決定した場合、そのユーザーへの請求はその月で比例配分されます。自己プロビジョニングを設定するには、`quicksight:CreateReader` アクションを使用するアクセス権限を付与する必要があります。
ほぼリアルタイムのユースケースのダッシュボードを自動的またはプログラムで更新している閲覧者は、キャパシティ料金を選択する必要があります。ユーザー料金を選択する閲覧者の場合、手動の使用は 1 人のみに制限されます。
# クイック ID とアクセスのトラブルシューティング
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
以下の情報は、Amazon Quick と IAM の使用時に発生する可能性がある一般的な問題の診断と修正に役立ちます。
**Topics**
+ [Amazon Quick でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [AWS アカウント外のユーザーに Amazon Quick リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Amazon Quick でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。
以下の例のエラーは、`mateojackson` IAM ユーザーがコンソールを使用して [*ウィジェット*] の詳細を表示する際に、`quicksight:GetWidget` 許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`quicksight:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon Quick にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次の例のエラーは、 という IAM ユーザーがコンソールを使用して Amazon Quick `marymajor` でアクションを実行しようとすると発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## AWS アカウント外のユーザーに Amazon Quick リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Amazon Quick がこれらの機能をサポートしているかどうかを確認するには、「」を参照してください[IAM での Quick の使用](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# IAM Identity Center の使用
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
Amazon Quick Enterprise Edition は、Microsoft Active Directory または Security Assertion Markup Language (SAML) を使用したシングルサインオン (IAM Identity Center) を使用して、既存のディレクトリと統合されます。 AWS Identity and Access Management (IAM) を使用して、セキュリティをさらに強化したり、ダッシュボードの埋め込みなどのカスタムオプションに使用したりできます。
Quick Standard Edition では、Quick 内でユーザーを完全に管理できます。必要に応じて、IAM の既存のユーザー、グループ、ロールと統合することができます。
Amazon Quick のアイデンティティとアクセスには、次のツールを使用できます。
+ [IAM アイデンティティセンター](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(エンタープライズ版のみ)
+ [IAM フェデレーション](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html) (Standard Editionと Enterprise Edition)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html) (Enterprise Edition のみ)
+ [SAML ベースのシングルサインオン](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html) (Standard Edition および Enterprise Edition)
+ [多要素認証 (MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html) (Standard Edition および Enterprise Edition)
**注記**
以下に示すリージョンでは、Amazon Quick アカウントは ID とアクセスの管理にのみ [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html) を使用できます。
`af-south-1` アフリカ (ケープタウン)
`ap-southeast-3` アジアパシフィック (ジャカルタ)
`ap-southeast-5` アジアパシフィック (マレーシア)
`eu-south-1` 欧州 (ミラノ)
`eu-central-2` 欧州 (チューリッヒ)
IAM Identity Center は、ワークフォース ID を安全に作成または接続し、 AWS アカウントとアプリケーション間のアクセスを管理するのに役立ちます。
Amazon Quick アカウントを IAM アイデンティティセンターと統合する前に、アカウントに AWS IAM アイデンティティセンターを設定します。 AWS 組織で IAM Identity Center を設定していない場合は、[「 ユーザーガイド](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」の「開始方法」を参照してください。 *AWS IAM アイデンティティセンター *
IAM アイデンティティセンターで外部 ID プロバイダを構成する場合は、「[サポートされる ID プロバイダ](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)」を参照して、サポートされる ID プロバイダの構成手順のリストを表示します。
**Topics**
+ [IAM Identity Center で Amazon Quick アカウントを設定する](#sec-identity-management-identity-center)
## IAM Identity Center で Amazon Quick アカウントを設定する
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
IAM Identity Center は、既存のワークフォース ID を安全に作成または設定し、 AWS アカウントとアプリケーション間のアクセスを管理するのに役立ちます。IAM アイデンティティセンターは、規模や種類を問わず、 AWS における従業員の認証と認可に推奨されるアプローチです。IAM Identity Center の詳細については、「[AWS IAM アイデンティティセンター](https://aws.amazon.com//iam/identity-center/)」を参照してください。
Amazon Quick と IAM Identity Center を設定して、IAM Identity Center が設定した ID ソースを使用して新しい Amazon Quick アカウントにサインアップできるようにします。IAM アイデンティティセンターでは、外部 ID プロバイダーをアイデンティティーソースとして設定できます。Amazon Quick でサードパーティーの ID プロバイダーを使用しない場合は、IAM Identity Center を ID ストアとして使用することもできます。ID メソッドは、アカウントの作成後に変更することはできません。
Amazon Quick アカウントを IAM Identity Center と統合すると、Amazon Quick アカウント管理者は、ID プロバイダーのグループを自動的に利用できる新しい Amazon Quick アカウントを作成できます。これにより、Amazon Quick での大規模なアセット共有が簡素化されます。
Amazon Quick 管理コンソールの一部のセクションへのアクセスは、IAM アクセス許可によって制限されています。次の表は、選択したアクセスタイプに基づいて Amazon Quick で実行できる管理者アクションをまとめたものです。
IAM アイデンティティセンターで Amazon Quick アカウントにサインアップする方法の詳細については、[「Amazon Quick サブスクリプションにサインアップする](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)」を参照してください。
| 管理者アクション | IAM アクセス許可 | Amazon Quick 管理者ロールのアクセス許可 |
| --- | --- | --- |
| **アセットの管理** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ |
| **セキュリティおよびアクセス許可** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ |
| **VPC 接続の管理** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ |
| **KMS キー** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ |
| **アカウント設定** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ |
| **アカウントのカスタマイズ** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい |
| **ユーザーの管理** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい (IAM アイデンティティセンターユーザー) | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい (Amazon Quick および IAM ユーザー) |
