翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM の使用
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に Amazon Quick リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [IAM の概念について](security_iam_concepts.md)
+ [IAM での Quick の使用](security_iam_service-with-iam.md)
+ [IAM ロールを Quick に渡す](security-create-iam-role.md)
+ [Quick の IAM ポリシーの例](iam-policy-examples.md)
+ [Amazon Quick のユーザーのプロビジョニング](provisioning-users.md)
+ [クイック ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
# IAM の概念について
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスをより安全に制御するのに役立つ AWS サービスです。管理者は、誰を*認証* (サインイン) し、誰に Amazon Quick リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、 AWS のサービスで追加料金は発生しません。
IAM は、以下を含むいくつかの方法で Amazon Quick で使用されます。
+ 会社が ID 管理に IAM を使用している場合、ユーザーは Amazon Quick へのサインインに使用する IAM ユーザー名とパスワードを持っている可能性があります。
+ 初回サインイン時に Amazon Quick ユーザーを自動的に作成する場合は、IAM を使用して、Amazon Quick の使用を事前に許可されているユーザーのポリシーを作成できます。
+ Amazon Quick ユーザーの特定のグループまたは特定のリソースへの特別なアクセスを作成する場合は、IAM ポリシーを使用してこれを行うことができます。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
## オーディエンス
本節で提供される情報のコンテキストや、ロールに適用される方法について理解するには、以下を参照してください。 AWS Identity and Access Management (IAM) の使用方法は、Amazon Quick で行う作業によって異なります。
**サービスユーザー** – 場合によっては、Amazon Quick を作成者またはリーダーとして使用して、ブラウザインターフェイスを使用して Amazon Quick を介してデータ、分析、ダッシュボード、スペース、エージェントとやり取りできます。このような場合、このセクションでは背景情報のみを提供します。IAM を使用して Amazon Quick にサインインする場合を除き、IAM サービスと直接やり取りすることはありません。
**Amazon Quick administrator** – 社内の Amazon Quick リソースを担当している場合は、通常、Amazon Quick へのフルアクセスがあります。チームメンバーがどの Amazon Quick 機能やリソースにアクセスするかを決めるのは管理者の仕事です。Amazon Quick 管理パネルを使用して解決できない特殊な要件がある場合は、管理者と協力して Amazon Quick ユーザーのアクセス許可ポリシーを作成できます。IAM の詳細については、このページを読むと IAM の基本概念を理解することができます。会社で Amazon Quick で IAM を使用する方法の詳細については、[「IAM で Amazon Quick ](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)を使用する」を参照してください。
**管理者** – システム管理者は、Amazon Quick へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる Amazon Quick アイデンティティベースのポリシーの例を表示するには、[「Amazon Quick の IAM アイデンティティベースのポリシー](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples)」を参照してください。
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
**Topics**
+ [AWS アカウント ルートユーザー](#security_iam_authentication-rootuser)
+ [IAM ユーザーとグループ](#security_iam_authentication-iamuser)
+ [IAM ロール](#security_iam_authentication-iamrole)
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# IAM での Quick の使用
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
IAM を使用して Amazon Quick へのアクセスを管理する前に、Amazon Quick で使用できる IAM 機能を理解しておく必要があります。Amazon Quick およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon クイックポリシー (アイデンティティベース)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick ポリシー (リソースベース)](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Quick タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM ロール](#security_iam_service-with-iam-roles)
## Amazon クイックポリシー (アイデンティティベース)
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Quick は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「[IAM JSON ポリシー要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
AWS ルート認証情報または IAM ユーザー認証情報を使用して Amazon Quick account. AWS root を作成できます。管理者認証情報には、 AWS リソースへの Amazon Quick アクセスを管理するために必要なすべてのアクセス許可が既に付与されています。
しかし、root 認証情報を保護して、代わりに IAM ユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon Quick に使用する予定の IAM ユーザーとロールにアタッチします。ポリシーには、以下のセクションで説明するように、実行する必要がある Amazon Quick 管理タスクの適切なステートメントを含める必要があります。
**重要**
クイックポリシーと IAM ポリシーを使用する場合は、次の点に注意してください。
Quick によって作成されたポリシーを直接変更することは避けてください。自分で変更すると、Quick は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。
