翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Amazon のポリシー例 QuickSight
このセクションでは、Amazon で使用できるIAMポリシーの例を示します QuickSight。
IAM Amazon の ID ベースのポリシー QuickSight
このセクションでは、Amazon で使用するアイデンティティベースのポリシーの例を示します QuickSight。
トピック
- IAM コンソール管理の QuickSight IAM ID ベースのポリシー
- IAM Amazon のアイデンティティベースのポリシー QuickSight: ダッシュボード
- IAM Amazon のアイデンティティベースのポリシー QuickSight: 名前空間
- IAM Amazon のアイデンティティベースのポリシー QuickSight: カスタムアクセス許可
- IAM Amazon のアイデンティティベースのポリシー QuickSight: E メールレポートテンプレートのカスタマイズ
- IAM Amazon のアイデンティティベースのポリシー QuickSight: QuickSight マネージドユーザーを使用してエンタープライズアカウントを作成する
- IAM Amazon のアイデンティティベースのポリシー QuickSight: ユーザーの作成
- IAM Amazon のアイデンティティベースのポリシー QuickSight: グループの作成と管理
- IAM Amazon のアイデンティティベースのポリシー QuickSight: Standard Edition のすべてのアクセス
- IAM Amazon の ID ベースのポリシー QuickSight: IAM Identity Center (Pro ロール) を使用した Enterprise Edition のすべてのアクセス
- IAM Amazon のアイデンティティベースのポリシー QuickSight: IAM Identity Center を使用した Enterprise Edition のすべてのアクセス
- IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory を使用した Enterprise Edition のすべてのアクセス
- IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory グループ
- IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理アセット管理コンソールの使用
- IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理キー管理コンソールの使用
- AWS リソース Amazon QuickSight: Enterprise Edition のスコープポリシー
IAM コンソール管理の QuickSight IAM ID ベースのポリシー
次の例は、コンソール管理アクションに必要なIAM QuickSight IAMアクセス許可を示しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: ダッシュボード
次の例は、特定のダッシュボードのダッシュボード共有と埋め込みを許可するIAMポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: 名前空間
次の例は、 QuickSight 管理者が名前空間を作成または削除できるようにするIAMポリシーを示しています。
名前空間の作成
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
名前空間の削除
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: カスタムアクセス許可
次の例は、 QuickSight 管理者またはデベロッパーがカスタムアクセス許可を管理できるようにするIAMポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: E メールレポートテンプレートのカスタマイズ
次の例は、 での E メールレポートテンプレートの表示、更新、作成 QuickSight、および Amazon Simple Email Service アイデンティティの検証属性の取得を許可するポリシーを示しています。このポリシーにより、 QuickSight 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが で検証された ID であることを確認することができますSES。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight: DescribeAccountCustomization", "quicksight: CreateAccountCustomization", "quicksight: UpdateAccountCustomization", "quicksight: DescribeEmailCustomizationTemplate", "quicksight: CreateEmailCustomizationTemplate", "quicksight: UpdateEmailCustomizationTemplate", "ses: GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: QuickSight マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、 QuickSight 管理者が QuickSight マネージドユーザーを使用して Enterprise Edition QuickSight アカウントを作成できるようにするポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: ユーザーの作成
次の例は、Amazon QuickSight ユーザーの作成のみを許可するポリシーを示しています。quicksight:CreateReader、quicksight:CreateUser、および quicksight:CreateAdmin で、"Resource":
"arn:aws:quicksight:: へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: グループの作成と管理
次の例は、 QuickSight 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: Standard Edition のすべてのアクセス
Amazon QuickSight Standard Edition の次の例は、作成者とリーダーのサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon からのサブスクライブを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAM Amazon の ID ベースのポリシー QuickSight: IAM Identity Center (Pro ロール) を使用した Enterprise Edition のすべてのアクセス
Amazon QuickSight Enterprise Edition の次の例は、ユーザーが IAM Identity Center と統合された QuickSight アカウントで を QuickSight サブスクライブし QuickSight、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。
このポリシーでは、 QuickSight Generative BI 機能で Amazon Q へのアクセスを許可する QuickSight Pro ロールをサブスクライブすることもできます。Amazon での Pro ロールの詳細については QuickSight、「」を参照してくださいGenerative BI の使用を開始する。
この例では、Amazon からのサブスクライブを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "sso:ListApplications", "sso:GetSharedSsoConfiguration", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAccessScope", "sso:GetSSOStatus", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:DisableAWSServiceAccess", "organizations:EnableAWSServiceAccess", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "user-subscriptions:ListClaims", "user-subscriptions:ListUserSubscriptions", "user-subscriptions:DeleteClaim", "sso-directory:DescribeUsers", "sso-directory:DescribeGroups", "sso-directory:SearchGroups", "sso-directory:SearchUsers", "sso-directory:DescribeGroup", "sso-directory:DescribeUser", "sso-directory:DescribeDirectory", "signin:ListTrustedIdentityPropagationApplicationsForConsole", "signin:CreateTrustedIdentityPropagationApplicationForConsole", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": [ "*" ] } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: IAM Identity Center を使用した Enterprise Edition のすべてのアクセス
Amazon QuickSight Enterprise Edition の次の例は、IAMIdentity Center と統合された QuickSight アカウントで Active Directory をサブスクライブ、ユーザーの作成、管理できるようにするポリシーを示しています。
このポリシーは、 で Pro ロールを作成するアクセス許可を付与しません QuickSight。で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには QuickSight、「」を参照してくださいIAM Amazon の ID ベースのポリシー QuickSight: IAM Identity Center (Pro ロール) を使用した Enterprise Edition のすべてのアクセス。
この例では、Amazon からのサブスクライブを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory を使用した Enterprise Edition のすべてのアクセス
次の Amazon QuickSight Enterprise Edition の例では、ID 管理に Active Directory を使用する QuickSight アカウントで Active Directory をサブスクライブ、ユーザーの作成、管理することを許可するポリシーを示しています。この例では、Amazon からのサブスクライブを解除するアクセス許可を明示的に拒否します QuickSight。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: Active Directory グループ
次の例は、Amazon QuickSight Enterprise Edition アカウントの Active Directory グループ管理を許可するIAMポリシーを示しています。
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理アセット管理コンソールの使用
次の例は、管理アセット管理コンソールへのアクセスを許可するIAMポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
IAM Amazon のアイデンティティベースのポリシー QuickSight: 管理キー管理コンソールの使用
次の例は、管理者キー管理コンソールへのアクセスを許可するIAMポリシーを示しています。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
QuickSight コンソールからカスタマーマネージドキーにアクセスするには、 "quicksight:ListKMSKeysForUser"および アクセス"kms:ListAliases"許可が必要です。 "quicksight:ListKMSKeysForUser" "kms:ListAliases"キー QuickSight 管理 を使用する必要はありませんAPIs。
ユーザーがアクセスできるようにするキーを指定するには、quicksight:KmsKeyArns条件キーを使用して、ユーザーにUpdateKeyRegistration条件へのアクセスを許可するキーARNsの を追加します。ユーザーは、 で指定されたキーにのみアクセスできますUpdateKeyRegistration。でサポートされている条件キーの詳細については QuickSight、「Amazon の条件キー QuickSight」を参照してください。
以下の例では、 QuickSight アカウントに登録CMKsされているすべての に対するDescribeアクセス許可と、 QuickSight アカウントに登録CMKsされている特定の に対するUpdateアクセス許可を付与します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS リソース Amazon QuickSight: Enterprise Edition のスコープポリシー
Amazon QuickSight Enterprise Edition の次の例は、 AWS リソースへのデフォルトのアクセスと、リソースへのアクセス AWS 許可のスコープポリシーの設定を許可するポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
