アクションコネクタ APIs 認証方法アクセス許可とアクセスコントロールサポートされているコネクタカテゴリ API ライフサイクル管理レート制限とクォータクロスアカウントのサポートエラー処理とトラブルシューティング CLI での Action Connector APIs AWS 次の手順

アクションコネクタ APIs

アクションコネクタ APIsを使用すると、Amazon Quick と外部サービス間の接続をプログラムで作成および管理できます。これらの APIs、ユーザーが Amazon Quick Chat Interface と自動ワークフローから直接サードパーティーアプリケーションでアクションを実行できるようにするアクション統合機能をサポートしています。

アクションコネクタ APIs

アクションコネクタは、ファーストパーティおよびサードパーティーアプリケーションとの統合を可能にする基本的なリソースとして機能します。これらの APIs を使用して、アプリケーションへの認証、アクセス許可の管理、Amazon Quick アプリケーション内のユーザーが使用できるアクションの制御を行うことができます。

アクションコネクタ APIsアクション統合をサポートする方法

アクションコネクタ APIs、Amazon Quick アクション統合のバックエンドインフラストラクチャを提供します。API を使用してアクションコネクタを作成する場合、以下を可能にする安全な接続を確立します。

チャットインターフェイスを介して外部サービスでアクションを実行します。
バックグラウンドプロセスで自動ワークフローを実行します。
サードパーティーサービスと Amazon Quick アプリケーションを統合します。
サービスアクセスの認証とアクセス許可を管理します。

APIs、Amazon Quick を外部サービスに安全に接続するために必要な複雑な認証フロー、認証情報管理、およびアクセス許可コントロールを処理します。

認証方法

アクションコネクタ APIs、さまざまなユースケースとセキュリティ要件に対応するために、複数の認証方法をサポートしています。

マネージド認証 (3LO)

Three-Legged OAuth は、サードパーティーのサービスへの個人アクセスのための最も簡単なセットアップを提供します。

初期設定は必要ありません。
サービスプロバイダーログインによるユーザー固有の認証。
90 日間のライフサイクルによるトークンの自動更新。
Amazon Quick によって管理される安全な認証情報ストレージ。

Service-to-service認証 (2LO)

複雑なエンタープライズ統合の場合:

クライアント認証情報の OAuth フローをサポートします。
system-to-systemインタラクションを有効にします。
クライアント ID、クライアントシークレット、トークン URL の設定が必要です。
高度なセキュリティを必要とする自動ワークフローに適しています。
OAuth - 動的クライアント登録 (DCR - 一部の MCP サーバーにのみ適用されます）。

API キー認証

自動ワークフローの認証が簡素化されました。

単一トークンベースの認証。
サービスレベルのアクセス許可。
バックグラウンドプロセスやスケジュールされたアクションに最適です。
ターゲットサービスから有効な API キーが必要です。

基本的な認証

基本認証は、シンプルなユーザー名/パスワード認証方法を提供します。

標準の HTTP 基本認証ヘッダーを使用します。
認証情報は base64 でエンコードされます。
OAuth キーまたは API キーをサポートしていないサービスに適しています。
安全な HTTPS 接続が必要です。
パブリックサービスにはお勧めしません。

なし

認証は必要ありません。

パブリック APIs とサービスに使用されます。
認証情報やトークンは必要ありません。
読み取り専用またはパブリックオペレーションに制限されます。
通常、パブリックデータフィードとドキュメントに使用されます。
機密性の高いオペレーションには使用しないでください。

アクセス許可とアクセスコントロール

アクションコネクタ APIs、アクセスコントロールリスト (ACLs。

リソースレベルのアクセス許可

所有者 - 削除とアクセス許可の管理を含む完全なコントロール。
Contributor - コネクタ設定を使用および変更できます。
ビューワー - コネクタの詳細を表示し、有効なアクションを使用できます。

アクセス許可管理のための API オペレーション

DescribeActionConnectorPermissions - 現在のアクセス許可設定を取得します。
UpdateActionConnectorPermissions - ユーザーアクセス許可を付与または取り消します。

サポートされているコネクタカテゴリ

多目的コネクタ

これらのコネクタは、アクション統合とナレッジベースの作成の両方をサポートします。

Amazon S3 - 管理コンソールを使用してファイルオペレーションのアクションを作成し、ウェブアプリを使用して S3 コンテンツからナレッジベースを作成します。
Microsoft SharePoint - ドキュメント管理アクション、コンテンツインデックス作成。
OneDrive - ファイルオペレーション、ドキュメント検索機能。
Confluence - コンテンツ作成アクション、ナレッジベース統合。

アクションのみのコネクタ

ナレッジベース機能のないアクション実行に特化:

Salesforce - アカウントと問い合わせオペレーション、カスタムオブジェクト CRUD オペレーション、販売プロセスの自動化をサポートするエンタープライズ CRM 統合。
JIRA - 問題の追跡とプロジェクト管理。
Microsoft Outlook - E メールの送信、カレンダーイベントの管理、連絡先へのアクセス。
Slack - 通信および通知ワークフロー。
ServiceNow - IT サービス管理オペレーション。
Zendesk - チケットの作成、ケースの更新、ナレッジベースの検索。
PagerDuty - インシデントの作成、エスカレーションの管理、オンコールスケジュールの更新を行います。
Asana - アクションの作成、プロジェクトの更新、チームワークフローの管理を行います。
BambooHR - 従業員データにアクセスし、休暇申請を管理します。
Smartsheet - シートを更新し、プロジェクトデータを管理します。
FactSet - 財務データにアクセスし、レポートを生成します。
SAP - SAP システムにアクセスし、ビジネス機能を実行し、エンタープライズデータを管理します。

ナレッジベース専用コネクタ

アクション機能のないナレッジベースの統合に焦点を当てます。

Google Drive - ドキュメントのインデックス作成と検索。
Web Crawler - コンテンツの検出とインデックス作成。

API ライフサイクル管理

認証情報管理

OAuth アクションコネクタの自動更新トークン処理。
を使用した認証情報の安全なストレージ AWS KMS。
認証情報のローテーションと更新のサポート。
Amazon S3 コネクタのクロスアカウントアクセス。

接続の更新

UpdateActionConnector API を使用して以下を行います。

認証情報を変更します。
サービス設定パラメータを更新します。
アクションコネクタのメタデータを変更します。

モニタリングとトラブルシューティング

CloudWatch メトリクスを使用して API の使用状況を追跡します。
接続の正常性と認証ステータスをモニタリングします。
一般的な障害シナリオのエラー処理を実装します。
検証 APIsを使用して設定の問題を診断します。

レート制限とクォータ

アクションコネクタ APIs、標準の AWS API レート制限を実装します。

標準 AWS API スロットリングはすべてのオペレーションに適用されます。
接続の検証には追加の制限がある場合があります。
アクションの実行レートは、ターゲットサービス機能によって異なります。
再試行ロジックにエクスポネンシャルバックオフを実装します。

クロスアカウントのサポート

Amazon S3 コネクタの場合、APIsクロスアカウントアクセスをサポートします。

コネクタの作成時に異なる AWS アカウント IDsを指定します。
クロスアカウントアクセスに適切な IAM アクセス許可を設定します。
アカウント間の安全な認証情報管理 AWS KMS にを使用します。
クロスアカウント接続を有効にする前に、アクセス許可を検証します。

エラー処理とトラブルシューティング

アクションコネクタ APIs、標準 AWS エラーレスポンスを返します。

一般的なエラータイプ

AccessDeniedException - オペレーションのアクセス許可が不十分です。
InvalidParameterValueException - オペレーションに 1 つ以上のパラメータ値が無効です。
無効な設定パラメータ - サービス固有の設定値が正しくないか、見つかりません。
ResourceNotFoundException - コネクタまたはリソースが見つかりません。
ThrottlingException - レート制限を超えました。
ConflictException - リソースの競合または重複した名前。
InternalFailureException - リクエスト処理中に内部サービスエラーが発生しました。
ResourceExistsException - 既に存在するリソースを作成しようとします。
InvalidNextTokenException - 指定されたページ分割トークンが無効または期限切れです。
AccessTokenNotFoundException - ユーザーは接続を承認する必要があります (つまり、署名ボタン）。この例外は、UX がユーザーに認可を求めるために使用されます。
TokenResponseException - アクションの設定が無効です。