Amazon Quick アカウントの作成時にアクセス許可にエラーが発生した場合は、*IAM ユーザーガイド*の[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
場合によっては、ルートアカウントからでもアクセスできない Amazon Quick アカウントがある場合があります (ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon Quick アカウントを削除してから再作成できます。詳細については、[「Amazon Quick サブスクリプションの削除とアカウントの閉鎖](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html)」を参照してください。
**Topics**
+ [アクション](#security_iam_service-with-iam-id-based-policies-actions)
+ [リソース](#security_iam_service-with-iam-id-based-policies-resources)
+ [条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [例](#security_iam_service-with-iam-id-based-policies-examples)
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Amazon Quick のポリシーアクションは、アクションの前にプレフィックス を使用します`quicksight:`。たとえば、 Amazon EC2 `RunInstances` API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに `ec2:RunInstances` アクションを含めます。ポリシーステートメントには、`Action` または `NotAction` エレメントを含める必要があります。Amazon Quick は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。
単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Create` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "quicksight:Create*"
```
Amazon Quick には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon Quick アクションには`quicksight:`、 などのプレフィックスが付けられます`quicksight:Subscribe`。IAM ポリシーで Amazon Quick アクションを使用する方法については、[「Amazon Quick の IAM ポリシーの例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
Amazon Quick アクションの最新 up-to-date リストを確認するには、*IAM ユーザーガイド*の[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が `CreateGroupMembership` でない限り、すべてのグループで `user1` オペレーションを呼び出すことができます。
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
リソースを作成するためのアクションなど、一部の Amazon Quick アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード \$1を使用する必要があります。
```
"Resource": "*"
```
一部の API アクションには、複数のリソースが関連します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Amazon Quick リソースタイプとその Amazon リソースネーム (ARNs」を参照してください。 [https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) **各リソースの ARN を指定できるアクションについては、[「Amazon Quick で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions)」を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Quick はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
### 例
Amazon Quick ID ベースのポリシーの例を表示するには、[「Amazon Quick Policies (ID ベース)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)」を参照してください。
## Amazon Quick ポリシー (リソースベース)
Amazon Quick はリソースベースのポリシーをサポートしていません。ただし、Amazon Quick コンソールを使用して、 内の他の AWS リソースへのアクセスを設定できます AWS アカウント。
## Amazon Quick タグに基づく認可
Amazon Quick は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。
## Amazon Quick IAM ロール
[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。IAM ロールを使用してアクセス許可をグループ化することで、Amazon Quick アクションへのユーザーのアクセスを簡単に管理できます。
Amazon Quick は、以下のロール機能をサポートしていません。
+ サービスにリンクされたロール。
+ サービスロール。
+ 一時的な認証情報 (直接使用): ただし、Amazon Quick は一時的な認証情報を使用して、ユーザーが埋め込みダッシュボードにアクセスするための IAM ロールを引き受けることを許可します。詳細については、[「Amazon Quick の埋め込み分析](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html)」を参照してください。
Amazon Quick が IAM ロールを使用する方法の詳細については、「Amazon [Quick での Amazon Quick の使用](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html)」および[「Amazon Quick の IAM ポリシー例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
# IAM ロールを Quick に渡す
| |
| --- |
| 適用対象: Enterprise Edition |
IAM ユーザーが Quick にサインアップすると、Amazon Quick マネージドロール (デフォルトロール) の使用を選択できます。または、既存の IAM ロールを Amazon Quick に渡すこともできます。
以下のセクションを使用して、既存の IAM ロールを Amazon Quick に渡す
**Topics**
+ [前提条件](#security-create-iam-role-prerequisites)
+ [追加のポリシーのアタッチ](#security-create-iam-role-athena-s3)
+ [Quick での既存の IAM ロールの使用](#security-create-iam-role-use)
