Amazon Quick でのカスタムアクセス許可プロファイルの作成 - Amazon Quick
クイック親機能クイック機能IAM Identity Center または Active Directory と統合された Amazon Quick アカウントのカスタムアクセス許可プロファイルの作成Amazon Quick マネージドユーザーを使用する Amazon Quick アカウントのカスタムアクセス許可プロファイルの作成カスタム許可プロファイルをロールに適用するカスタム許可プロファイルをユーザーに適用するカスタム許可プロファイルをアカウントに適用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Quick でのカスタムアクセス許可プロファイルの作成

 適用対象: Enterprise Edition 
   対象者: 管理者と Amazon Quick 開発者 

Enterprise Edition では、Amazon Quick でユーザーがアクセスできる機能を制限できます。Quick のすべての ID タイプについて、アカウント、ロール (管理者、作成者、リーダー)、およびユーザーレベルでカスタムアクセス許可を設定できます。ユーザーレベルのカスタム許可は、指定されたユーザーについてのロールの既存のデフォルト、またはカスタムロールレベルの許可をオーバーライドします。ユーザーレベルのカスタムアクセス許可ロールレベルのカスタムアクセス許可は、アカウントレベルのカスタムアクセス許可を上書きします。

カスタム許可には次の制限が適用されます。

  • ユーザーのデフォルトのロールを超えるアクセス許可を付与することはできません。例えば、ユーザーに読み取りアクセスが付与されている場合、そのユーザーにダッシュボードを編集するための許可を付与することはできません。

  • ユーザーまたはロールのアクセス許可をカスタマイズするには、次の IAM アクセス許可を持つ Amazon Quick 管理者である必要があります。

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

カスタムアクセス許可プロファイルを作成して、以下の機能の任意の組み合わせへのアクセスを制限できます。親機能を使用して、アセットの機能セット全体へのアクセスを制限できます。親機能を無効にすると、関連するすべての子機能も無効になります。

親機能がない機能は、このメカニズムではオフにできません。代わりに、個々の機能として制限する必要があります。

クイック親機能

親機能 機能

分析

すべての分析関連の機能を制限します

ダッシュボード

ダッシュボード関連のすべての機能を制限します

アクション

すべてのアクション関連の機能を制限します

自動化

すべての自動化関連機能を制限します

チャットエージェント

チャットエージェント関連のすべての機能を制限します

拡張子

拡張機能に関連するすべての機能を制限します

フロー

フロー関連のすべての機能を制限します

ナレッジベース

ナレッジベース関連のすべての機能を制限します

リソース

すべての Research 関連機能を制限します

スペース

Spaces 関連のすべての機能を制限します

クイック機能

機能 Amazon Quick の動作 親機能

チャットエージェントの作成

  • チャットエージェントを表示またはアクセスできない

  • エージェントライブラリとナビゲーションは非表示

  • 構造化されたやり取りのためにチームやフローとファイル共有するためのスペースを作成するなど、他のクイックリソースにアクセスして作成できます (これらの機能も制限されていない限り)。

チャットエージェント

作成者が承認なしで共有できるようにする

  • 承認なしに作成者がフローを共有することはできません

フロー

Bedrock モデルを使用して出力を絞り込む

  • Bedrock モデルの使用を制限します

フロー

UI エージェントによるブラウザタスクの実行を有効にする

  • フロー UI エージェントによるブラウザタスクの実行を制限します

フロー

インターネットを使用して結果を強化する

  • Chat Agents and Research でのウェブベースの検索の使用を制限します

--

分析の共有

  • ファイルメニューの共有オプションへのアクセスは、分析では無効になっています

分析

異常検出の追加または実行

  • インサイトメニューのシートに異常を追加するオプションへのアクセスは、分析では無効になっています

  • オブジェクトメニューの異常オプションへのアクセスは、分析では無効になっています

  • ユーザーはシートに異常検出を追加できません

分析

シートの印刷

  • ファイルメニューの印刷オプションへのアクセスは、分析では無効になっています

  • エクスポートメニューの印刷オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはシートを印刷できません

