翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Quick のアプリのセキュリティとサンドボックス
<a name="security-sandbox-apps"></a>

Quick のアプリは、Amazon Quick のエンタープライズグレードの認証と認可を継承します。ユーザーは既存のクイック ID を介してアプリケーションにアクセスし、すべてのアプリケーションは安全なサンドボックス化された iframe 内で実行されます。

## 認証
<a name="apps-authentication"></a>
+ **シングルサインオン** — ユーザーは、Quick を介して組織の ID プロバイダー (SSO、Active Directory、IAM) を介して認証します。追加の認証情報は必要ありません。
+ **セッションセキュリティ** — すべてのアプリケーションインタラクションは、認証されたクイックセッション内で実行されます。トークンはプラットフォームによって自動的に管理されます。

## 認可レイヤー
<a name="apps-authorization"></a>


| レイヤー | コントロールするもの | 
| --- | --- | 
| アプリへのアクセス | アプリを表示または編集できるユーザー (共有時にアプリ所有者が設定) | 
| 統合の承認 | アプリがアクセスできるコネクタ、スペース、ダッシュボード (作成者が作成中に設定) | 
| ランタイムアクセス許可 | 独自のクイックアクセス許可に基づいてビューワーが利用できるデータとアクション | 
| コネクタ認証 | コネクタが外部 API で認証する方法 (管理者が設定) | 

**重要**  
アプリビューワーは、Quick で表示することが既に許可されているデータにのみアクセスできます。ダッシュボードビジュアルを埋め込んでも、行レベルのセキュリティや列レベルのアクセス許可はバイパスされません。

## 統合同意モデル
<a name="apps-integration-consent"></a>

クイックエージェントのアプリがアプリ (アクションコネクタ、スペース、ダッシュボードビジュアル、または AI 推論) に統合を追加すると、承認を求められます。この同意モデルにより、以下が保証されます。
+ アプリが行う外部呼び出しを正確に把握できます。
+ 読み取りアクセス許可と書き込みアクセス許可を制御します。
+ 公開されたアプリに未承認の統合が含まれることはありません。
+ アプリビューワーは、より広範なアクセスではなく、承認された統合スコープを継承します。

## サンドボックスの制限
<a name="apps-sandbox-restrictions"></a>

Quick アプリのすべてのアプリは、厳格なセキュリティポリシーを使用してサンドボックス化された iframe 内で実行されます。サンドボックスはスクリプトの実行のみを許可します。他のすべての機能 (ナビゲーション、ポップアップ、直接ネットワークアクセス) は制限されています。
+ **リンクナビゲーション** — アプリケーションは外部 URLsを直接開くことはできません。ユーザーは、Cmd\+Click (macOS) または Ctrl\+Click (Windows) を押してリンクをたどることができます。
+ **外部リソース** — コンテンツセキュリティポリシーは、外部サーバーからのイメージ、スクリプト、フォント、その他のアセットのロードをブロックします。Amazon Quick スペースからロードされたインライン SVG グラフィック、Base64-encodedされたイメージデータ、またはイメージファイルを使用します。
+ **ネットワークリクエスト** — アプリケーションコードは外部サーバーに直接 HTTP リクエストを行うことはできません。外部システムとのすべての通信は、セキュアブリッジ API または登録されたアクションコネクタを介して行われます。
+ **ファイルのダウンロード** — ファイルのダウンロードでは、クイックランタイムライブラリのアプリケーションから `downloadFile`関数を使用する必要があります。