## 前提条件
ユーザーが IAM ロールを Amazon Quick に渡すには、管理者が次のタスクを完了する必要があります。
+ **IAM ロールを作成します。**IAM ロールの作成の詳細については、*IAM ユーザーガイド*の「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
+ **Amazon Quick がロールを引き受けることを許可する信頼ポリシーを IAM ロールにアタッチします**。次の例を使用して、ロールのポリシーを作成します。次の信頼ポリシーの例では、クイックプリンシパルがアタッチされている IAM ロールを引き受けることを許可します。
IAM 信頼ポリシーの作成とロールへのアタッチの詳細については、*IAM ユーザーガイド*の「[ロールの修正 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)」を参照してください。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **管理者 (IAM ユーザーまたはロール) に次の IAM 許可を割り当てます。**:
+ `quicksight:UpdateResourcePermissions` – これにより、Amazon Quick 管理者である IAM ユーザーに、Amazon Quick でリソースレベルのアクセス許可を更新するアクセス許可が付与されます。Amazon Quick で定義されるリソースタイプの詳細については、*IAM ユーザーガイド*の[「クイックのアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html)」を参照してください。
+ `iam:PassRole` – これにより、Amazon Quick にロールを渡すアクセス許可がユーザーに付与されます。詳細については、*IAM ユーザーガイド*[の「 AWS サービスにロールを渡すアクセス許可をユーザーに付与](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)する」を参照してください。
+ `iam:ListRoles` – (オプション) これにより、Amazon Quick の既存のロールのリストを表示するアクセス許可がユーザーに付与されます。このアクセス権限が提供されない場合、ARN を使用して既存の IAM ロールを使用できます。
以下は、リソースレベルのアクセス許可の管理、IAM ロールの一覧表示、Quick での IAM ロールの受け渡しを許可する IAM アクセス許可ポリシーの例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Amazon Quick で使用できる IAM ポリシーのその他の例については、[「Amazon Quick の IAM ポリシーの例](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)」を参照してください。
ユーザーまたはユーザーグループにアクセス許可ポリシーを割り当てる詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)の「*IAM ユーザーのアクセス許可の変更*」を参照してください。
## 追加のポリシーのアタッチ
Amazon Athena や Amazon S3 などの別の AWS サービスを使用している場合は、特定のアクションを実行するためのアクセス許可を Amazon Quick に付与するアクセス許可ポリシーを作成できます。 Amazon S3 その後、後で Amazon Quick に渡す IAM ロールにポリシーをアタッチできます。次に、追加のアクセス権限ポリシーを設定して IAM ロールにアタッチする方法の例を示します。
Athena での Amazon Quick の管理ポリシーの例については、「Amazon [AWSQuicksightAthenaAccess 管理ポリシー](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html)」を参照してください。 *Amazon Athena * IAM ユーザーは、次の ARN を使用して Amazon Quick でこのロールにアクセスできます: `arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`。
以下は、Amazon S3 の Amazon Quick のアクセス許可ポリシーの例です。Amazon S3 での IAM の使用方法の詳細については、*Amazon S3 ユーザーガイド*の「[Amazon S3 の Identity and Access Management](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)」を参照してください。
Amazon Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを作成する方法については、 AWS ナレッジセンターの[「Quick から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを設定する方法](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)」を参照してください。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Quick での既存の IAM ロールの使用
Amazon Quick 管理者で、Amazon Quick リソースを更新して IAM ロールを渡すアクセス許可がある場合は、Amazon Quick で既存の IAM ロールを使用できます。Amazon Quick で IAM ロールを渡すための前提条件の詳細については、前のリストで概説した[前提条件](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq)を参照してください。
Amazon Quick で IAM ロールを渡す方法については、次の手順に従います。
**Amazon Quick で既存の IAM ロールを使用するには**
1. Amazon Quick で、右上のナビゲーションバーでアカウント名を選択し、**Manage QuickSight** を選択します。
1. 開いた **Amazon Quick の管理**ページで、左側のメニューで**セキュリティとアクセス許可**を選択します。
1. 開いた **Security & Permissions** ページで、**Amazon Quick Access to AWS services** で **Manage **を選択します。
1. [**IAM ロール**] は [**Use an existing role**] を選択し、次のいずれかを実行します。
+ リストから使用するロールを選択します。
+ または、既存の IAM ロールのリストが表示されない場合は、ロールの IAM ARN を次の形式で入力できます: `arn:aws:iam::account-id:role/path/role-name`。
1. **[保存]** を選択します。
# Quick の IAM ポリシーの例
このセクションでは、Quick で使用できる IAM ポリシーの例を示します。
## Quick の IAM アイデンティティベースのポリシー
このセクションでは、Quick で使用するアイデンティティベースのポリシーの例を示します。
**Topics**
+ [Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー](#security_iam_conosole-administration)
### Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick IAM コンソール管理アクションに必要な IAM アクセス許可を示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: ダッシュボードの IAM アイデンティティベースのポリシー
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 名前空間の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者が名前空間を作成または削除できるようにする IAM ポリシーを示しています。
**名前空間の作成**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**名前空間の削除**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Quick: カスタムアクセス許可の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者または開発者がカスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Quick: E メールレポートテンプレートをカスタマイズするための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick での E メールレポートテンプレートの表示、更新、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、Amazon Quick 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが SES で検証済み ID であることを確認します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Amazon Quick マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、Amazon Quick 管理者が Amazon Quick マネージドユーザーを使用して Enterprise Edition Amazon Quick アカウントを作成できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: ユーザーの作成
次の例は、Amazon Quick ユーザーの作成のみを許可するポリシーを示しています。`quicksight:CreateReader`、`quicksight:CreateUser`、および `quicksight:CreateAdmin` で、**"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、**"Resource": "\$1"** を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Quick: グループの作成と管理のための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス
Amazon Quick Standard Edition の次の例は、作成者と読者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス (Pro ロール)
次の Amazon Quick Enterprise Edition の例では、Amazon Quick ユーザーが IAM Identity Center と統合された Amazon Quick アカウントで Amazon Quick にサブスクライブし、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。
このポリシーでは、ユーザーは Quick Generative BI 機能で Amazon Q へのアクセスを許可する Amazon Quick Pro ロールにサブスクライブすることもできます。Amazon Quick の Pro ロールの詳細については、[「Generative BI の開始方法](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、IAM Identity Center と統合された Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。
このポリシーは、Amazon Quick で Pro ロールを作成するアクセス許可を付与しません。Amazon Quick で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには、[「Amazon Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition のすべてのアクセス](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Active Directory を使用した Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、ID 管理に Active Directory を使用する Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory グループ用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick Enterprise Edition アカウントの Active Directory グループ管理を許可する IAM ポリシーを示しています。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理アセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理キー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"quicksight:ListKMSKeysForUser"` および アクセス`"kms:ListAliases"`許可は、Amazon Quick コンソールからカスタマーマネージドキーにアクセスするために必要です。 `"quicksight:ListKMSKeysForUser"`および `"kms:ListAliases"`は、Amazon Quick キー管理 APIsを使用する必要はありません。
ユーザーにアクセスを許可するキーを指定するには、ユーザーにアクセスを許可するキーの ARN を `quicksight:KmsKeyArns` 条件キーと一緒に `UpdateKeyRegistration` 条件に追加します。ユーザーは、`UpdateKeyRegistration` で指定されたキーにのみアクセスできます。Amazon Quick でサポートされている条件キーの詳細については、[「Amazon Quick の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)」を参照してください。
以下の例では、Amazon Quick アカウントに登録されているすべての CMKs に対する`Describe`アクセス許可と、Amazon Quick アカウントに登録されている特定の CMKs に対する`Update`アクセス許可を付与します。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS リソースクイック: Enterprise Edition でのポリシーのスコープ設定
次の Amazon Quick Enterprise Edition の例では、リソースへのデフォルトアクセスの設定と AWS 、リソースへのアクセス許可のスコープポリシーを許可するポリシーを示しています AWS 。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Amazon Quick のユーザーのプロビジョニング
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
## Amazon Quick 管理者のセルフプロビジョニング
Amazon Quick 管理者は、アカウント設定やアカウントなどの Amazon Quick 機能を管理できるユーザーです。また、追加の Amazon Quick ユーザーサブスクリプションの購入、[SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) の購入、 の Amazon Quick へのサブスクリプションのキャンセルを行うこともできます AWS アカウント。
AWS ユーザーまたはグループポリシーを使用して、Amazon Quick の管理者として自身を追加できるようにします。この権限を付与されたユーザーは、自分自身を管理者として追加することのみが可能で、このポリシーを使用して他のユーザーを追加することはできません。アカウントは、Amazon Quick を初めて開いたときにアクティブになり、請求対象になります。自己プロビジョニングをセットアップするには、これらのユーザーに `quicksight:CreateAdmin` アクションを使用する許可を付与します。
または、次の手順を使用して、コンソールを使用して Amazon Quick の管理者を設定または作成することもできます。
**ユーザーを Amazon Quick 管理者にするには**
1. AWS ユーザーを作成します。
+ IAM を使用して、Amazon Quick の管理者にするユーザーを作成します。または、IAM で管理者ロールのある既存のユーザーを識別します。そのユーザーを管理しやすいように新しいグループに追加することもできます。
+ ユーザー (またはグループ) に十分なアクセス許可を付与します。
1. ターゲットユーザーの認証情報 AWS マネジメントコンソール を使用して にサインインします。
1. [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email) に移動してターゲットユーザーの E メールを入力し、[**続行**] を選択します。
成功すると、ターゲットユーザーは Amazon Quick の管理者になります。
## Amazon Quick 作成者のセルフプロビジョニング
Amazon Quick 作成者は、データソース、データセット、分析、ダッシュボードを作成できます。分析とダッシュボードを Amazon Quick アカウントの他の Amazon Quick ユーザーと共有できます。ただし、**Amazon Quick の管理**メニューにはアクセスできません。アカウント設定を変更したり、アカウントを管理したり、追加の Amazon Quick ユーザーサブスクリプションや [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 容量を購入したり、 の Amazon Quick へのサブスクリプションをキャンセルしたりすることはできません AWS アカウント。Author Pro ユーザーは、自然言語を使用してコンテンツを作成したり、ナレッジベースを構築したり、アクションを設定したり、高度な自動化機能にアクセスしたりすることもできます。
AWS ユーザーまたはグループポリシーを使用して、ユーザーが Amazon Quick 作成者アカウントを自分で作成できるようにします。Amazon Quick を初めて開くと、アカウントがアクティブになり、請求対象になります。自己プロビジョニングを設定するには、`quicksight:CreateUser` アクションを使用するアクセス権限を付与する必要があります。
## Amazon Quick 読み取り専用ユーザーのセルフプロビジョニング
Amazon Quick の読み取り専用ユーザーまたは*リーダーは*、共有されているダッシュボードを表示および操作できますが、詳細な分析のためにダッシュボードを変更したり保存したりすることはできません。Amazon Quick Reader は、データソース、データセット、分析、ビジュアルを作成できません。管理タスクは一切できません。ダッシュボードのコンシューマーで、エグゼクティブなどの独自の分析を作成しないユーザーには、このロールを選択します。Reader Pro ユーザーは、AI チャットエージェント、コラボレーションスペース、フロー、拡張機能などの高度な機能にアクセスできます。
Amazon Quick で Microsoft Active Directory を使用している場合は、 グループを使用して読み取り専用アクセス許可を管理できます。それ以外の場合は、Amazon Quick を使用するようにユーザーを一括招待できます。 AWS ユーザーまたはグループポリシーを使用して、ユーザーが Amazon Quick Reader アカウントを自分で作成できるようにすることもできます。
リーダーアカウントは、Amazon Quick を初めて開いたときにアクティブになり、請求対象になります。ユーザーのアップグレードまたはダウングレードを決定した場合、そのユーザーへの請求はその月で比例配分されます。自己プロビジョニングを設定するには、`quicksight:CreateReader` アクションを使用するアクセス権限を付与する必要があります。
ほぼリアルタイムのユースケースのダッシュボードを自動的またはプログラムで更新している閲覧者は、キャパシティ料金を選択する必要があります。ユーザー料金を選択する閲覧者の場合、手動の使用は 1 人のみに制限されます。
# クイック ID とアクセスのトラブルシューティング
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
以下の情報は、Amazon Quick と IAM の使用時に発生する可能性がある一般的な問題の診断と修正に役立ちます。
**Topics**
+ [Amazon Quick でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [AWS アカウント外のユーザーに Amazon Quick リソースへのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Amazon Quick でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。
以下の例のエラーは、`mateojackson` IAM ユーザーがコンソールを使用して [*ウィジェット*] の詳細を表示する際に、`quicksight:GetWidget` 許可がない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`quicksight:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Amazon Quick にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次の例のエラーは、 という IAM ユーザーがコンソールを使用して Amazon Quick `marymajor` でアクションを実行しようとすると発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## AWS アカウント外のユーザーに Amazon Quick リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Amazon Quick がこれらの機能をサポートしているかどうかを確認するには、「」を参照してください[IAM での Quick の使用](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、[「IAM ユーザーガイド」の「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。 **
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。