| **お客様のサブスクリプション** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい |
| **モバイル設定** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい |
| **ドメインと埋め込み** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい |
| **SPICE 容量** | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/negative_icon.svg) いいえ | ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/success_icon.svg) はい |
Amazon Quick モバイルアプリは、IAM アイデンティティセンターと統合された Amazon Quick アカウントではサポートされていません。
### 考慮事項
次のアクションにより、Amazon Quick ユーザーは Amazon Quick にサインインできなくなります。Amazon Quick では、Amazon Quick ユーザーがこれらのアクションを実行することはお勧めしません。
+ IAM Identity Center コンソールで Amazon Quick アプリケーションを無効化または削除します。Amazon Quick アカウントを削除する場合は、[「Amazon Quick アカウントの閉鎖](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)」を参照してください。
+ IAM Identity Center 設定を含む Amazon Quick アカウントを、Amazon Quick アカウントが設定されている IAM Identity Center インスタンスを含まない AWS Organization に移行します。
+ Amazon Quick アカウントに設定された IAM Identity Center インスタンスを削除します。
+ IAM Identity Center アプリケーション属性 (**requires assignment** 属性など) を編集する。
# IAM フェデレーション
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
**重要**
Amazon Quick では、ID 管理のために新しい Amazon Quick サブスクリプションを IAM Identity Center と統合することをお勧めします。この IAM ID フェデレーションユーザーガイドは、既存のアカウント設定のリファレンスとして提供されています。Amazon Quick アカウントを IAM Identity Center と統合する方法の詳細については、「[Configure your Amazon Quick account with IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)」を参照してください。
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Amazon Quick は、Standard Edition と Enterprise Edition の両方で ID フェデレーションをサポートしています。フェデレーティッドユーザーを使用すると、エンタープライズ ID プロバイダー (IdP) を使用してユーザーを管理し、 AWS Identity and Access Management (IAM) を使用して Quick にサインインするときにユーザーを認証できます。Security Assertion Markup Language 2.0 (SAML 2.0) をサポートするサードパーティーの ID プロバイダーを使用して、Amazon Quick ユーザーにオンボーディングフローを提供できます。そのような ID プロバイダーとしては、Microsoft Active Directory Federation Services、Okta、Ping One Federation Server などがあります。ID フェデレーションを使用すると、ユーザーは既存の ID 認証情報を使用して Amazon Quick アプリケーションにワンクリックでアクセスできます。また、ID プロバイダーによる ID 認証によるセキュリティ上の利点もあります。既存の ID プロバイダーを使用して、Amazon Quick にアクセスできるユーザーを制御できます。
**Topics**
+ [アイデンティティプロバイダー (IdP) からのサインオンの開始](federated-identities-idp-to-sp.md)
+ [IAM と Amazon Quick を使用した IdP フェデレーションの設定](external-identity-providers-setting-up-saml.md)
+ [Quick からのサインオンの開始](federated-identities-sp-to-idp.md)
+ [Quick Enterprise Edition を使用したサービスプロバイダー主導のフェデレーションの設定](setup-quicksight-to-idp.md)
+ [Quick でのフェデレーティッドユーザーの E メール同期の設定](jit-email-syncing.md)
+ [チュートリアル: Amazon Quick と IAM ID フェデレーション](tutorial-okta-quicksight.md)
# アイデンティティプロバイダー (IdP) からのサインオンの開始
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
このシナリオでは、ユーザーは ID プロバイダーのポータルからサインオンプロセスを開始します。ユーザーが認証されたら、Amazon Quick にサインインします。Quick は、承認されていることを確認したら、Quick にアクセスできます。
ユーザーが IdP にサインインしてから、認証で次のステップを実行します。
1. ユーザーは `https://applications.example.com` をブラウジングし、IdP にサインオンします。この時点では、ユーザーはサービスプロバイダーにサインインしていません。
1. フェデレーションサービスと IdP がユーザーを認証します。
1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。
1. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。
1. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。
1. ユーザーが Amazon Quick を開きます。
1. ユーザーのブラウザが AWS サインインの SAML エンドポイント (`https://signin.aws.amazon.com/saml`) に SAML アサーションを送信します。
1. AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを Amazon Quick サービスに転送します。
1. Amazon Quick は からの認証トークンを受け入れ AWS 、ユーザーに Amazon Quick を提示します。
ユーザーの立場では、このプロセスを意識することはありません。ユーザーは組織の内部ポータルから開始し、 AWS 認証情報を指定しなくても Amazon Quick アプリケーションポータルに移動します。
次の図では、Amazon Quick とサードパーティー ID プロバイダー (IdP) 間の認証フローを示しています。この例では、管理者は という Amazon Quick にアクセスするためのサインインページを設定しています`applications.example.com`。ユーザーがサインインすると、サインインページは、SAML 2.0 に準拠したフェデレーションサービスにリクエストを投稿します。エンドユーザーは IdP のサインオンページから認証を開始します。
![\[クイック SAML 図。この図には、2 つの囲みがあります。1 つ目の囲みは、エンタープライズ内の認証プロセスを示しています。2 つ目の囲みは、 AWS内の認証を示しています。プロセスについては、このテーブルに続くテキストで説明しています。\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/SAML-Flow-Diagram.png)
一般的なプロバイダーからの情報については、次のサードパーティーのドキュメントを参照してください。
+ CA — [Enabling SAML 2.0 HTTP Post Binding](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta — [Planning a SAML deployment](https://developer.okta.com/docs/concepts/saml/)
+ Ping — [Amazon integrations](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
で既存のフェデレーションを使用する方法については、以下のトピックを参照してください AWS。
+ AWS ウェブサイトの [での ID フェデレーション AWS](https://aws.amazon.com/identity/federation/)
+ *IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)
+ 「IAM ユーザーガイド」の「[SAML 2.0 フェデレーティッドユーザーが AWS Management Consoleにアクセス可能にする](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)」
# IAM と Amazon Quick を使用した IdP フェデレーションの設定
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