アプリケーションに適切なエラー処理を実装して、これらのシナリオを適切に管理し、ユーザーに有意義なフィードバックを提供します。

CLI での Action Connector APIs AWS

AWS CLI を使用して、アクションコネクタをプログラムで管理できます。次の例は、汎用プレースホルダー値を使用した一般的なオペレーションを示しています。

アクションコネクタの作成

create-action-connector コマンドを使用して、外部サービスと統合するための新しいアクションコネクタを作成します。



aws quicksight create-action-connector \
  --aws-account-id "123456789012" \
  --name "MyS3Connector" \
  --action-connector-id "my-s3-connector-id" \
  --type "AMAZON_S3" \
  --authentication-config '{
    "AuthenticationType": "IAM",
    "AuthenticationMetadata": {
      "IamConnectionMetadata": {
        "RoleArn": "arn:aws:iam::123456789012:role/MyConnectorRole"
      }
    }
  }' \
  --enabled-actions "CreateBucket" "ListBuckets" \
  --description "S3 connector for automation workflows" \
  --region "us-east-1"

アクションコネクタの一覧表示

list-action-connectors コマンドを使用して、アカウント内のすべてのアクションコネクタを取得します。



aws quicksight list-action-connectors \
  --aws-account-id "123456789012" \
  --max-results 10 \
  --region "us-east-1"

アクションコネクタの説明

describe-action-connector コマンドを使用して、特定のアクションコネクタに関する詳細情報を取得します。



aws quicksight describe-action-connector \
  --aws-account-id "123456789012" \
  --action-connector-id "my-s3-connector-id" \
  --region "us-east-1"

アクションコネクタの更新

update-action-connector コマンドを使用して、既存のアクションコネクタの設定を変更します。



aws quicksight update-action-connector \
  --aws-account-id "123456789012" \
  --action-connector-id "my-s3-connector-id" \
  --name "UpdatedS3Connector" \
  --authentication-config '{
    "AuthenticationType": "IAM",
    "AuthenticationMetadata": {
      "IamConnectionMetadata": {
        "RoleArn": "arn:aws:iam::123456789012:role/UpdatedConnectorRole"
      }
    }
  }' \
  --enabled-actions "CreateBucket" "ListBuckets" "DeleteBucket" \
  --region "us-east-1"

アクションコネクタの検索

search-action-connectors コマンドを使用して、特定の条件に基づいてアクションコネクタを検索します。



aws quicksight search-action-connectors \
  --aws-account-id "123456789012" \
  --max-results 5 \
  --filters '[{
    "Name": "ACTION_CONNECTOR_NAME",
    "Operator": "StringLike",
    "Value": "S3"
  }]' \
  --region "us-east-1"

アクションコネクタのアクセス許可の管理

update-action-connector-permissions コマンドを使用して、アクションコネクタのアクセス許可を付与または取り消します。



aws quicksight update-action-connector-permissions \
  --aws-account-id "123456789012" \
  --action-connector-id "my-s3-connector-id" \
  --grant-permissions '[{
    "Actions": [
      "quicksight:DescribeActionConnector",
      "quicksight:UpdateActionConnector",
      "quicksight:DeleteActionConnector"
    ],
    "Principal": "arn:aws:quicksight:us-east-1:123456789012:user/default/myuser"
  }]' \
  --region "us-east-1"

アクションコネクタのアクセス許可の表示

describe-action-connector-permissions コマンドを使用して、アクションコネクタの現在のアクセス許可を表示します。



aws quicksight describe-action-connector-permissions \
  --aws-account-id "123456789012" \
  --action-connector-id "my-s3-connector-id" \
  --region "us-east-1"

アクションコネクタの削除

delete-action-connector コマンドを使用して、アカウントからアクションコネクタを削除します。



aws quicksight delete-action-connector \
  --aws-account-id "123456789012" \
  --action-connector-id "my-s3-connector-id" \
  --region "us-east-1"

次の手順

アクションコネクタ APIsを理解したら、次のことができます。

詳細なパラメータ仕様については、API リファレンスドキュメントを参照してください。
ターゲットサービスの特定のコネクタセットアップガイドをご覧ください。
ユースケースに適した認証フローを実装します。
本番デプロイのモニタリングとエラー処理を設定します。
組織のアクセス許可とアクセスコントロールを設定します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サポートされているアクションコネクタタイプと使用可能なアクション

認証方法