ステップ 1: 許可をセットアップする - Amazon QuickSight

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: 許可をセットアップする

次のセクションでは、バックエンドアプリケーションまたはウェブサーバーのアクセス許可を設定する方法について説明します。このタスクには、 への管理アクセスが必要ですIAM。

ダッシュボードにアクセスする各ユーザーは、Amazon にダッシュボード QuickSight へのアクセスとアクセス許可を付与するロールを引き受けます。これを可能にするには、 で IAMロールを作成します AWS アカウント。IAM ポリシーをロールに関連付けて、ポリシーを引き受けるすべてのユーザーに許可を付与します。IAM ロールは、特定のユーザープールURLsの埋め込みを取得するためのアクセス許可を提供する必要があります。ワイルドカード文字 * を使用すると、特定の名前空間URLのすべてのユーザー、または特定の名前空間のユーザーのサブセットに対して を生成するアクセス許可を付与できます。このためには、quicksight:GenerateEmbedUrlForRegisteredUser を追加します。

IAM ポリシーで、デベロッパーがGenerateEmbedUrlForRegisteredUserAPIオペレーションの AllowedDomainsパラメータにリストできるドメインを制限する条件を作成できます。AllowedDomains パラメータはオプションのパラメータです。これにより、開発者として、管理 QuickSightメニューで設定された静的ドメインを上書きするオプションが付与されます。代わりに、生成された にアクセスできるドメインまたはサブドメインを 3 つまで一覧表示できますURL。これはURL、作成したウェブサイトに埋め込まれます。パラメータにリストされているドメインのみが、埋め込みビジュアルにアクセスすることが可能です。この状態にしていない場合、インターネット上の任意のドメインを AllowedDomains パラメータにリストできてしまいます。

デベロッパーがこのパラメータで使用できるドメインを制限するには、IAMポリシーに AllowedEmbeddingDomains条件を追加します。AllowedDomains パラメータの詳細については、「Amazon QuickSight API リファレンスGenerateEmbedUrlForRegisteredUser」の「」を参照してください。

次のサンプルポリシーで、これらの権限が付与されます。

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "quicksight:GenerateEmbedUrlForRegisteredUser"
                ],
                "Resource": "arn:partition:quicksight:region:accountId:user/namespace/userName",
                "Condition": {
                    "ForAllValues:StringEquals": {
                        "quicksight:AllowedEmbeddingDomains": [
                            "https://my.static.domain1.com",
                            "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

さらに、Amazon QuickSight リーダーとなる初めてのユーザーを作成する場合は、ポリシーに アクセスquicksight:RegisterUser許可を追加してください。

次のサンプルポリシーは、 QuickSight 初めて閲覧するURLユーザーの埋め込みを取得するアクセス許可を提供します。

{
        "Version": "2012-10-17",
        "Statement": [
            {
            "Action": "quicksight:RegisterUser",
            "Resource": "*",
            "Effect": "Allow"
            },
            {
            "Effect": "Allow",
            "Action": [
                "quicksight:GenerateEmbedUrlForRegisteredUser"
            ],
            "Resource": [
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:namespace/{{namespace}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-1}}",
                "arn:{{partition}}:quicksight:{{region}}:{{accountId}}:dashboard/{{dashboardId-2}}"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "quicksight:AllowedEmbeddingDomains": [
                        "https://my.static.domain1.com",
                        "https://*.my.static.domain2.com"
                    ]
                }
            }
            }
        ]
    }

最後に、作成したロールへのアクセスを許可するには、アプリケーションの IAM ID に信頼ポリシーが関連付けられている必要があります。つまり、ユーザーがアプリケーションにアクセスすると、アプリケーションはユーザーに代わってロールを引き受け、 でユーザーをプロビジョニングできます QuickSight。次の例は、サンプルの信頼ポリシーを示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLambdaFunctionsToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Sid": "AllowEC2InstancesToAssumeThisRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

OpenID Connect またはSAML認証の信頼ポリシーの詳細については、 IAMユーザーガイドの以下のセクションを参照してください。