AWS Identity and Access Management (IAM) ロールとリレーステート URL を使用して、SAML 2.0 に準拠する ID プロバイダー (IdP) を設定できます。このロールは、Amazon Quick へのアクセス許可をユーザーに付与します。リレーステートは、 AWSによる認証に成功した後にユーザーが転送されるポータルです。
**Topics**
+ [前提条件](#external-identity-providers-setting-up-prerequisites)
+ [ステップ 1: で SAML プロバイダーを作成する AWS](#external-identity-providers-create-saml-provider)
+ [ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS を で設定する](#external-identity-providers-grantperms)
+ [ステップ 3: SAML IdP を設定する](#external-identity-providers-config-idp)
+ [ステップ 4: SAML 認証レスポンスのアサーションを作成する](#external-identity-providers-create-assertions)
+ [ステップ 5: フェデレーションのリレーステートを設定する](#external-identity-providers-relay-state)
## 前提条件
SAML 2.0 接続を設定する前に、以下の操作を行います。
+ AWS との信頼関係を確立するように IdP を設定します。
+ 組織のネットワーク内で、Windows Active Directory などの ID ストアを SAML ベースの IdP で使用するように設定します。SAML ベースの IdP としては、Active Directory フェデレーションサービス、Shibboleth などがあります。
+ IdP を使用して、組織を ID プロバイダーとするメタデータドキュメントを生成します。
+ AWS マネジメントコンソールの場合と同じ手順で、SAML 2.0 認証を設定します。このプロセスが完了したら、Quick のリレー状態と一致するようにリレー状態を設定できます。詳細については、「フェ[デレーションのリレー状態を設定する](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)」を参照してください。
+ Amazon Quick アカウントを作成し、IAM ポリシーと IdP を設定するときに使用する名前を書き留めます。Amazon Quick アカウントの作成の詳細については、[「Amazon Quick サブスクリプションにサインアップする](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)」を参照してください。
チュートリアルで説明 AWS マネジメントコンソール されているように にフェデレーションするセットアップを作成したら、チュートリアルで提供されているリレー状態を編集できます。これを行うには、以下のステップ 5 で説明する Amazon Quick のリレー状態を使用します。
詳細については、以下のリソースを参照してください。
+ 「*IAM ユーザーガイド*」の「[サードパーティーの SAML ソリューションプロバイダーと AWSの統合](https://docs.aws.amazon.com/singlesignon/latest/userguide/)」
+ *IAM ユーザーガイド*の「 [を使用した SAML 2.0 フェデレーションのトラブルシューティング AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)」も参照してください。
+ [ADFS AWS と の間の信頼を設定し、Active Directory 認証情報を使用して ODBC ドライバーで Amazon Athena に接続する](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) – このチュートリアル記事は役立ちますが、Amazon Quick を使用するには Athena を設定する必要はありません。
## ステップ 1: で SAML プロバイダーを作成する AWS
SAML ID プロバイダーは、組織の IdP を に定義します AWS。設定には、IdP を利用して以前に生成したメタデータドキュメントを使用します。
**で SAML プロバイダーを作成するには AWS**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 新しい SAML プロバイダーを作成します。これは、組織の ID プロバイダーに関する情報を保持する IAM のエンティティです。詳細については、*IAM ユーザーガイド*の [SAML ID プロバイダーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)を参照してください。
1. このプロセスの一環として、前のセクションで言及した組織の IdP ソフトウェアによって生成されたメタデータドキュメントをアップロードします。
## ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS を で設定する
次に、IAM と組織の IdP の間の信頼関係を確立する IAM ロールを作成します。このロールは、フェデレーションの目的で IdP をプリンシパル (信頼されたエンティティ) として識別します。このロールは、組織の IdP によって認証されたユーザーが Amazon Quick にアクセスすることを許可されることも定義します。SAML IdP のロールの作成の詳細については、*IAM ユーザーガイド* の [SAML 2.0 フェデレーション用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)を参照してください。
ロールを作成したら、インラインポリシーをロールにアタッチすることで、ロールのアクセス許可を Amazon Quick のみに制限できます。次のポリシードキュメントのサンプルは、Amazon Quick へのアクセスを提供します。このポリシーにより、ユーザーは Amazon Quick にアクセスでき、作成者アカウントと閲覧者アカウントの両方を作成できます。
**注記**
以下の例では、** を 12 桁の AWS アカウント アカウント ID (ハイフン ‘‐’ なし) に置き換えています。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Amazon Quick へのアクセスを提供し、Amazon Quick 管理者、作成者 (標準ユーザー)、およびリーダーを作成する機能を提供する場合は、次のポリシー例を使用できます。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
アカウントの詳細については、「」を参照してください AWS マネジメントコンソール。
SAML と IAM ポリシーまたはポリシーの設定後に、手動でユーザーを招待する必要はありません。ユーザーが Amazon Quick を初めて開くと、ポリシーの最上位のアクセス許可を使用して自動的にプロビジョニングされます。たとえば、`quicksight:CreateUser` と `quicksight:CreateReader` 両方のアクセス権限がある場合、作成者としてプロビジョニングされます。また、`quicksight:CreateAdmin` へのアクセス権限もある場合は、管理者としてプロビジョニングされます。各アクセス権限レベルでは、同レベル以下のユーザーを作成できます。たとえば、作成者は別の作成者や閲覧者を追加できます。
手動で招待されたユーザーは、招待したユーザーに割り当てられたロールで作成されます。アクセス権限を付与するポリシーは不要です。
## ステップ 3: SAML IdP を設定する
IAM ロールを作成したら、サービスプロバイダー AWS として に関する SAML IdP を更新します。更新のために、以下から `saml-metadata.xml` ファイルインストールします: [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)。
IdP メタデータを更新するには、IdP から提供される手順を参照してください。プロバイダーによっては、URL の入力を選択できる場合があります。この場合、IdP がお客様の代わりにファイルを取得してインストールします。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。
詳細については、IdP のドキュメントを参照してください。
## ステップ 4: SAML 認証レスポンスのアサーションを作成する
次に、認証レスポンスの一部として IdP が SAML 属性 AWS として渡す情報を設定します。詳細については、*IAM ユーザーガイド*の[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)を参照してください。
## ステップ 5: フェデレーションのリレーステートを設定する
最後に、Amazon Quick リレーステート URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは SAML 認証レスポンスのリレー状態として定義された Amazon Quick に誘導されます。
Amazon Quick のリレーステート URL は次のとおりです。
```
https://quicksight.aws.amazon.com
```
# Quick からのサインオンの開始
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
このシナリオでは、ユーザーは ID プロバイダーにサインインせずに Amazon Quick アプリケーションポータルからサインオンプロセスを開始します。この場合、ユーザーはサードパーティーの IdP によって管理されるフェデレーションアカウントを持っています。ユーザーは Quick にユーザーアカウントを持っている可能性があります。Quick は IdP に認証リクエストを送信します。ユーザーが認証されると、クイックが開きます。
ユーザーが Quick にサインインしてから、認証は以下の手順を実行します。
1. ユーザーがクイックを開きます。この時点で、ユーザーは IdP にサインインしていません。
1. ユーザーは Amazon Quick にサインインしようとします。
1. Amazon Quick は、ユーザーの入力をフェデレーションサービスにリダイレクトし、認証をリクエストします。
1. フェデレーションサービスと IdP がユーザーを認証します。
1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。
1. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。
1. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。
1. ユーザーのブラウザが AWS サインインの SAML エンドポイント (`https://signin.aws.amazon.com/saml`) に SAML アサーションを送信します。
1. AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを Amazon Quick サービスに転送します。
1. Amazon Quick は からの認証トークンを受け入れ AWS 、ユーザーに Amazon Quick を提示します。
ユーザーの立場では、このプロセスを意識することはありません。ユーザーは Amazon Quick アプリケーションポータルから開始します。Amazon Quick は、組織のフェデレーションサービスと認証をネゴシエートします AWS。Amazon Quick が開き、ユーザーが追加の認証情報を指定する必要はありません。
# Quick Enterprise Edition を使用したサービスプロバイダー主導のフェデレーションの設定
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
AWS Identity and Access Management (IAM) を使用して ID プロバイダーを設定したら、Amazon Quick Enterprise Edition を使用してサービスプロバイダーが開始したサインインを設定できます。クイック開始 IAM フェデレーションを機能させるには、Quick が認証リクエストを IdP に送信することを許可する必要があります。クイック管理者は、IdP が提供する以下の情報を追加することで、これを設定できます。
+ IdP URL – クイックは、認証のためにユーザーをこの URL にリダイレクトします。
+ リレーステートパラメータ — このパラメータは、ブラウザセッションが認証のためにリダイレクトされたときのステートをリレーします。IdP は、認証後にユーザーを元のステートにリダイレクトします。ステートは URL として提供されます。
次の表は、指定したクイック URL にユーザーをリダイレクトするための標準認証 URL とリレーステートパラメータを示しています。
| ID プロバイダー | パラメータ | 認証 URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Google アカウント | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick は、 あたり 1 つの IdP への接続をサポートしています AWS アカウント。Amazon Quick の設定ページには、エントリに基づくテスト URLsが表示されるため、この機能を有効にする前に設定をテストできます。プロセスをさらにシームレスにするために、Amazon Quick では、Amazon Quick が開始した IAM フェデレーションを一時的に無効にする必要がある場合に備えて、パラメータ (`enable-sso=0`) を提供しています。
## 既存の IdP の IAM フェデレーションを開始できるサービスプロバイダーとして Amazon Quick を設定するには
1. IdP、IAM、Amazon Quick で IAM フェデレーションが既に設定されていることを確認します。この設定をテストするには、ダッシュボードを会社のドメイン内の他のユーザーと共有できるかどうかをチェックします。
1. Amazon Quick を開き、右上のプロファイルメニューから **Amazon Quick の管理**を選択します。
この手順を実行するには、Amazon Quick 管理者である必要があります。そうでない場合は、プロファイルメニューに **Amazon Quick の管理**が表示されません。
1. ナビゲーションペインで **[Single Sign-On (IAM フェデレーション)]** を選択します。
1. [**Configuration (設定)**]、[**IdP URL**] に、IdP がユーザーを認証するために提供する URL を入力します。
1. **IdP URL**に、IdP がリレーステートを提供するためのパラメータを入力します (例: `RelayState`)。パラメータの実際の名前は IdP によって提供されます。
1. サインインをテストする:
+ ID プロバイダーでのサインインをテストするには、[**Test starting with your IdP (IdP での開始テスト)**] にあるカスタム URL を使用します。Amazon Quick の開始ページ、例えば https://quicksight.aws.amazon.com/sn/start が表示されます。
+ 最初に Amazon Quick でサインインをテストするには、**end-to-endエクスペリエンスのテスト**」で提供されているカスタム URL を使用します。`enable-sso` パラメータが URL に追加されます。もし`enable-sso=1` なら、IAM フェデレーションが認証を試みます。
1. 設定を保存するには [**Save (保存)**] を選択します。
## サービスプロバイダーが開始する IAM フェデレーション IdP を有効にするには
1. IAM フェデレーションが設定され、テストされていることを確認します。設定が不明な場合は、前の手順の URL を使用して接続をテストします。
1. Amazon Quick を開き、プロファイルメニューから **Amazon Quick の管理**を選択します。
1. ナビゲーションペインで **[Single Sign-On (IAM フェデレーション)]** を選択します。
1. [**Status (ステータス)**] で、[**ON (オン)**] を選択します。
1. IdP から切断し、Amazon Quick を開いて、動作していることを確認します。
## サービスプロバイダーによって開始された IAM フェデレーションを無効にするには
1. Amazon Quick を開き、プロファイルメニューから **Amazon Quick の管理**を選択します。
1. ナビゲーションペインで **[Single Sign-On (IAM フェデレーション)]** を選択します。
1. [**Status (ステータス)**] で、[**OFF (オフ)**] を選択します。
# Quick でのフェデレーティッドユーザーの E メール同期の設定
| |
| --- |
| 適用対象: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Amazon Quick Enterprise Edition では、管理者として、ID プロバイダー (IdP) を介して Quick に直接プロビジョニングするときに、新しいユーザーが個人の E メールアドレスを使用することを制限できます。Quick は、アカウントに新しいユーザーをプロビジョニングするときに、IdP を介して渡される事前設定された E メールアドレスを使用します。例えば、IdP を介してユーザーが Amazon Quick アカウントにプロビジョニングされたときに、企業に割り当てられた E メールアドレスのみが使用されるようにすることができます。
**注記**
ユーザーが IdP を介して Amazon Quick に直接フェデレーションしていることを確認します。IdP AWS マネジメントコンソール を介して にフェデレーションし、Amazon Quick をクリックするとエラーが発生し、Amazon Quick にアクセスできなくなります。
Amazon Quick でフェデレーティッドユーザーの E メール同期を設定すると、Amazon Quick アカウントに初めてログインするユーザーに E メールアドレスが事前に割り当てられます。これらのアドレスは、ユーザーのアカウントの登録に使用されます。この方法では、ユーザーはメールアドレスを入力することで手動でバイパスすることができる。また、管理者が指定したメールアドレスと異なるメールアドレスを使用することはできません。
Amazon Quick は、SAML または OpenID Connect (OIDC) 認証をサポートする IdP を介したプロビジョニングをサポートしています。IdP 経由でのプロビジョニング時における新規ユーザー用の E メールアドレスを設定するには、新規ユーザーが `AssumeRoleWithSAML` または `AssumeRoleWithWebIdentity` で使用する IAM ロールの信頼関係を更新します。その後、新規ユーザーの IdP に SAML 属性または OIDC トークンを追加します。最後に、Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にします。
以下の手順では、これらのステップが詳しく説明されています。
## ステップ 1: AssumeRoleWithSAML または AssumeRoleWithWebIdentity で IAM ロールの信頼関係を更新する
IdP 経由で Amazon Quick にプロビジョニングするときに使用する E メールアドレスを設定できます。これを行うには、`AssumeRoleWithSAML` または `AssumeRoleWithWebIdentity` で使用する IAM ロールの信頼関係に `sts:TagSession` アクションを追加します。そうすることで、ユーザーがロールを引き受けるときに `principal` タグを渡すことができます。
以下は、IdP が Okta である更新済みの IAM ロールの例です。この例を使用するには、サービスプロバイダー用の Amazon リソースネーム (ARN) で `Federated` ARN を更新します。赤の項目は、 AWS および IdP サービス固有の情報に置き換えることができます。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## ステップ 2: IdP の IAM プリンシパルタグに SAML 属性または OIDC トークンを追加する
上記の説明どおりに IAM ロールの信頼関係を更新したら、IdP の IAM `Principal` タグに SAML 属性または OIDC トークンを追加します。
以下は、SAML 属性と OIDC トークンの例です。これらの例を使用するには、E メールアドレスを、ユーザーの E メールアドレスをポイントする IdP 内の変数に置き換えてください。赤色で強調表示されている項目は、独自の情報に置き換えることができます。
+ **SAML 属性**: 以下は、SAML 属性の例です。
```
john.doe@example.com
```
**注記**
IdP として Okta を使用している場合は、SAML をするために Okta ユーザーアカウントで機能フラグをオンにするようにしてください。詳細については、[Okta ブログの「Okta と AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)」を参照してください。
+ **OIDC トークン**: 以下は、OIDC トークンの例です。
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## ステップ 3: Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にする
上記の説明どおり、IAM ロールの信頼関係を更新して、IdP の IAM `Principal` タグに SAML 属性または OIDC トークンを追加します。次に、次の手順で説明されているように、Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にします。
**フェデレーティッドユーザーに対する E メール同期を有効にする**
1. Amazon Quick の任意のページから、右上のユーザー名を選択し、**Amazon Quick の管理**を選択します。
1. 左側のメニューで **[Single sign-on (IAM フェデレーション)]** をクリックします。
1. **[サービスプロバイダ主導の IAM フェデレーション]** ページで、**[連携ユーザーの電子メール同期]** で **[オン]** を選択します。
フェデレーティッドユーザーの E メール同期がオンの場合、Amazon Quick は、アカウントに新しいユーザーをプロビジョニングするときに、ステップ 1 と 2 で設定した E メールアドレスを使用します。ユーザーが独自の E メールアドレスを入力することはできません。
フェデレーティッドユーザーの E メール同期がオフの場合、Amazon Quick は、アカウントに新しいユーザーをプロビジョニングするときに、E メールアドレスを手動で入力するようユーザーに求めます。ユーザーは、任意の E メールアドレスを使用できます。
# チュートリアル: Amazon Quick と IAM ID フェデレーション
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: Amazon Quick Administrators と Amazon Quick Developer |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
次のチュートリアルでは、IdP Okta を Amazon Quick のフェデレーションサービスとして設定するためのチュートリアルを示します。このチュートリアルでは AWS Identity and Access Management (IAM) と Okta の統合について説明していますが、任意の SAML 2.0 IdPs を使用してこのソリューションを複製することもできます。
次の手順では、AWS 「アカウントフェデレーション」ショートカットを使用して Okta IdP にアプリを作成します。Okta は、この統合アプリケーションを次のように記述します。
「Okta を Amazon Web Services (AWS) Identity and Access Management (IAM) アカウントにフェデレーションすることで、エンドユーザーは Okta 認証情報を使用して割り当てられたすべての AWS ロールにシングルサインオンアクセスできるようになります。各 で AWS アカウント、管理者はフェデレーションを設定し、Okta を信頼するように AWS ロールを設定します。ユーザーが にサインインすると AWS、Okta シングルサインインエクスペリエンスが提供され、割り当てられた AWS ロールが表示されます。その後、必要なロールを選択できます。ロールは、認証セッション期間中のアクセス許可を定義しています。アカウント数が多いお客様は AWS 、代わりに Single Sign-On アプリを確認してください AWS 。」 (https://www.okta.com/aws/)
**Okta のAWS 「アカウントフェデレーション」アプリケーションショートカットを使用して Okta アプリケーションを作成するには**
1. Okta ダッシュボードにサインインします。お持ちでない場合は、[この Amazon Quick-branded URL](https://developer.okta.com/quickstart/) を使用して無料の Okta Developer Edition アカウントを作成します。E メールを有効にしたら、Okta にサインインします。
1. Okta のウェブサイトの左上で、[**<> Developer Console (デベロッパーコンソール)**] を選択し、続いて [**Classic UI (クラシック UI)**] を選択します。
1. [**Add Applications (アプリケーションを追加する)**] を選択し、続いて [**Add app (アプリの追加)**] を選択します。
1. **[検索]** に **aws** を入力し、検索結果から **[AWS アカウントフェデレーション]** を選択します。
1. [**Add (追加)**] を選択して、このアプリケーションのインスタンスを作成します。
1. [**Application label (アプリケーションラベル)**] には **AWS Account Federation - Amazon Quick** と入力します。
1. [**Next (次へ)**] を選択します。
1. [**SAML 2.0**]、[**Default Relay State (デフォルトのリレーステート)**] に **https://quicksight.aws.amazon.com** と入力します。
1. コンテキストメニュー (右クリック)の [**Identity Provider metadata (ID プロバイダーメタデータ)**] を開き、ファイルを選択して保存します。ファイルを `metadata.xml` と名付けます。次の手順でこのファイルが必要になります。
ファイルのコンテンツは以下のようになります。
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. XML ファイルを保存したら、Okta ページの下部までスクロールし、[**Done (完了)**] を選択します。
1. 可能であれば、このブラウザウィンドウを開いたままにします。チュートリアルの後半でこの ウィンドウ が必要になります。
次に、 AWS アカウントで ID プロバイダーを作成します。
**AWS Identity and Access Management (IAM) で SAML プロバイダーを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで、[**Identity providers (ID プロバイダー)**]、[**Create Provider (プロバイダーの作成)**] を選択します。
1. 以下の設定を入力します。
+ [**Provider Type (プロバイダーのタイプ)**] — リストから [**SAML**] を選択します。
+ [**Provider Name (プロバイダー名)**] — **Okta** と入力します。
+ [**Metadata Document (メタデータドキュメント)**] — 前の手順から XML ファイル `manifest.xml` をアップロードします。
1. [**Next Step (次のステップ)**]、[**Create (作成)**] の順に選択します。
1. 作成した IdP を見つけて選択し、設定を表示します。[**Provider ARN (プロバイダー ARN)**] を書き留めます。チュートリアルを終了するためにこれが必要です。
1. 設定を使用して ID プロバイダーが作成されていることを確認します。IAM で、**[ID プロバイダー]**、**[Okta]**] (追加した IdP)、**[メタデータのダウンロード]** を選択します。ファイルは、最近アップロードしたファイルである必要があります。
次に、IAM ロールを作成して、SAML 2.0 フェデレーションが の信頼されたエンティティとして機能するようにします AWS アカウント。このステップでは、Amazon Quick でユーザーをプロビジョニングする方法を選択する必要があります。次のいずれかを試すことができます。
+ 初めての訪問者が自動的に Amazon Quick ユーザーになるように、IAM ロールにアクセス許可を付与します。
**信頼されたエンティティとして SAML 2.0 フェデレーションの IAM ロールを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで [**Roles (ロール)**]、[**Create Role (ロールの作成)**] の順に選択します。
1. [**Select type of trusted entity (信頼されたエンティティのタイプを選択)**]で、**SAML 2.0 フェデレーション**ラベルが付いたカードを選択します。
1. [**SAML provider (SAML プロバイダー)**] で、前の手順で作成した IdP を選択します (例: `Okta`)。