--

シートを PDF にエクスポートする

  • ファイルメニューの PDF へのエクスポートオプションへのアクセスは、分析では無効になっています

  • エクスポートメニューの PDF 生成オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは PDF ファイルにシートをエクスポートできません

--

テーマの作成または更新

  • 編集メニューのテーマオプションへのアクセスは、分析では無効になっています

  • ユーザーはカスタムテーマを作成できません

  • ユーザーは既存のテーマを編集または更新できません

--

ダッシュボードの共有

  • ナビゲーションメニューの共有アイコンへのアクセスは、ダッシュボードでは無効になっています

ダッシュボード

CSV へのビジュアルのエクスポート

  • 各ビジュアルの 3 つのドットメニューの CSV へのエクスポートオプションへのアクセスは、分析とダッシュボードの両方で無効になっています

  • Objects メニューの Export Visual to CSV オプションへのアクセスは、分析では無効になっています。

  • ユーザーはビジュアルを CSV ファイルにエクスポートできません

--

ビジュアルを Excel にエクスポートする

  • 各テーブルの 3 つのドットメニューの Excel へのエクスポートオプションへのアクセスは、分析とダッシュボードの両方で無効になっています

  • オブジェクトメニューの Excel へのテーブルのエクスポートオプションへのアクセスは、分析では無効になっています

  • ユーザーは Excel ファイルにテーブルをエクスポートできません

--

すべてのデータセットの作成または更新

  • すべてのデータセットの作成または更新へのアクセスは無効になります

--

SPICE データセットのみを作成または更新する

  • SPICE データセットの作成または更新へのアクセスは無効になります

--

データセットの共有

  • データセットの共有へのアクセスは無効になります

--

アカウント SPICE 容量の表示

  • アカウントの SPICE 容量の取得を制限します

--

すべてのデータソースの作成または更新

  • すべてのデータソースの作成または更新へのアクセスは無効になります

--

データソースの共有

  • データソースの共有へのアクセスは無効になります

--

共有フォルダの作成

  • 共有フォルダの作成を制限します

--

共有フォルダの名前変更

  • 共有フォルダの名前変更を制限します

--

スケジュールされた E メールレポートの作成または更新

  • ダッシュボードでは、スケジュールメニューのスケジュールオプションへのアクセスが無効になっています

  • スケジュールメニューの最近のスナップショットオプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはスケジュールされた E メールレポートを作成または更新できません

--

スケジュールされた E メールレポートのサブスクライブ

  • ユーザーはスケジュールされた E メールレポートをサブスクライブできません

ダッシュボード

スケジュールされた E メールレポートの CSV 添付ファイル

  • スケジュールメニューのコンテンツセクションの CSV オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはスケジュールされた E メールレポートに CSV ファイルをアタッチできません

--

スケジュールされた E メールレポートの Excel 添付ファイル

  • スケジュールメニューのコンテンツセクションの Excel オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは、スケジュールされた E メールレポートに Excel ファイルをアタッチできません

--

スケジュールされた E メールレポートの PDF 添付ファイル

  • スケジュールメニューのコンテンツセクションの PDF オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは、スケジュールされた E メールレポートに PDF ファイルをアタッチできません

--

スケジュールされた E メールレポート内のコンテンツ

  • ユーザーは、ログイン後にゲートされるダウンロード可能なリンクとしてのみ、スケジュールされた E メールレポートでコンテンツを受け取ります。

  • E メール本文にシートを含めると、スケジュールメニューのファイルアタッチメントオプションは無視されます

  • スケジュールされた E メールレポートにイメージが含まれない

--

しきい値アラートの作成または更新

  • ダッシュボードのアラートメニューへのアクセスが無効になっている

  • ユーザーはしきい値アラートを作成または更新できません

--

カスタムアクセス許可プロファイルは、IAM アイデンティティセンター、Active Directory と統合された Amazon Quick アカウント、または Amazon Quick マネージドユーザーを持つ Amazon Quick アカウント用に作成できます。Amazon Quick アカウントが使用する ID タイプによって、Amazon Quick 管理者がカスタムアクセス許可プロファイルを設定する方法が決まります。

