翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS リソースへのアクセス
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    適用先: Enterprise Edition と Standard Edition  | 


|  | 
| --- |
|    対象者:  システム管理者と Amazon Quick 管理者  | 

Amazon Quick がアクセスできる AWS リソースを制御し、これらのリソースへのアクセスをより詳細に絞り込むことができます。Enterprise エディションでは、アカウントの全員に適用される一般的なデフォルトアクセスを設定し、個別のユーザーとグループに特定のアクセスを設定できます。

これらのアクセス設定は Amazon Quick Sight データソースの接続に不可欠であり、データ分析と視覚化のために Amazon S3、Amazon RDS、Amazon Redshift、Athena などの AWS サービスへの安全な接続を可能にします。適切なリソースアクセス設定により、Amazon Quick Sight は適切なセキュリティ境界を維持しながら、 AWS データソースからデータを取得して処理できます。

以下のセクションを使用して、クイックを使用するように AWS リソースを設定します。

作業を開始する前に、正しいアクセス許可を持っていることを確認してください。アクセス許可はシステム管理者から付与されます。これを行うには、システム管理者が、特定の IAM アクションを使用できるようにするポリシーを作成します。その後、システム管理者がそのポリシーを IAM のユーザーまたはグループに関連付けます。必要なアクションは次のとおりです。
+ **`quicksight:AccountConfigurations`** – AWS リソースへのデフォルトアクセスの設定を有効にするには
+ **`quicksight:ScopeDownPolicy`** – AWS リソースへのアクセス許可のポリシーのスコープ
+ 独自の IAM ロールを Amazon Quick に取り込むこともできます。詳細については、[「Amazon Quick に IAM ロールを渡す](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html)」を参照してください。

**Amazon Quick がアクセスできる AWS サービスを有効または無効にするには**

1. で Amazon Quick にサインインします[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)。

1. 右上でユーザー名を選択し、**Manage Quick** を選択します。

1. [**Security & permissions (セキュリティとアクセス許可)**] を選択します。

1. ** AWS サービスへの QuickSight アクセス**で、**追加または削除**を選択します。

   使用可能なすべての AWS サービスを有効にできる画面が表示されます。
**注記**  
アクセス許可エラーが表示され、承認された Amazon Quick 管理者である場合は、システム管理者にお問い合わせください。

1. 許可するサービスのチェックボックスをオンにします。許可しないサービスのチェックボックスをオフにします。

   すでに AWS サービスを有効にしている場合は、そのサービスのチェックボックスが既に選択されています。Amazon Quick が特定の AWS サービスにアクセスできない場合、そのチェックボックスは選択されません。

   場合によっては、次のようなメッセージが表示されることがあります。

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   このタイプのメッセージは、Amazon Quick が使用する IAM ポリシーの 1 つが手動で変更されたことを意味します。この問題を修正するためには、システム管理者はエラーメッセージに挙げられている IAM ポリシーを削除し、[**Security & permissions (セキュリティとアクセス許可)**] 画面を再読み込みしてからもう一度試してください。

1. [**Update (更新)**] を選択して確定します。または、[**Cancel (キャンセル)**] を選択して前の画面に戻ります。

**Topics**
+ [IAM による AWS サービスへのきめ細かなアクセスの設定](scoping-policies-iam-interface.md)
+ [Quick でデータベース認証情報の代わりに AWS Secrets Manager シークレットを使用する](secrets-manager-integration.md)

# IAM による AWS サービスへのきめ細かなアクセスの設定
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  適用対象: Enterprise Edition  | 


|  | 
| --- |
|    対象者:  システム管理者と Amazon Quick 管理者  | 

Enterprise Edition では、Amazon Quick は AWS サービスのリソースへの詳細なアクセスを設定する方法を提供します。他のすべての AWS サービスと同様に、Quick は IAM ポリシーを使用してユーザーとグループのアクセスを制御します。

開始する前に、必要な IAM ポリシーを事前に設定するよう管理者に依頼してください。これらが設定されている場合は、このセクションの手順の一部として選択できます。Quick で使用する IAM ポリシーの作成については、「Quick [での Identity and Access Management](https://docs.aws.amazon.com/quicksight/latest/user/identity.html)」を参照してください。

**IAM ポリシーをユーザーまたはグループに割り当てるには**

1. でクイックにサインインします[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)。

1. 左上のユーザー名を選択し、続いて [**Manage QuickSight (QuickSight の管理)**] を選択します。

1. [**Security & permissions (セキュリティとアクセス許可)**] を選択します。

1. [**Resource access for individual users and groups (個別のユーザーとグループのリソースアクセス)**] で [**IAM policy assignments (IAM ポリシーの割り当て)**] を選択します。

   この時点の残りの手順で、ユーザーまたはグループに割り当てる IAM ポリシーを選択します。1 つの Amazon Quick ユーザーまたはグループに複数の IAM ポリシーを割り当てることができます。アクセス許可を決定するために、Amazon Quick は AWS アカウントレベルのポリシーとの結合と交差を実行します。

   アクティブな IAM ポリシーの割り当てがすでにある場合は、このページに表示されます。既存の割り当てを検索するには、検索ボックスを使用します。まだアクティブではない下書きがある場合、[**Assignment drafts (割り当ての下書き)**] の下に一覧表示されます。

1. 次のいずれかを選択します。
   + IAM ポリシーの割り当てを作成するには、[**Add new assignment (新しい割り当ての追加)**] を選択します。
   + 既存の割り当てを編集するには、[**Edit assignment (割り当ての編集)**] アイコンを選択します。
   + ポリシーを有効または無効にするには、そのポリシーのチェックボックスを選択し、[**Enable (有効化)**] または [**Disable (無効化)**] を選択します。複数のポリシーの割り当てを選択できます。
   + 既存の割り当てを削除するには、割り当ての名前の近くにある [**Remove assignment (割り当ての削除)**] アイコンを選択します。選択した内容を確認するには、確認画面で [**Delete (削除)**] を選択します。または、[**Back (戻る)**] を選択して削除をキャンセルします。

   割り当てを作成または編集する場合は、次のステップに進みます。それ以外の場合は、この手順の最後に進みます。

1. 次の画面で、ポリシーの割り当てプロセスを実行し、ステップに分割します。ただし、ステップを進めながら、変更を加えることができます。画面を閉じると、すべての手順で行った変更が保存されます。

   1. **ステップ 1: 割り当てに名前を付ける** – 新規の割り当ての場合は、割り当ての名前を入力し、[**Next (次へ)**] を選択して続行します。名前を変更する場合は、左側の [**Step 1 (ステップ 1)**] を選択します。

   1. **ステップ 2: IAM ポリシーを選択する** – 使用する IAM ポリシーを選択します。この画面から、次のようにポリシーとやり取りすることができます。
      + 使用するポリシーを選択します。
      + ポリシー名を検索します。
      + リストをフィルタリングして、すべての IAM ポリシー、 AWS管理ポリシー、またはカスタマー管理ポリシーを表示します。
      + [**View policy (ポリシーを表示)**] を選択して、ポリシーを表示します。

      ポリシーを選択するには、ポリシーの横にあるボタンを選択し、[**Next (次へ)**] を選択して続行します。

   1. **ステップ 3: ユーザーとグループを割り当てる** – 特定のユーザーまたはグループを選択します。または、選択した IAM ポリシーをすべてのユーザーとグループに使用することを選択します。

      次のいずれかを選択します。
      + **すべてのユーザーとグループに割り当て** チェックボックスをオンにして、すべての Amazon Quick ユーザーとグループに IAM ポリシーを割り当てます。このオプションを選択すると、現在および将来のすべてのユーザーとグループにポリシーが割り当てられます。
      + この IAM ポリシーに割り当てるユーザーとグループを選択します。ユーザーおよびグループは、名前、E メールアドレス、またはグループ名で検索できます。

      ユーザーとグループの選択が完了したら、[**Next (次へ)**] をクリックして続行します。

   1. **ステップ 4: 変更を確認して有効にする** – 変更を保存します。

      次のいずれかを選択します。
      + 選択内容を編集するには、そのステップを選択して編集します。
      + このポリシーの割り当てを保存するには、[**Save as draft (下書きとして保存)**] を選択します。下書きは後で有効にすることができます。
      + このポリシーを今すぐ有効にするには、[**Save and enable (保存して有効化)**] を選択します。このオプションでは、同じ名前の既存のポリシーの割り当てが上書きされます。

# Quick でデータベース認証情報の代わりに AWS Secrets Manager シークレットを使用する
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    対象者:  Amazon Quick Administrators と Amazon Quick Developer  | 

AWS Secrets Manager は、データベース認証情報、API キー、およびその他のシークレット情報を保護するために使用できるシークレットストレージサービスです。シークレットはコードに保存されていないため､キーの使用はお客様のコードを調べている誰かがシークレットを漏らさないようにするのに役立ちます。この概要については、「[AWS Secrets Manager ユーザーガイド](https://docs.aws.amazon.com/secretsmanager/latest/userguide)」を参照してください

クイック管理者は、Secrets Manager で作成したシークレットへの読み取り専用アクセスを Amazon Quick に付与できます。これらのシークレットは、Quick API を使用してデータソースを作成および編集するときに、データベース認証情報の代わりに使用できます。

認証情報ペア認証をサポートするデータソースタイプでのシークレットの使用をすばやくサポートします。現在、Jira および ServiceNow はサポートされていません。

**注記**  
Quick AWS Secrets Manager で を使用する場合、[AWS Secrets Manager 料金表ページ](https://aws.amazon.com/secrets-manager/pricing)の説明に従って、アクセスとメンテナンスの料金が請求されます。請求明細書では、コストは Amazon Quick ではなく Secrets Manager で明細化されます。

以下のセクションで説明する手順に従って、Secrets Manager を Amazon Quick と統合します。

**Topics**
+ [Amazon Quick に Secrets Manager と選択したシークレットへのアクセスを許可する](#secrets-manager-integration-select-secrets)
+ [Amazon Quick API を使用したシークレット認証情報を使用したデータソースの作成または更新](#secrets-manager-integration-api)
+ [シークレットの内容](#secrets-manager-integration-whats-in-secret)
+ [シークレットの変更](#secrets-manager-integration-modifying)

## Amazon Quick に Secrets Manager と選択したシークレットへのアクセスを許可する
<a name="secrets-manager-integration-select-secrets"></a>

管理者で Secrets Manager にシークレットがある場合は、選択したシークレットへの Amazon Quick 読み取り専用アクセスを許可できます。

**Secrets Manager と選択したシークレットへの Amazon Quick アクセスを許可するには**

1. Amazon Quick で、右上のユーザーアイコンを選択し、**Manage Quick** を選択します。

1. 左側の **[Security & permissions]** (セキュリティとアクセス権限) を選択します。

1. Amazon で ** AWS リソースへのクイックアクセス****を管理する** を選択します。

1. **[Allow access and autodiscovery for these resources]** (これらのリソースへのアクセスと自動検出を許可) で **AWS Secrets Manager**、**[Select secrets]** (シークレットを選択) を選択します。

   **[AWS Secrets Manager シークレット]** ページが開きます。

1. Amazon Quick に読み取り専用アクセスを許可するシークレットを選択します。

   Amazon Quick サインアップリージョンのシークレットが自動的に表示されます。ホームリージョン外のシークレットを選択するには、**[他の AWS リージョンのシークレット]** を選択して、これらのシークレットの Amazon リソースネーム (ARN) を入力します。

1. 入力後、**[Finish]** (完了) を選択します。

   Amazon Quick は、`aws-quicksight-secretsmanager-role-v0`アカウントに という IAM ロールを作成します。これは、指定されたシークレットへの読み取り専用アクセス権をアカウント内のユーザーに付与するもので、以下のようになります。

   Amazon Quick ユーザーがシークレットを含むデータソースを使用するダッシュボードから分析を作成または表示すると、Amazon Quick はこの Secrets Manager IAM ロールを引き受けます。シークレットのアクセス許可ポリシーの詳細については、「AWS Secrets Manager ユーザーガイド」の「 AWS Secrets Managerの認証とアクセスコントロール」を参照してください。

   Amazon Quick IAM ロールで指定されたシークレットには、アクセスを拒否する追加のリソースポリシーがある場合があります。詳細については、「AWS Secrets Manager ユーザーガイド」の「[アクセス許可ポリシーをシークレットにアタッチする](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)」を参照してください。

    AWS マネージド AWS KMS キーを使用してシークレットを暗号化している場合、Amazon Quick は Secrets Manager で追加のアクセス許可を設定する必要はありません。

   カスタマーマネージドキーを使用してシークレットを暗号化する場合は、Amazon Quick IAM ロールに アクセス`kms:Decrypt`許可`aws-quicksight-secretsmanager-role-v0`があることを確認してください。詳細については、「AWS Secrets Manager ユーザーガイド」の「KMS キーのアクセス許可」を参照してください。

    AWS Key Management Service で使用されるキーのタイプの詳細については、「 Key *AWS Management Service ガイド*」の[「カスタマーキーとキー AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)」を参照してください。

## Amazon Quick API を使用したシークレット認証情報を使用したデータソースの作成または更新
<a name="secrets-manager-integration-api"></a>

Amazon Quick 管理者が Secrets Manager への Amazon Quick 読み取り専用アクセス権を付与したら、管理者が認証情報として選択したシークレットを使用して API でデータソースを作成および更新できます。

以下は、Amazon Quick でデータソースを作成するための API コールの例です。この例は、`create-data-source` API オペレーションを使用します。また、`update-data-source` オペレーションを使用することもできます。詳細については、*Amazon Quick API リファレンス*の[CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)」と[UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)」を参照してください。

次の API コール例のアクセス許可で指定されたユーザーは、Amazon Quick で指定された MySQL データソースのデータソースを削除、表示、編集できます。また、データソースのアクセス許可の表示と更新を実行することも可能です。Amazon Quick のユーザー名とパスワードの代わりに、シークレット ARN がデータソースの認証情報として使用されます。

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

この呼び出しでは、Amazon Quick は、IAM サービスロールのポリシーではなく、API 発信者の IAM ポリシーに基づいてシークレット`secretsmanager:GetSecretValue`へのアクセスを許可します。IAM サービスロールはアカウントレベルで機能し、ユーザーが分析やダッシュボードを表示するときに使用されます。ユーザーがデータソースを作成または更新するときのシークレットへのアクセスの許可には使用できません。

Amazon Quick UI でデータソースを編集すると、ユーザーは を認証情報タイプ AWS Secrets Manager として使用するデータソースのシークレット ARN を表示できます。シークレットを編集したり、別のシークレットを選択したりすることはできません。データベースサーバーやポートなどに変更を加える必要がある場合、ユーザーはまず**認証情報ペア**を選択し、Amazon Quick アカウントのユーザー名とパスワードを入力する必要があります。

シークレットは、UI でデータソースが変更されると、データソースから自動的に削除されます。シークレットをデータソースに復元するには、`update-data-source` API オペレーションを使用します。

## シークレットの内容
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick がシークレットにアクセスするには、次の JSON 形式が必要です。

```
{
  "username": "username",
  "password": "password"
}
```

Amazon Quick がシークレットにアクセスするには、 `username` および `password`フィールドが必要です。他のすべてのフィールドはオプションであり、Amazon Quick では無視されます。

JSON 形式は、データベースのタイプに応じて異なります。詳細については、「 *AWS Secrets Manager ユーザーガイド*」の[AWS Secrets Manager 「データベース認証情報シークレットの JSON 構造](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html)」を参照してください。

## シークレットの変更
<a name="secrets-manager-integration-modifying"></a>

シークレットを変更するには、Secrets Manager を使用します。シークレットに変更を加えると、Amazon Quick が次回シークレットへのアクセスをリクエストしたときに更新が利用可能になります。