1. **[Allow programmatic and AWS Management Console access]** (プログラムによるアクセスと マネジメントコンソールによるアクセスを許可する) オプションを有効にします。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. 以下のポリシーをエディタに貼り付けます。
ポリシーエディターで、プロバイダーの Amazon リソースネーム (ARN) を使用して JSON を更新します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. [**Review policy (ポリシーの確認)**] を選択します。
1. [**Name (名前)**] に **QuicksightOktaFederatedPolicy** と入力し、[**Create policy (ポリシーの作成)**] を選択します。
1. 再度、[**Create policy (ポリシーの作成)**]、[**JSON**] を選択します。
1. 以下のポリシーをエディタに貼り付けます。
ポリシーエディタで、JSON を AWS アカウント ID で更新します。これは、プロバイダー ARN の前のポリシーで使用したものと同じアカウント ID である必要があります。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
次に示すように、ARN で AWS リージョン 名前を省略できます。
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. **[ポリシーの確認]** を選択します。
1. [**Name (名前)**] に **QuicksightCreateReader** と入力し、[**Create policy (ポリシーの作成)**] を選択します。
1. 右側の更新アイコンを選択して、ポリシーのリストを更新します。
1. [**Search (検索)**] に **QuicksightOktaFederatedPolicy** と入力します。ポリシーを選択して有効にします (![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/checkbox-on.png))。
自動プロビジョニングを使用しない場合は、次のステップをスキップできます。
Amazon Quick ユーザーを追加するには、[register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html) を使用します。Amazon Quick グループを追加するには、[create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html) を使用します。Amazon Quick グループにユーザーを追加するには、[create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html) を使用します。
1. (オプション) [**Search (検索)**] に **QuicksightCreateReader** と入力します。ポリシーを選択して有効にします (![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/checkbox-on.png))。
Amazon Quick API を使用するのではなく、Amazon Quick ユーザーを自動的にプロビジョニングする場合は、このステップを実行します。
`QuicksightCreateReader` ポリシーを使用すると、`quicksight:CreateReader` アクションを使用した自動プロビジョニングがアクティブ化されます。これにより、ダッシュボードの受信者 (閲覧者レベル) に初めてのユーザーがアクセスできるようになります。Amazon Quick 管理者は、後で Amazon Quick プロファイルメニュー、**Amazon Quick の管理**、**ユーザーの管理**からアップグレードできます。
1. IAM ポリシーを引き続きアタッチするには、[**Next: Tags (次へ: タグ)**] を選択します。
1. [**Next: Review (次へ: レビュー)**] を選択します。
1. [**Role name (ロール名)**] に **QuicksightOktaFederatedRole** と入力し、[**Create role (ロールの作成)**] を選択します。
1. 次のステップを実行して、この作業が正常に完了したことを確認します。
1. IAM コンソール のメインページ [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) に戻ります。ブラウザの [**Back (戻る)**] ボタンを使用します。
1. [**Roles (ロール)**] を選択します。
1. [**Search (検索)**]に、Okta と入力します。検索結果から、[**QuicksightOktaFederatedRole**] を選択します。
1. ポリシーの [**Summary (概要)**] ページで、[**Permissions (アクセス許可)**] タブを検証します。ロールに、アタッチした 1 つ以上のポリシーがあることを確認します。`QuicksightOktaFederatedPolicy` を含んでいる必要があります。ユーザー作成機能を追加することを選択した場合は、`QuicksightCreateReader` も含んでいる必要があります。
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/caret-right-filled.png) アイコンを使用して、各ポリシーを開きます。テキストが、この手順に示されている内容と一致することを確認します。サンプルアカウント AWS アカウント 番号 111111111111 の代わりに独自の番号を追加したことを再度確認します。
1. [**Trust relationships (信頼関係)**] タブで、[**Trusted entities (信頼されたエンティティ)**] フィールドに、ID プロバイダーの ARN が含まれていることを確認します。[**Identity providers (ID プロバイダー)**]、[**Okta**] で、IAM コンソールの ARN を再確認できます。
**Okta のアクセスキーを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. Okta が IAM ロールのリストをユーザーに表示することを許可するポリシーを追加します。このためにまず、[**Policy (ポリシー)**]、 [**Create policy (ポリシーの作成)**] を選択します。
1. [**JSON**] を選択し、以下のポリシーを入力します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. [**Review Policy (ポリシーの確認)**] を選択します。
1. [**Name (名前)**] に **OktaListRolesPolicy** と入力します。その後、[**Create policy (ポリシーの作成)**] を選択します。
1. Okta にアクセスキーを提供できるように、ユーザーを追加します。
ナビゲーションペインで、[**Users (ユーザー)**]、[**Add user (ユーザーの追加)**] を選択します。
1. 以下の設定を使用します。
+ [**User name (ユーザー名)**] に「`OktaSSOUser`」と入力します。
+ [**Access type (アクセスの種類)**] の [**Programmatic access (プログラムによるアクセス)**] を有効にします。
1. [**Next: Permissions (次へ: アクセス許可)**] を選択します。
1. [**Attach existing policies directly (既存のポリシーを直接添付する)**] を選択します。
1. [**Search (検索)**] に **OktaListRolesPolicy** と入力し、検索結果から [**OktaListRolesPolicy**] を選択します。
1. [**次へ: タグ**]、[**次へ: 確認**] の順に選択します。
1. [**Create user**] を選択します。これで、アクセスキーを取得することができます。
1. **[.csv のダウンロード]** を選択し、キーファイルをダウンロードします。このファイルには、この画面に表示されるのと同じアクセスキー ID とシークレットアクセスキーが含まれています。ただし、 AWS はこの情報を 2 回表示しないため、 ファイルをダウンロードしてください。
1. 以下を実行して、このステップが正しく完了したことを確認します。
1. IAM コンソールを開き、[**Users (ユーザー)**] を選択します。**[OktaSSOUser]** を検索し、検索結果からユーザー名を選択して開きます。
1. [**Permissions (アクセス許可)**] タブで、**OktaListRolesPolicy** がアタッチされていることを確認します。
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/caret-right-filled.png) アイコンを使用してポリシーを開きます。テキストが、この手順に示されている内容と一致することを確認します。
1. アクセスキーはダウンロード済みですが、[**Security credentials (セキュリティ認証情報)**] タブでアクセスキーをチェックできます。新しいアクセスキーが必要な場合は、このタブに戻って、アクセスキーを作成できます。
次の手順で Okta に戻り、アクセスキーを指定します。アクセスキーは、新しいセキュリティ設定と連携して、 AWS と Okta IdP が連携できるようにします。
**AWS 設定を使用して Okta アプリケーションの設定を完了するには**
1. Okta ダッシュボードに戻ります。リクエストされた場合、サインインします。デベロッパーコンソールが開かれていない場合は、[**Admin (管理者)**] を選択して再度開きます。
1. Okta を再度開く必要がある場合は、次のステップに従ってこのセクションに戻ることができます。
1. Okta にサインインします。[**Applications (アプリケーション)**] を選択します。
