ステップ 1: 許可をセットアップする

次のセクションでは、バックエンドアプリケーションまたはウェブサーバーのアクセス許可を設定する方法について説明します。このタスクには IAM への管理者アクセス権が必要です。

QuickSight にアクセスする各ユーザーは、Amazon QuickSight のアクセスとコンソールセッションへのアクセス許可をユーザーに付与するロールを引き受けます。これを可能にするには、AWS アカウントに IAM ロールを作成します。IAM ポリシーをロールに関連付けて、それを引き受けるすべてのユーザーにアクセス許可を付与します。quicksight:RegisterUser アクセス許可を追加することで、閲覧者が QuickSight に読み取り専用でアクセスすることを可能にし、他のデータや作成機能にはアクセスできないようにします。IAM ロールは、コンソールセッションの URL を取得する許可も付与する必要があります。このためには、quicksight:GetSessionEmbedUrl を追加します。

次のサンプルポリシーで、IdentityType=IAM で使用するこれらの許可が付与されます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "quicksight:RegisterUser",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "quicksight:GetSessionEmbedUrl",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

次のサンプルポリシーで、コンソールセッションの URL を取得する許可が付与されます。ユーザーが埋め込みセッションにアクセスする前にユーザーを作成する場合、quicksight:RegisterUser なしでポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "quicksight:GetSessionEmbedUrl"
            ],
            "Resource": "*"
        }
    ]
}

QUICKSIGHT を identityType として使用し、ユーザーの Amazon リソースネーム (ARN) を指定する場合は、ポリシーで quicksight:GetAuthCode アクションを許可する必要もあります。次のサンプルポリシーで、このアクセス許可が付与されます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "quicksight:GetSessionEmbedUrl",
        "quicksight:GetAuthCode"
      ],
      "Resource": "*"
    }
  ]
}

作成したロールへのアクセスを許可するには、アプリケーションの IAM ID に関連付けられた信頼ポリシーが必要です。つまり、ユーザーがアプリケーションにアクセスすると、アプリケーションがユーザーに代わってロールを引き受け、QuickSight でユーザーをプロビジョニングします。次の例は、embedding_quicksight_console_session_role というロールを示しています。このロールには、リソースとしてサンプルポリシーが先行しています。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": "arn:aws:iam::11112222333:role/embedding_quicksight_console_session_role"
    }
}

OpenId Connect または SAML 認証の信頼ポリシーに関する詳細については、「IAM ユーザーガイド」の以下のセクションを参照してください。