翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Quick の IAM ポリシーの例
このセクションでは、Quick で使用できる IAM ポリシーの例を示します。
## Quick の IAM アイデンティティベースのポリシー
このセクションでは、Quick で使用するアイデンティティベースのポリシーの例を示します。
**Topics**
+ [Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー](#security_iam_conosole-administration)
### Amazon Quick IAM コンソール管理用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick IAM コンソール管理アクションに必要な IAM アクセス許可を示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: ダッシュボードの IAM アイデンティティベースのポリシー
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 名前空間の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者が名前空間を作成または削除できるようにする IAM ポリシーを示しています。
**名前空間の作成**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**名前空間の削除**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Quick: カスタムアクセス許可の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者または開発者がカスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Quick: E メールレポートテンプレートをカスタマイズするための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick での E メールレポートテンプレートの表示、更新、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、Amazon Quick 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが SES で検証済み ID であることを確認します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Amazon Quick マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、Amazon Quick 管理者が Amazon Quick マネージドユーザーを使用して Enterprise Edition Amazon Quick アカウントを作成できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: ユーザーの作成
次の例は、Amazon Quick ユーザーの作成のみを許可するポリシーを示しています。`quicksight:CreateReader`、`quicksight:CreateUser`、および `quicksight:CreateAdmin` で、**"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"** へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、**"Resource": "\$1"** を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## Quick: グループの作成と管理のための IAM アイデンティティベースのポリシー
次の例は、Amazon Quick 管理者とデベロッパーがグループを作成および管理できるようにするポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス
Amazon Quick Standard Edition の次の例は、作成者と読者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス (Pro ロール)
次の Amazon Quick Enterprise Edition の例では、Amazon Quick ユーザーが IAM Identity Center と統合された Amazon Quick アカウントで Amazon Quick にサブスクライブし、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。
このポリシーでは、ユーザーは Quick Generative BI 機能で Amazon Q へのアクセスを許可する Amazon Quick Pro ロールにサブスクライブすることもできます。Amazon Quick の Pro ロールの詳細については、[「Generative BI の開始方法](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、IAM Identity Center と統合された Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。
このポリシーは、Amazon Quick で Pro ロールを作成するアクセス許可を付与しません。Amazon Quick で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには、[「Amazon Quick の IAM アイデンティティベースのポリシー: IAM アイデンティティセンター (Pro ロール) を使用した Enterprise Edition のすべてのアクセス](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro)」を参照してください。
この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: Active Directory を使用した Enterprise Edition のすべてのアクセス
次の Amazon Quick Enterprise Edition の例では、ID 管理に Active Directory を使用する Amazon Quick アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。この例では、Amazon Quick からサブスクリプションを解除するアクセス許可を明示的に拒否します。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory グループ用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick Enterprise Edition アカウントの Active Directory グループ管理を許可する IAM ポリシーを示しています。
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理アセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Quick の IAM アイデンティティベースのポリシー: 管理キー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"quicksight:ListKMSKeysForUser"` および アクセス`"kms:ListAliases"`許可は、Amazon Quick コンソールからカスタマーマネージドキーにアクセスするために必要です。 `"quicksight:ListKMSKeysForUser"`および `"kms:ListAliases"`は、Amazon Quick キー管理 APIsを使用する必要はありません。
ユーザーにアクセスを許可するキーを指定するには、ユーザーにアクセスを許可するキーの ARN を `quicksight:KmsKeyArns` 条件キーと一緒に `UpdateKeyRegistration` 条件に追加します。ユーザーは、`UpdateKeyRegistration` で指定されたキーにのみアクセスできます。Amazon Quick でサポートされている条件キーの詳細については、[「Amazon Quick の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys)」を参照してください。
以下の例では、Amazon Quick アカウントに登録されているすべての CMKs に対する`Describe`アクセス許可と、Amazon Quick アカウントに登録されている特定の CMKs に対する`Update`アクセス許可を付与します。
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS リソースクイック: Enterprise Edition でのポリシーのスコープ設定
次の Amazon Quick Enterprise Edition の例では、リソースへのデフォルトアクセスの設定と AWS 、リソースへのアクセス許可のスコープポリシーを許可するポリシーを示しています AWS 。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```