1. **AWS アカウントフェデレーション - Amazon Quick** を選択します。これは、このチュートリアルの冒頭で作成したアプリケーションです。
1. [**General (全般)**] と [**Mobile (モバイル)**]の間にある [**Sign On (サインオン)**] タブを選択します
1. [**Advanced Sign-On Settings (アドバンストサインオンの設定)**] までスクロールします。
1. **[ID プロバイダー ARN]** (SAML IAM フェデレーションでのみ必要) に、前の手順で作成したプロバイダー ARN を入力します。次に例を示します。
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. [**Done (完了)**] または [**Save (保存)**] を選択します。ボタンの名前は、アプリケーションを作成しているか、または編集しているかによって異なります。
1. [**Provisioning (プロビジョニング)**] タブを選択し、タブ下部で [**Configure API Integration (API 統合の設定)**] を選択します。
1. [**Enable API integration (API 統合を有効にする)**] をオンにして、設定を表示します。
1. [**Access Key (アクセスキー)**] および [**Secret Key (シークレットキー)**] で、**OktaSSOUser** `_credentials.csv` という以前のファイルに事前にダウンロードしたアクセスキーとシークレットキーを提供します。
1. [**Test API Credentials (API 認証情報のテスト)**] を選択します。**[API インテグレーションを有効にする]** 設定の上に、**[AWS アカウントフェデレーションが正常に検証されました]** と確認するメッセージが表示されます。
1. **[保存]** を選択します。
1. 左側の [**To App (アプリケーションへ)**] がハイライト表示されていることを確認し、右側の [**Edit (編集)**] を選択します。
1. [**Create Users (ユーザーの作成)**] で、オプション [**Enable (の有効化)**] をオンにします。
1. [**保存**] を選択します。
1. [**Provisioning (プロビジョニング)**] および [**Import (インポート)**] の近くにある [**Assignments (割り当て)**] タブで、[**Assign (割り当てる)**] を選択します。
1. フェデレーションアクセスを有効にするには、次の 1 つまたは複数の操作を行います。
+ 個々のユーザーを操作するには、[**Assign to People (人員に割り当てる)**] を選択します。
+ IAM グループを操作するには、[**Assign to Groups (グループに割り当てる)**] を選択します。特定の IAM グループ、または**すべてのユーザー (組織内のすべてのユーザー)**を選択できます。
1. IAM ユーザーまたはグループごとに、以下を実行します。
1. [**Assign (割り当てる)**]、[**Role (ロール)**] を選択します。
1. IAM ロールのリストから [**QuicksightOktaFederatedRole**] を選択します。
1. [**SAML User Roles (SAML ユーザーロール)**]で、[**QuicksightOktaFederatedRole**] を有効にします。
1. [**Save and Go Back (保存して戻る)**] を選択し、続いて [**Done (完了)**] を選択します。
1. このステップを正しく完了したことを確認するには、左側の [**People (人員)**] または [**Groups (グループ)**] フィルターをクリックし、入力したユーザーまたはグループをチェックします。作成したロールがリストに表示されないためにこのプロセスを完了できない場合は、前の手順に戻って、設定を確認します。
**Okta を使用して Amazon Quick にサインインするには (サービスプロバイダーへの IdP サインイン)**
1. Okta 管理者アカウントを使用している場合は、ユーザーモードに切り替えます。
1. フェデレーションアクセスを許可されたユーザーを使用して、Okta Applications ダッシュボードにサインインします。アカウント**AWS フェデレーション - Amazon Quick **など、ラベル付きの新しいアプリケーションが表示されます。
1. アプリケーションアイコンを選択して、**AWS アカウントフェデレーション - Amazon Quick **を起動します。
Okta を使用して ID を管理し、Quick でフェデレーティッドアクセスを使用できるようになりました。
次の手順は、このチュートリアルのオプション部分です。そのステップに従うと、Amazon Quick がユーザーに代わって IdP に認可リクエストを転送することを承認します。この方法を使用すると、ユーザーは Amazon Quick にサインインでき、最初に IdP ページを使用してサインインする必要はありません。
**(オプション) Okta に認証リクエストを送信するように Amazon Quick を設定するには**
1. Amazon Quick を開き、プロファイルメニューから **Amazon Quick の管理**を選択します。
1. ナビゲーションペインで **[Single Sign-On (IAM フェデレーション)]** を選択します。
1. **[設定]**、**[IdP URL]** で、IdP がユーザーを認証するために提供する URL を入力します (例: https://dev-*1-----0*.okta.com/home/amazon\$1aws/*0oabababababaGQei5d5/282*)。これは、Okta アプリケーションのページの [**General (全般)**] タブ、[**Embed Link (埋め込みリンク)**] に表示されます。
1. [**IdP URL**] で、`RelayState` と入力します。
1. 次のいずれかを行ってください。
+ 最初に ID プロバイダーを使用してサインインをテストするには、[**Test starting with your IdP (IdP からのテスト開始)**] を使用します。Amazon Quick の開始ページ、例えば https://quicksight.aws.amazon.com/sn/start が表示されます。
+ Amazon Quick でサインインを最初にテストするには、**end-to-endエクスペリエンスのテスト**」で提供されているカスタム URL を使用します。`enable-sso` パラメータが URL に追加されます。もし`enable-sso=1` なら、IAM フェデレーションが認証を試みます。の場合`enable-sso=0`、Amazon Quick は認証リクエストを送信せず、以前と同じように Amazon Quick にサインインします。
1. [**Status (ステータス)**] で、[**ON (オン)**] を選択します。
1. 設定を保存するには [**Save (保存)**] を選択します。
Amazon Quick ダッシュボードへのディープリンクを作成して、ユーザーが IAM フェデレーションを使用して特定のダッシュボードに直接接続できるようにします。これを行うには、次に示すように、リレーステートフラグとダッシュボード URL を Okta シングルサインオン URL に追加します。
**シングルサインオン用の Amazon Quick ダッシュボードへのディープリンクを作成するには**
1. このチュートリアルの最初でダウンロードした `metadata.xml` ファイルにある、Okta アプリケーションの Single Sign-On (IAM フェデレーション) URL を見つけます。ファイルの下部近くの `md:SingleSignOnService` という名前の要素に URL があります。次の例に示すように、属性の名前は `Location` で、値は `/sso/saml` で終わります。
```
```
1. IAM フェデレーション URL の値を取得し、Amazon Quick ダッシュボードの URL の`?RelayState=`後に を追加します。`RelayState` パラメータは、ユーザーが認証 URL にリダイレクトされたときのステート (URL) をリレーします。
1. リレー状態を追加した新しい IAM フェデレーションに、Amazon Quick ダッシュボードの URL を追加します。生成された URL は以下のようになります。
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. 作成したリンクが開かない場合は、`metadata.xml` から最新の IAM フェデレーション URL を使用していることをチェックします。また、サインインに使用するユーザー名が複数の IAM フェデレーション Okta アプリに割り当てられていないことをチェックします。
# Amazon Quick Enterprise Edition での Active Directory の使用
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Amazon Quick Enterprise Edition は[AWS 、Microsoft Active Directory 用 Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) と Active [Directory Connector ](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)の両方をサポートしています。
