翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このセクションでは、Amazon QuickSight で使用できる IAM ポリシーの例を示します。
Amazon QuickSight 向けの IAM アイデンティティベースポリシー
このセクションでは、Amazon QuickSight で使用するアイデンティティベースのポリシーの例を示します。
トピック
Amazon QuickSight 向けの IAM アイデンティティベースポリシー: E メールレポートテンプレートのカスタマイズ
Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: QuickSight マネージドユーザーを使用してエンタープライズアカウントを作成する
Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス権
Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Enterprise Edition のすべてのアクセス権
Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: ActiveDirectory を使用した Enterprise Edition のすべてのアクセス
Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Active Directory グループ
Amazon QuickSight 向けの IAM アイデンティティベースポリシー: 管理者向けキー管理コンソールの使用
QuickSight IAM コンソール管理用の IAM アイデンティティベースのポリシー
次の例は、QuickSight IAM コンソール管理アクションに必要な IAM 権限を示しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースポリシー: ダッシュボード
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースポリシー: 名前空間
以下は、QuickSight の管理者が名前空間を作成または削除することを許可する IAM ポリシーの例です。
名前空間の作成
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}名前空間の削除
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースポリシー: カスタム許可
以下は、QuickSight の管理者またはデベロッパーが、カスタムのアクセス許可を管理できるようにする IAM ポリシーの例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースポリシー: E メールレポートテンプレートのカスタマイズ
以下は、QuickSight での E メールレポートテンプレートの表示、更新、および作成と、Amazon Simple Email Service アイデンティティの検証属性の取得を許可するポリシーの例です。このポリシーにより、QuickSight 管理者は、カスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元となるカスタム E メールアドレスのすべてが SES で検証済みのアイデンティティであることを確認することができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: QuickSight マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、QuickSight 管理者が QuickSight マネージドユーザーを使用して Enterprise Edition の QuickSight アカウントを作成することを許可するポリシーを示しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: ユーザーの作成
以下は、Amazon QuickSight ユーザーのみの作成を許可するポリシーの例です。quicksight:CreateReader、quicksight:CreateUser、および quicksight:CreateAdmin で、"Resource":
"arn:aws:quicksight:: へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: グループの作成と管理
次は、QuickSight の管理者とデベロッパーによる、グループの作成および管理を許可するポリシーの例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス権
次の Amazon QuickSight Standard Edition の例では、サブスクライブと、作成者および閲覧者の作成を許可するポリシーを示します。この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: IAM Identity Center (Pro ロール) での Enterprise Edition のすべてのアクセス権
Amazon QuickSight Enterprise Edition の次の例は、QuickSight ユーザーが IAM Identity Center と統合されている QuickSight アカウントで QuickSight のサブスクリプション、ユーザーの作成、Active Directory の管理を行うことを許可するポリシーを示しています。
このポリシーでは、ユーザーが QuickSight Generative BI 機能で Amazon Q へのアクセスを付与する QuickSight Pro ロールをサブスクライブすることもできます。Amazon QuickSight の Pro ロールに関する詳細については、「Generative BI の使用を開始する」を参照してください。
この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"sso:ListApplications",
"sso:GetSharedSsoConfiguration",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAccessScope",
"sso:GetSSOStatus",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DisableAWSServiceAccess",
"organizations:EnableAWSServiceAccess",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"user-subscriptions:ListClaims",
"user-subscriptions:ListUserSubscriptions",
"user-subscriptions:DeleteClaim",
"sso-directory:DescribeUsers",
"sso-directory:DescribeGroups",
"sso-directory:SearchGroups",
"sso-directory:SearchUsers",
"sso-directory:DescribeGroup",
"sso-directory:DescribeUser",
"sso-directory:DescribeDirectory",
"signin:ListTrustedIdentityPropagationApplicationsForConsole",
"signin:CreateTrustedIdentityPropagationApplicationForConsole",
"q:CreateAssignment",
"q:DeleteAssignment"
],
"Resource": [
"*"
]
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Enterprise Edition のすべてのアクセス権
Amazon QuickSight Enterprise Edition の次の例は、IAM アイデンティティセンターと統合されている QuickSight アカウントで、Active Directory のサブスクライブ、ユーザーの作成、および管理を許可するポリシーを示しています。
このポリシーは、QuickSight で Pro ロールを作成するアクセス許可を付与しません。QuickSight で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには、「Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: IAM Identity Center (Pro ロール) での Enterprise Edition のすべてのアクセス権」を参照してください。
この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: ActiveDirectory を使用した Enterprise Edition のすべてのアクセス
Amazon QuickSight Enterprise エディションの次の例は、ID 管理に Active Directory を使用する QuickSight アカウントで、Active Directory のサブスクライブ、ユーザーの作成、および管理を許可するポリシーを示しています。この例では、Amazon QuickSight のサブスクリプション解除の権限が明示的に拒否されています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースのポリシー: Active Directory グループ
次は、Amazon QuickSight Enterprise Edition アカウントのための、Active Directory グループの管理を許可する IAM ポリシーの例です。
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}Amazon QuickSight の IAM ID ベースのポリシー: 管理者向けアセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}Amazon QuickSight 向けの IAM アイデンティティベースポリシー: 管理者向けキー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}QuickSight コンソールからカスタマーマネージドキーにアクセスするには、"quicksight:ListKMSKeysForUser" と "kms:ListAliases" のアクセス許可が必要です。"quicksight:ListKMSKeysForUser" と "kms:ListAliases" は、QuickSight キー管理 API を使用するために必要ありません。
ユーザーにアクセスを許可するキーを指定するには、ユーザーにアクセスを許可するキーの ARN を quicksight:KmsKeyArns 条件キーと一緒に UpdateKeyRegistration 条件に追加します。ユーザーは、UpdateKeyRegistration で指定されたキーにのみアクセスできます。QuickSight でサポートされている条件キーの詳細については、「Amazon QuickSight の条件キー」を参照してください。
以下の例では、QuickSight アカウントに登録されているすべての CMK に対する Describe アクセス許可と、QuickSight アカウントに登録されている特定の CMK に対する Update アクセス許可を付与します。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}AWS リソース Amazon QuickSight: Enterprise Edition でのポリシーの範囲設定
次の Amazon QuickSight Enterprise Edition の例では、 AWS リソースへのデフォルトアクセスと、 リソースへのアクセス AWS 許可のスコープポリシーの設定を許可するポリシーを示しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}