次の手順は、Amazon Quick 機能およびそれぞれの機能へのアクセスを制御する方法を示しています。

Amazon Quick の機能と機能へのアクセスを制御するには

  1. Amazon Quick コンソールにログインします。

  2. クイックの管理を選択します。

  3. 管理者コンソールの左側のナビゲーションメニューから、アクセス許可を選択し、カスタムアクセス許可を選択します。

  4. カスタムアクセス許可で、プロファイルから新しいプロファイルを選択するか、デフォルトプロファイルの編集を選択します。

  5. 新しいプロファイルで、次の操作を行います。

    • 機能の制限 – 適切なオプションをチェックまたはチェック解除して、システムに特定の機能を許可するかどうかを選択します。

    • 機能の制限 – 適切なオプションをチェックまたはチェック解除して、特定の機能を許可するかどうかを選択します。

IAM Identity Center または Active Directory と統合された Amazon Quick アカウントのカスタムアクセス許可プロファイルの作成

Amazon Quick アカウントの管理者は、次の手順を使用して、IAM Identity Center または Active Directory と統合された Amazon Quick アカウントのカスタムアクセス許可プロファイルを作成できます。

IAM Identity Center または Active Directory と統合された Amazon Quick アカウントのカスタムアクセス許可プロファイルを作成するには

  1. AWS マネジメントコンソールにサインインします。

  2. Amazon Quick を開きます。

  3. Amazon Quick Admin コンソールが開きます。カスタムアクセス許可を選択します。

  4. [カスタムアクセス許可の管理] ページが開きます。次のいずれかのオプションを選択します。

    • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

    • 既存のカスタムアクセス許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 つのドット) を選択し、編集を選択します。

  5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

    • [名前] で、カスタム許可プロファイルの名前を入力します。

    • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。たとえば、ユーザーにデータソースを作成または更新させたくないが、他のすべてを実行できるようにする場合は、データソースの作成または更新のみを選択します。

  6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

  7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

Amazon Quick マネージドユーザーを使用する Amazon Quick アカウントのカスタムアクセス許可プロファイルの作成

Amazon Quick アカウントの管理者は、次の手順を使用して、Amazon Quick マネージドユーザーを使用する Amazon Quick アカウントのカスタムアクセス許可プロファイルを作成できます。

Amazon Quick マネージドユーザーのカスタムアクセス許可プロファイルを作成するには

  1. クイックコンソールを開きます。

  2. Amazon Quick コンソールの任意のページから、右上隅にある「Manage Quick」を選択します。

    Amazon Quick 管理者のみが、クイックメニューの管理オプションにアクセスできます。クイック管理メニューにアクセスできない場合は、Amazon Quick 管理者にお問い合わせください。

  3. カスタムアクセス許可を選択します。ユーザーの管理セクションを選択し、カスタムアクセス許可の管理を選択することもできます。

  4. [カスタムアクセス許可の管理] ページが開きます。次のいずれかのオプションを選択します。

    • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

    • 既存のカスタムアクセス許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 つのドット) を選択し、編集を選択します。

  5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

    • [名前] で、カスタム許可プロファイルの名前を入力します。

    • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。例えば、ユーザーにデータソースを作成または更新させたくないが、それ以外の操作はすべて実行できるようにしたい場合は、[データソースを作成または更新] のみを選択します。