Quick の ID マネージャーとなる新しいディレクトリを作成するには、 AWS Directory Service for Microsoft Active Directoryとも呼ばれる を使用します AWS Managed Microsoft AD。これは AWS クラウド内の Active Directory ホストであり、Active Directory とほぼ同じ機能を提供します。現在、アジアパシフィック (シンガポール) を除く、Amazon Quick でサポートされている任意の AWS リージョンで Active Directory に接続できます。ディレクトリを作成したら、Virtual Private Cloud (VPC) で使用します。詳細については、「[VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html)」を参照してください。
Quick に使用する既存のディレクトリがある場合は、Active Directory Connector を使用できます。このサービスは、クラウド内の情報をキャッシュすることなく、ディレクトリリクエストを別の AWS リージョン またはオンプレミスの Active Directory にリダイレクトします。
を使用したディレクトリの作成と管理のチュートリアルについては AWS Managed Microsoft AD、 AWS ナレッジセンター[の「クイックで AWS Managed Microsoft AD を使用する](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/)」を参照してください。
AWS Directory Service を使用してディレクトリを起動すると、 はドメインと同じ名前の組織単位 (OU) AWS を作成します。 AWS は、OU の委任された管理権限を持つ管理アカウントも作成します。Active Directory ユーザーとグループを使用して、OU 内にアカウント、グループ、ポリシーを作成できます。詳細については、「 Directory Service 管理ガイド[」の AWS 「 Managed Microsoft AD のベストプラクティス](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html)」を参照してください。 **
ディレクトリを確立したら、ユーザーのグループを作成して Quick で使用します。Amazon Quick には、高度な機能へのアクセスを提供する Pro バージョンを含め、割り当てることができる特定のユーザーロールが 6 つあります。
+ **クイック管理者 – **管理者はアカウント設定を変更し、アカウントを管理できます。管理者は、追加の Amazon Quick ユーザーサブスクリプションまたは [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量を購入したり、 の Amazon Quick へのサブスクリプションをキャンセルしたりすることもできます AWS アカウント。Admin Pro ユーザーには、自然言語を使用したコンテンツの作成、ナレッジベースの構築、アクションの設定、高度な自動化ワークフローへのアクセスなどの追加機能があります。
+ **クイック作成者** – Amazon Quick 作成者は、データソース、データセット、分析、ダッシュボードを作成できます。分析やダッシュボードを他の Amazon Quick ユーザーと共有できます。Author Pro ユーザーは、自然言語を使用してコンテンツを作成したり、ナレッジベースを構築したり、アクションを設定したり、高度な自動化機能にアクセスしたりすることもできます。
+ **クイックリーダー** – リーダーは、他のユーザーによって作成されたダッシュボードを表示して操作できます。Reader Pro ユーザーは、AI チャットエージェント、コラボレーションスペース、フロー、拡張機能などの高度な機能にアクセスできます。
アクセスを追加または制限するには、IAM ポリシーを適用します。たとえば、IAM ポリシーを使用して、自分のサブスクライブをユーザーに許可することができます。
Amazon Quick Enterprise Edition にサブスクライブし、ID プロバイダーとして Active Directory を選択すると、AD グループを Amazon Quick に関連付けることができます。AD グループは、後で追加または変更することもできます。
**Topics**
+ [Quick Enterprise Edition とのディレクトリ統合](#directory-integration)
## Quick Enterprise Edition とのディレクトリ統合
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Quick Enterprise では、次のオプションがサポートされています。
+ AWS ディレクトリサービス
+ AWS AD Connector を使用した Directory Service
+ IAM フェデレーションまたは AD Connector を使用したオンプレミスの Active Directory
+ AWS IAM アイデンティティセンター または別のサードパーティーフェデレーションサービスを使用した IAM フェデレーション
オンプレミス Active Directory で IAM フェデレーションを使用する場合は、オンプレミス Active Directory との信頼関係を持つ別の Active Directory として Directory AWS Service を実装します。
信頼関係を使用しない場合は、 AWS内の認証用にスタンドアロンのドメインをデプロイできます。その後、アクティブディレクトリでユーザーとグループを作成できます。次に、Quick でユーザーとグループにマッピングします。この例では、ユーザーがアクティブディレクトリのログイン認証情報を使用して認証します。Quick へのアクセスをユーザーに透過的にするには、このシナリオで IAM フェデレーションを使用します。
# Amazon Quick での多要素認証 (MFA) の使用
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
**重要**
Amazon Quick では、ID 管理のために新しいクイックサブスクリプションを IAM アイデンティティセンターと統合することをお勧めします。この IAM ID フェデレーションユーザーガイドは、既存のアカウント設定のリファレンスとして提供されています。クイックアカウントと IAM アイデンティティセンターの統合の詳細については、[「IAM アイデンティティセンターでクイックアカウントを設定する](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)」を参照してください。
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Quick で多要素認証 (MFA) を使用する方法はいくつかあります。( AWS Identity and Access Management IAM) で使用できます。AD Connector または [AWS Directory Service](https://aws.amazon.com/directoryservice/) for Microsoft Active Directory で使用できます。これは、Microsoft Active Directory または AWS Managed Microsoft Active Directory とも呼ばれ AWS ます。また、外部 ID プロバイダー (IdP) AWS を使用する場合、MFA に関する情報は必要ありません。これは、IdP によって処理される認証の一部であるためです。
詳細については次を参照してください:
+ 「IAM ユーザーガイド」の「[AWSでの多要素認証 (MFA) の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」
+ AWS Directory Service 管理ガイドの [AWS Managed Microsoft AD の多要素認証を有効にする](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html)
+ AWS Directory Service Administration ガイドの [Enable Multi-Factor Authentication for AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)
デベロッパーの場合は、以下を参照してください。
+ [MFA トークンを使用して ナレッジセンターの AWS CLI 経由でリソース AWS へのアクセスを認証する方法](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/) [AWS](https://aws.amazon.com/premiumsupport/knowledge-center/)
+ IAM ユーザーガイドの [MFA 保護 API アクセスの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)
# Amazon Quick ドメインの許可リスト
エンドユーザーが AWS root (非推奨)、 AWS Identity and Access Management (IAM)、社内 Active Directory、またはネイティブ Quick 認証情報を使用して Amazon Quick にサインインしている場合は、組織のネットワーク内で次のドメインを許可リストに登録してください。
| ユーザーのタイプ | 許可リストに登録するドメイン |
| --- | --- |
| Amazon Quick および Active Directory ユーザーから直接サインインするユーザー | `signin.aws` および `awsapps.com` |
| AWS ルートユーザー | `signin.aws.amazon.com` および `amazon.com` |
| IAM ユーザー | `signin.aws.amazon.com` |
**重要**
管理タスクであっても、日常的なタスクに AWS ルートユーザーを使用しないことを強くお勧めします。代わりに、初期の IAM ユーザーを作成するためにのみ、ルートユーザーを使用するというベストプラクティスに従います。その後、ルートユーザーの認証情報を安全な場所に保管し、それらを使用して少数のアカウントおよびサービス管理タスクのみを実行します。詳細については、「IAM ユーザーガイド」の「[AWS アカウントのルートユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)」を参照してください。