

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Quick のアプリのセキュリティとサンドボックス
<a name="security-sandbox-apps"></a>

Quick のアプリは、Amazon Quick のエンタープライズグレードの認証と認可を継承します。ユーザーは既存のクイック ID を介してアプリケーションにアクセスし、すべてのアプリケーションは安全なサンドボックス化された iframe 内で実行されます。

## 認証
<a name="apps-authentication"></a>
+ **シングルサインオン** — ユーザーは、Quick を介して組織の ID プロバイダー (SSO、Active Directory、IAM) を介して認証します。追加の認証情報は必要ありません。
+ **セッションセキュリティ** — すべてのアプリケーションインタラクションは、認証されたクイックセッション内で実行されます。トークンはプラットフォームによって自動的に管理されます。

## 認可レイヤー
<a name="apps-authorization"></a>


| レイヤー | コントロールするもの | 
| --- | --- | 
| アプリへのアクセス | アプリを表示または編集できるユーザー (共有時にアプリ所有者が設定) | 
| 統合の承認 | アプリがアクセスできるコネクタ、スペース、ダッシュボード (作成者が作成中に設定) | 
| ランタイムアクセス許可 | 独自のクイックアクセス許可に基づいてビューワーが利用できるデータとアクション | 
| コネクタ認証 | コネクタが外部 API で認証する方法 (管理者が設定) | 
| パブリックアクセス | 匿名ビューワーがサインインせずにアプリにアクセスできるかどうか (共有時にアプリ所有者が設定、無料アカウントと Plus アカウントのみ) | 

**重要**  
アプリビューワーは、Quick で表示することが既に許可されているデータにのみアクセスできます。ダッシュボードビジュアルを埋め込んでも、行レベルのセキュリティまたは列レベルのアクセス許可はバイパスされません。

## 統合同意モデル
<a name="apps-integration-consent"></a>

クイックエージェントのアプリがアプリ (アクションコネクタ、スペース、ダッシュボードビジュアル、または AI 推論) に統合を追加すると、承認を求められます。この同意モデルにより、以下が保証されます。
+ アプリが行う外部呼び出しを正確に把握できます。
+ 読み取りアクセス許可と書き込みアクセス許可を制御します。
+ 公開されたアプリに未承認の統合が含まれることはありません。
+ アプリビューワーは、より広範なアクセスではなく、承認された統合スコープを継承します。

## サンドボックスの制限
<a name="apps-sandbox-restrictions"></a>

Quick アプリのすべてのアプリは、厳格なセキュリティポリシーを使用してサンドボックス化された iframe 内で実行されます。サンドボックスはスクリプトの実行のみを許可します。他のすべての機能 (ナビゲーション、ポップアップ、直接ネットワークアクセス) は制限されています。
+ **リンクナビゲーション** — アプリケーションは外部 URLsを直接開くことはできません。ユーザーは、Cmd\+Click (macOS) または Ctrl\+Click (Windows) を押してリンクをたどることができます。
+ **外部リソース** — コンテンツセキュリティポリシーは、外部サーバーからのイメージ、スクリプト、フォント、その他のアセットのロードをブロックします。インライン SVG グラフィック、Base64-encodedされたイメージデータ、または Amazon Quick スペースからロードされたイメージファイルを使用します。
+ **ネットワークリクエスト** — アプリケーションコードは外部サーバーに直接 HTTP リクエストを行うことはできません。外部システムとのすべての通信は、セキュアブリッジ API または登録されたアクションコネクタを介して行われます。
+ **ファイルのダウンロード** — ファイルのダウンロードでは、クイックランタイムライブラリのアプリケーションから `downloadFile`関数を使用する必要があります。
+ **パブリックアプリケーションの分離** — パブリックアプリケーションはプライベートアプリケーションと同じサンドボックスで実行されますが、アクションコネクタ、埋め込みビジュアル、埋め込みチャットエクスペリエンス、または Amazon Quick スペースにはアクセスできません。匿名ビューワーは、共有ストレージと AI 推論のみを使用できます。

## パブリックアプリのセキュリティ
<a name="apps-public-app-security"></a>

パブリックアプリケーションは、認証なしで匿名アクセスを許可します。次のセキュリティ対策が適用されます。
+ **ID **なし — 匿名ビューワーにはユーザー ID がありません。ユーザー ID API は、パブリックビューワーの null 値を返します。
+ **プライベートストレージなし** — 匿名ビューワーはプライベートストレージにアクセスできません。共有ストレージのみが使用できます。
+ **統合なし** — パブリックアプリケーションは、アクションコネクタ、埋め込みビジュアル、埋め込みチャットエクスペリエンス、または Amazon Quick スペースを使用できません。
+ **レート制限** — パブリックアプリケーションからの AI 推論リクエストは、不正使用を防ぐためにレート制限されています。使用量は、アプリ所有者のサブスクリプションクォータに対してカウントされます。
+ **同じサンドボックス** — パブリックアプリケーションは、プライベートアプリケーションと同じコンテンツセキュリティポリシーを持つ同じサンドボックス化された iframe で実行されます。