  6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

  7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

カスタムアクセス許可プロファイルを作成したら、Amazon Quick APIsを使用して、ユーザー、ロール、またはアカウントに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。十分なアクセス許可を持つユーザーは、 AWS::QuickSight::CustomPermissions CloudFormation リソースを使用して Amazon Quick カスタムアクセス許可プロファイルを管理することもできます。Amazon Quick APIs を使用したカスタムアクセス許可プロファイルの管理の詳細については、以下のトピックを参照してください。

Amazon Quick API を使用して Amazon Quick ロールにカスタムアクセス許可プロファイルを適用する

カスタムアクセス許可プロファイルを作成したら、Amazon Quick APIsを使用して、ロールに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。

開始する前に、 CLI AWS をセットアップして設定する必要があります。CLI のインストールの詳細については、 AWS AWS Command Line Interface 「 ユーザーガイド」の「 CLI AWS の最新バージョンのインストールまたは更新」および「 CLI AWS の設定」を参照してください。Amazon Quick API を使用するためのアクセス許可も必要です。

次の例では、UpdateRoleCustomPermission API を呼び出して、ロールに割り当てられているカスタム許可を更新します。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、ロールに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

次の例では、ロールからカスタム許可プロファイルを削除します。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Amazon Quick API を使用してカスタムアクセス許可プロファイルをユーザーに適用する

次の例では、ユーザーからカスタム許可プロファイルを適用します。

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

次の例では、ユーザーからカスタム許可プロファイルを削除します。

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

次の の例では、新しい Amazon Quick IAM ユーザーにカスタムアクセス許可を追加します。

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

既存の IAM ユーザーを新しい許可プロファイルに関連付けることもできます。次の例では、既存の IAM ユーザーのカスタム許可プロファイルを更新しました。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

以下の例では、許可プロファイルから既存のユーザーを削除します。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

ロールまたはユーザーに適用されるカスタム許可をテストするには、ユーザーのアカウントにログインします。ユーザーが Amazon Quick にログインすると、アクセスできる最高の特権ロールが付与されます。ユーザーに付与できる最高の特権ロールは管理者です。ユーザーに付与できる最小特権ロールは Reader です。Amazon Quick のロールの詳細については、「Amazon Quick 内でのユーザーアクセスの管理」を参照してください。

データソースの共有を作成者のロールに制限するカスタム許可プロファイルを割り当てると、その作成者はデータソースの共有を許可するコントロールにアクセスできなくなります。代わりに、影響を受ける作成者は、データソースに対する閲覧専用の許可を持ちます。

カスタム許可プロファイルをアカウントに適用する

カスタム許可プロファイルをアカウントに適用するには

  1. クイックコンソールを開きます。

  2. 右上から [プロファイル] アイコンを選択します。

  3. 「高速管理」を選択します。このページを表示できるのは Amazon Quick 管理者のみです。

  4. カスタムアクセス許可を選択します。クイックアカウントでクイックマネージドユーザーを使用している場合は、「ユーザーの管理」セクションを選択し、「カスタムアクセス許可の管理」を選択することもできます。

  5. 目的のアカウントのカスタムアクセス許可を見つけます。[アクション] のオプションメニューで、[アカウントプロファイルとして設定] を選択します。

Quick APIs を使用してカスタムアクセス許可プロファイルをアカウントに適用する

カスタムアクセス許可プロファイルを作成したら、クイック API を使用して、アカウントに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。

開始する前に、 CLI AWS をセットアップして設定する必要があります。 AWS CLI のインストールの詳細については、 AWS 「 コマンドラインインターフェイスユーザーガイド」の「CLI AWS の最新バージョンのインストールまたは更新」および「CLI の設定 AWS」を参照してください。また、quicksight:UpdateAccountPermissionquicksight:DescribeAccountPermission および quicksight:DeleteAccountCustomPermission の IAM アクセス許可も必要です。

次の例では、UpdateAccountPermission API を呼び出して、アカウントに割り当てられているカスタム許可を更新します。

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、アカウントに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

次の例では、アカウントからカスタム許可プロファイルを適用外にします。

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION