翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Quick のセキュリティ
<a name="security"></a>

Amazon Quick は、ダッシュボードとインサイトを数万人のユーザーに配布できる安全なプラットフォームを提供し、複数リージョンの可用性と組み込みの冗長性を備えています。

 のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する AWS 責任があります。 AWS また、 では、安全に使用できるサービスも提供しています。セキュリティの有効性は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。Quick に適用されるコンプライアンスプログラムの詳細については、[AWS 「コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、Amazon Quick を使用する際の責任共有モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように Amazon Quick を設定する方法について説明します。また、Amazon Quick リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

Amazon Quick では、包括的なセキュリティ機能を使用してユーザーとコンテンツを管理できます。これには、ロールベースのアクセスコントロール、Microsoft Active Directory 統合、 AWS CloudTrail 監査、 AWS Identity and Access Management (IAM) およびサードパーティーソリューションを使用したシングルサインオン、プライベート VPC サブネット、データバックアップが含まれます。Amazon Quick は、FedRAMP、HIPAA、PCI DSS、ISO、SOC のコンプライアンスをサポートして、業界固有の要件や規制要件を満たすこともできます。

**Topics**
+ [Amazon Quick でのデータ保護](sec-data-protection.md)
+ [Amazon Quick でのインシデント対応、ログ記録、モニタリング](incident-response-logging-and-monitoring.md)
+ [Amazon Quick のコンプライアンス検証](sec-compliance.md)
+ [Amazon Quick の耐障害性](disaster-recovery-resiliency.md)
+ [Amazon Quick のインフラストラクチャセキュリティ](infrastructure-and-network-access.md)
+ [Amazon Quick のセキュリティのベストプラクティス](best-practices-security.md)
+ [AWS Amazon Quick の マネージドポリシー](security-iam-quicksight.md)

# Amazon Quick でのデータ保護
<a name="sec-data-protection"></a>

 AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon Quick でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して Amazon Quick AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

Amazon Quick は、基盤となる LLMsトレーニングや改善に顧客データを使用しません。

**Topics**
+ [Amazon Quick でのデータ暗号化](data-encryption.md)
+ [Amazon Quick でのネットワーク間トラフィックのプライバシー](internetwork-traffic-privacy.md)

# Amazon Quick でのデータ暗号化
<a name="data-encryption"></a>

Amazon Quick は、次のデータ暗号化機能を使用します。
+  保管中の暗号化 
+  転送中の暗号化
+  キー管理

保管時のデータ暗号化と転送中のデータ暗号化の詳細については、次のトピックを参照してください。Amazon Quick でのキー管理の詳細については、[AWS KMS 「カスタマーマネージドキーを使用した Amazon Quick SPICE データセットの暗号化](https://docs.aws.amazon.com/quicksuite/latest/userguide/customer-managed-keys.html)」を参照してください。

**Topics**
+ [保管中の暗号化](#data-encryption-at-rest)
+ [転送中の暗号化](#data-encryption-in-transit)

## 保管中の暗号化
<a name="data-encryption-at-rest"></a>

Amazon Quick は、Amazon Quick メタデータを安全に保存します。これには以下が含まれます。
+ Amazon Quick ユーザー名、E メールアドレス、パスワードなどの Amazon Quick ユーザーデータ。Amazon Quick 管理者はユーザー名とパスワードを表示できますが、各ユーザーのパスワードは各ユーザーに対して完全にプライベートです。
+ Microsoft Active Directory または ID フェデレーション実装 (Security Assertion Markup Language 2.0 (SAML 2.0) によるフェデレーション Single Sign-On (IAM アイデンティティセンター)) を使用したユーザー識別の調整に必要な最小限のデータ。
+ データソース接続データ。
+ データソース接続を確立するための Amazon Quick データソース認証情報 (ユーザー名とパスワード) または OAuth トークンは、お客様が Amazon Quick に CMK を登録すると、お客様のデフォルト CMK で暗号化されます。お客様が Amazon Quick に CMK を登録しない場合、Amazon Quick が所有する AWS KMS キーを使用して引き続き情報を暗号化します。
+ アップロードしたファイルの名前、データソース名、およびデータセット名。
+ Amazon Quick が機械学習 (ML) インサイトの入力に使用する統計。
+ Quick で Amazon Q をサポートするようにインデックス化されたデータ。これには以下が含まれます。
  + トピック
  + ダッシュボードに関連するメタデータ
  + インデックス容量の初回購入
  + 最初のチャット
  + 最初のスペース作成
  + 最初のナレッジベースの作成

**注記**  
上記を作成する前に CMK を設定します。それ以外の場合、Q データは AWSが所有するキーによって暗号化され、後で変更することはできません。

Amazon Quick は、Amazon Quick データを安全に保存します。これには以下が含まれます。
+ のData-at-restSPICE、マネージドキーによるハードウェアブロックレベルの暗号化を使用して暗号化 AWSされます。
+ SPICE 以外で保管中のデータは、Amazon マネージド KMS キーを使用して暗号化されます。これには以下が含まれます。
  + メールレポート
  + フィルターのサンプル値

ユーザーを削除すると、そのユーザーのメタデータはすべて、完全に削除されます。そのユーザーの Amazon Quick オブジェクトを他のユーザーに転送しない場合、削除されたユーザーの Amazon Quick オブジェクト (データソース、データセット、分析など) もすべて削除されます。Amazon Quick のサブスクリプションを解除すると、 にあるすべてのメタデータとデータはSPICE完全かつ完全に削除されます。

## 転送中の暗号化
<a name="data-encryption-in-transit"></a>

Amazon Quick は、すべてのデータ転送の暗号化をサポートしています。これには、データソースから SPICE への転送、または SPICE からユーザーインターフェイスへの転送が含まれます。ただし、暗号化は必須ではありません。データベースによっては、データソースからの転送を暗号化するかどうかを選択できます。Amazon Quick は、Secure Sockets Layer (SSL) を使用して、暗号化されたすべての転送を保護します。

# Amazon Quick でのネットワーク間トラフィックのプライバシー
<a name="internetwork-traffic-privacy"></a>

Amazon Quick を使用するには、ユーザーはインターネットにアクセスする必要があります。また、Amazon Quick モバイルアプリがインストールされている互換性のあるブラウザまたはモバイルデバイスにアクセスする必要があります。分析するデータソースへのアクセスは必要ありません。このアクセスは Amazon Quick 内で処理されます。Amazon Quick へのユーザー接続は、SSL を使用して保護されます。ユーザーが Amazon Quick にアクセスできるように、HTTPS および Web Sockets Secure (wss://) プロトコルへのアクセスを許可します。

企業ネットワーク環境では、Microsoft AD Connector と Single Sign-On (IAM アイデンティティセンター) を使用できます。ID プロバイダーを使用して、アクセスをさらに制限することができます。必要に応じて、MFA を使用することもできます。

Amazon Quick は、Amazon Quick のデータソース所有者から提供された接続情報を使用してデータソースにアクセスします。Amazon Quick とオンプレミスアプリケーション間、および Amazon Quick と同じ 内の他の AWS リソース間の接続は保護されます AWS リージョン。任意のソースへの接続の場合、データソースは Amazon Quick からの接続を許可する必要があります。

## サービスとオンプレミスのクライアントおよびアプリケーションとの間のトラフィック
<a name="internetwork-traffic-privacy-between-qs-and-and-on-premises"></a>

プライベートネットワークと の間には 2 つの接続オプションがあります AWS。
+ An AWS Site-to-Site VPN 接続。詳細については、[AWS site-to-site VPN とは」を参照してください。](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+  Direct Connect 接続。詳細については、[AWS 「直接接続とは」を参照してください。](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

 AWS API オペレーションを使用してネットワーク経由で Amazon Quick とやり取りする場合、クライアントは Transport Layer Security (TLS) 1.0 をサポートする必要があります。TLS 1.2 をお勧めします。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントに対応している必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストには、IAM プリンシパルに関連付けられたアクセスキー ID およびシークレットアクセスキーによる署名が必要です。または、リクエストへの署名のために一時的にセキュリティ認証情報を生成する「[AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)」を使用することもできます。

## 同じリージョン内の AWS リソース間のトラフィック
<a name="internetwork-traffic-privacy-between-qs-and-and-aws"></a>

Amazon Quick の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントは、VPC 内の論理エンティティであり、Amazon Quick への接続のみを許可します。VPC はリクエストを Amazon Quick にルーティングし、レスポンスを VPC にルーティングします。詳細については次を参照してください:
+ 「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)」
+ [Amazon Quick を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)

# Amazon Quick でのインシデント対応、ログ記録、モニタリング
<a name="incident-response-logging-and-monitoring"></a>


|  | 
| --- |
|    対象者:  システム管理者と Amazon Quick 管理者  | 

Amazon Quick インスタンスのセキュリティ、パフォーマンス、信頼性を維持するには、効果的なインシデント対応、ログ記録、モニタリングが不可欠です。このモニタリングフレームワークは、チャット、スペース、フロー、アクション、調査、ダッシュボード、カスタムエージェントなど、すべての Amazon Quick 機能のユーザーアクティビティ、システムパフォーマンス、セキュリティイベント、運用メトリクスを複数レイヤーで可視化します。

Amazon Quick は、 AWS ネイティブのモニタリングおよびログ記録サービスと統合して、リアルタイムのインサイトと履歴分析機能の両方を提供します。モニタリングシステムは、ユーザーエンゲージメント、会話パターン、リソース使用率、セキュリティ関連のイベントに関する詳細な分析をキャプチャし、CloudTrail ログ記録はコンプライアンスとフォレンジック分析の完全な監査証跡を保証します。

このセクションでは、以下について説明します。
+ **分析とモニタリング** - すべての Amazon Quick 機能にわたるユーザーの採用、パフォーマンス、フィードバック、セキュリティイベントを追跡するための包括的なダッシュボードとメトリクス
+ **CloudTrail ログ**記録 - Amazon Quick Sight でのコンプライアンスとセキュリティのモニタリングのための API コールと管理アクションの監査証跡を完了する
+ **API 以外のイベントログ**記録 - API コールを生成しないユーザーインタラクション、コンテンツアクセス、およびシステムイベントのモニタリング
+ **ログの分析と解釈** - ログエントリの理解、セキュリティインシデントの特定、Amazon Quick Sight での運用上の問題への対応

セキュリティインシデントの調査、ユーザー動作パターンの分析、システムパフォーマンスの測定、規制コンプライアンスの確保など、これらのモニタリングおよびログ記録機能は、安全で適切に機能する Amazon Quick 環境を維持するために必要な可視性とデータを提供します。

**Topics**
+ [CloudWatch Logs を使用した Amazon Quick 使用状況のモニタリング](monitoring-quicksuite-chat-feedback-cloudwatch.md)
+ [CloudTrail を使用した Amazon Quick Sight でのインシデント対応、ログ記録、モニタリング](incident-response-logging-and-monitoring-qs.md)
+ [CloudWatch を使用した Amazon Quick Sight のデータのモニタリング](monitoring-quicksight.md)

# CloudWatch Logs を使用した Amazon Quick 使用状況のモニタリング
<a name="monitoring-quicksuite-chat-feedback-cloudwatch"></a>

[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) を使用して、Amazon Quick でチャット会話、ユーザーフィードバック、エージェント/研究時間の使用状況を配信し、分析できます。これらのログは、CloudWatch、Amazon S3、Amazon Data Firehose などの複数の宛先に配信できます (標準料金が適用されます）。Amazon Quick AI 機能を有効にした直後に、販売ログを設定することをお勧めします。

Amazon Quick のログを使用して実行できるタスクの例を次に示します。
+ チャットメッセージの内容を確認して、一般的なユーザークエリと問題点を特定する。
+ `feedbackReason` などのメトリクスを確認して、応答の品質をモニタリングする。
+ コメントや有用性評価などのフィードバックデータを分析することで、ユーザーの感情と満足度を理解する。
+ カスタムダッシュボードとレポートを生成して、主要なメトリクスと傾向を経時的に追跡する。
+ チャットが応答を返さないか、ユーザークエリがブロックされたケースを特定して分析する
+ エージェントと研究時間の使用状況をモニタリングする

**重要**  
会話のログには、チャットで渡される機密データや個人を特定できるデータが含まれる場合があります。ログサブスクリプションを設定するときに、ログからこの情報を除外できます。または、CloudWatch Logs マスキングポリシーを使用して、ログでこのデータをマスキングすることもできます。詳細については、「[Help protect sensitive log data with masking](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html)」を参照してください。

## サポートされているログの送信先
<a name="quicksuite-chat-feedback-supported-log-destinations"></a>

Amazon Quick は、次の宛先にログを配信できます。
+ **Amazon CloudWatch Logs** - リアルタイムのモニタリングと分析用
+ **Amazon S3** - 長期ストレージとバッチ処理用
+ **Amazon Data Firehose** - ストリーミング分析とデータ変換用

## 前提条件
<a name="quicksuite-chat-feedback-logging-prerequisites"></a>

ログ記録を有効にする前に、以下を確認してください。
+ Enterprise または Professional サブスクリプションを使用するアクティブな Amazon Quick インスタンス
+ ログ配信を設定するための適切な IAM アクセス許可
+ ログ用に設定された送信先 (CloudWatch Logs、Amazon S3 バケット、または Firehose)

## のログ記録の設定
<a name="quicksuite-chat-feedback-configure-logging"></a>

Amazon Quick Chat とフィードバックのログ記録を有効にするには、IAM アクセス許可を設定し、配信ソースと配信先を作成し、ログが正常に配信されていることを確認する必要があります。

**Topics**
+ [IAM 許可をセットアップする](#quicksuite-chat-feedback-setup-iam-permissions)
+ [ログサブスクリプションを設定する](#quicksuite-chat-feedback-configure-log-subscription)
+ [ログ配信の検証](#quicksuite-chat-feedback-verify-log-delivery)

### IAM 許可をセットアップする
<a name="quicksuite-chat-feedback-setup-iam-permissions"></a>

Amazon Quick の CloudWatch Logs を設定するには、次の IAM ポリシー例を使用して必要なアクセス許可を付与します。

```
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [{
        "Sid": "QuicksightLogDeliveryPermissions",
        "Effect": "Allow",
        "Action": "quicksight:AllowVendedLogDeliveryForResource",
        "Resource": "arn:aws:quicksight:region:account-id:account/account-id"
    }]
}
```

また、カスタマーマネージド AWS KMS キーポリシーで`delivery.logs.amazonaws.com`サービスプリンシパルを許可する必要があります。

```
{
    "Effect": "Allow"		 	 	 ,
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account-id:*"
        }
    }
}
```

### ログサブスクリプションを設定する
<a name="quicksuite-chat-feedback-configure-log-subscription"></a>

特定のログ記録先に必要なすべてのアクセス許可を持つ IAM ポリシーの例については、*Amazon CloudWatch Logs* [ユーザーガイド」の AWS 「サービスからのログ記録](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)を有効にする」を参照してください。

[PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html) CloudWatch Logs API オペレーションを使用して配信ソースを作成します。配信ソースに名前を付け、`resourceArn` でアプリケーションの ARN を指定します。の場合は`logType`、`CHAT_LOGS`、、`AGENT_HOURS_LOGS`または を指定します。 `FEEDBACK_LOGS`

```
{
    "logType": "CHAT_LOGS",
    "name": "my-quick-suite-delivery-source",
    "resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```

```
{
    "logType": "FEEDBACK_LOGS",
    "name": "my-quick-suite-delivery-source",
    "resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```

```
{
    "logType": "AGENT_HOURS_LOGS",
    "name": "my-quick-suite-delivery-source",
    "resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```

CloudWatch Logs API オペレーションでユーザー会話のログ記録を有効にするには、`PutDeliverySource`、`PutDeliveryDestination`、および `CreateDelivery` API オペレーションを呼び出します。

**注記**  
ログは、`PutDeliverySource`入力のリソース ARN に記載されているリージョンで使用できます。

### ログ配信の検証
<a name="quicksuite-chat-feedback-verify-log-delivery"></a>

設定したら、ログが送信先に配信されていることを確認します。
+ **セットアップを確認する:** CloudWatch Logs の `DescribeDeliveries` API を使用して、アカウントで作成された配信のリストを確認します。
+ **CloudWatch Logs**: 指定されたロググループで新しいログストリームを確認します。
+ **Amazon S3**: 新しいログファイルがないかバケットをモニタリングします。
+ **Firehose**: データが配信ストリームを流れることを確認します。

## ログスキーマと形式
<a name="quicksuite-chat-feedback-log-schema-format"></a>

Amazon Quick Logs は、チャットログとフィードバックログのすべてのログタイプと特定のフィールドで共有される共通のフィールドを持つ構造化スキーマに従います。

### 共通フィールド
<a name="quicksuite-chat-feedback-common-fields"></a>

すべてのログイベントには、次の共通フィールドが含まれます。
+ `resource_arn` - Amazon Quick アカウントのリソース ARN (例: `arn:aws:quicksight:us-east-1:111122223333:account/111122223333:`)
+ `event_timestamp` - イベントの ISO 8601 タイムスタンプ (例: `1763532110061`)
+ `logType` - ログのタイプ (例: `Chat`または `Feedback`)
+ `accountId` - AWS アカウント ID (例: `123456789012`)
+ `user_arn` - イベントに関連付けられた Amazon Quick ユーザー ARN (例: `"arn:aws:quicksight:us-west-2:111122223333:user/default/user"`)

### チャットログ
<a name="quicksuite-chat-logs"></a>

チャットログは会話のやり取りをキャプチャし、以下のフィールドを含みます。
+ `status_code` - チャットリクエストのステータス (例: `Success, request_blocked, no_answer_found` )
+ `namespace*` - イベントの Amazon Quick 名前空間 (例: `default`)
+ `user_type` - イベントに関連付けられた Amazon Quick ユーザータイプ (例: `ADMIN_PRO`)
+ `conversation_id` - ユーザー会話の一意の ID
+ `system_message_id` - システムによって生成されたメッセージ ID
+ `latency*` - ミリ秒単位のチャットメッセージのレイテンシー
+ `time_to_first_token*` - 最初のレスポンストークンのミリ秒単位の時間
+ `message_scope` - メッセージの範囲 (例: `all_resources, specific_resources, no_resources` )
+ `user_message_id` - ユーザーメッセージの一意の ID
+ `user_message` - 会話のユーザーメッセージ
+ `agent_id` - チャットエージェントの一意の ID
+ `flow_id` - Amazon Quick Flow の一意の ID
+ `system_text_message` - 会話中のシステムレスポンス
+ `surface_type*` - 会話に使用されているアプリケーション
+ `web_search*` - ウェブ検索が有効かどうか
+ `user_selected_resources`- ユーザーによって選択されたリソースのリスト
+ `action_connectors` - アクションコネクタのリスト
+ `cited_resource` - 引用されたリソースのリスト
+ `file_attachment` - ユーザーによってアタッチされたファイルのリスト

チャットログの例を次に示します。

```
{
    "status_code": "success",
    "namespace": "default",
    "user_type": "ADMIN_PRO",
    "conversation_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "system_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "latency": "10000", 
    "time_to_first_token": "10000",
    "message_scope": "all_resources",
    "user_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "user_message": "Hi chat",
    "agent_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "flow_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d?",
    "system_text_message": "Hello user",
    "surface_type": "WEB_EXPERIENCE",
    "web_search": "true"
    "user_selected_resources": [{"resource_type": "Dashboard","resource_id": "146abs-1222-534894"},{"resource_type": "Space","resource_id": "123abs-1234-534894"}],
    "action_connectors": [{"action_connector_id": "quicksight-website"},{"action_connector_id": "123abs-1234-534894"}]
    "cited_resource": [{"cited_resource_name": "Dashboard","cited_resource_id": "146abs-1222-534894","cited_resource_name": "ds1"},{"cited_resource_name": "Space","cited_resource_id": "123abs-1234-534894","cited_resource_name": "space1"}],
    "file_attachment": [{"file_attachmet_type": "pdf","file_attachment_name": "file1.pdf"},{"file_attachmet_type": "txt","file_attachment_name": "file2.txt"}]
}
```

### フィードバックログ
<a name="quicksuite-chat-feedback-logs"></a>

フィードバックログは、チャットに関するユーザーフィードバックをキャプチャし、以下のフィールドを含みます。
+ `status_code` - イベント配信のステータス
+ `namespace*` - イベントの Amazon Quick 名前空間 (例: `default`)
+ `user_type` - イベントに関連付けられた Amazon Quick ユーザータイプ (例: `ADMIN_PRO`)
+ `conversation_id` - 会話の一意の ID
+ `system_message_id` - システムによって生成されたメッセージ ID
+ `user_message_id` - ユーザーメッセージの一意の ID
+ `feedback_type` - フィードバックのタイプ (例: `Not Useful, Useful` )
+ `feedback_reason` - ユーザーが選択したフィードバックの理由
+ `feedback_details` - (オプション) ユーザーが提供する追加の詳細

フィードバックログの例を次に示します。

```
{
    "status_code": "success",
    "namespace": "default",
    "user_type": "ADMIN_PRO",
    "conversation_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "system_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "user_message_id" : "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
    "feedback_type" :"Not Useful / Useful"
    "feedback_reason" : "Too wordy,Issue with sources,Other etc."
    "feedback_details" : "additional text shared by user"
}
```

## エージェント/研究時間のログ
<a name="quicksuite-agent-hours-logs"></a>

このログタイプは、料金に使用されるクイックアカウント内のさまざまなエージェントの使用状況ログをキャプチャします。
+ `subscription_type` - エンタープライズまたはプロフェッショナル
+ `reporting_service` - エージェントに対応するサービス: RESEARCH、FLOWS、AUTOMATIONS
+ `usage_group` - これまでのサブスクリプションタイプと使用状況`Included or Extra`に基づく
+ `usage_hours` - 特定のログインスタンスの使用時間を示す 10 進値
+ `service_resource_arn` - 対応するエージェントのサービスの ARN

エージェント時間ログの例を次に示します。

```
{
    "subscription_type": "ENTERPRISE",
    "reporting_service": "RESEARCH",
    "usage_group": "Included",
    "usage_hours": 0.3333,
    "service_resource_arn": "arn:aws:quicksight:eu-west-1:111222333444:research/a11b2bbc-c123-3abc-a12b-12a34b5c678d"
}
```

**注記**  
 \$1 「\$1」とマークされたフィールドは、デフォルトではログサブスクリプションに追加されません。これらは、必要に応じて CreateDelivery を呼び出すときに明示的に指定する必要があります。

## セキュリティに関する考慮事項
<a name="quicksuite-chat-feedback-security-considerations"></a>
+ **暗号化**: 機密データにカスタマーマネージド AWS KMS キーを使用する
+ **アクセスコントロール**: 最小特権の IAM ポリシーを実装する
+ **データ保持**: コンプライアンス要件に適した保持ポリシーを設定する

# CloudTrail を使用した Amazon Quick Sight でのインシデント対応、ログ記録、モニタリング
<a name="incident-response-logging-and-monitoring-qs"></a>

Amazon Quick Sight は と統合されています AWS CloudTrail。このサービスは、Amazon Quick Sight のユーザー、ロール、または AWS サービスによって実行されたアクションの記録を提供します。CloudTrail は、Amazon Quick Sight のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon Quick Sight コンソールからの呼び出しと、Amazon Quick Sight API オペレーションへのすべてのコード呼び出しが含まれます。証跡を作成する場合は、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、Amazon Quick Sight に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

Amazon Quick Sight は、Amazon CloudWatch やその他の外部システムでのアラートをネイティブにサポートしていません。ただし、CloudTrail ログを処理するようにカスタムのソリューションを開発することができます。

Amazon Quick Sight サービスのステータスは、[サービスヘルスダッシュボード](https://status.aws.amazon.com/)で確認できます。

デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の [Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルの [AWS KMS マネージドキー (SSE-KMS) によるサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)を使用できます。サーバー側の暗号化を有効にすると SSE-KMS、を使用してログファイルが暗号化されますが、ダイジェストファイルは暗号化されません。ダイジェストファイルは、[Amazon S3 で管理された暗号化キー (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) を使用して暗号化されます。

設定や有効化の方法など、CloudTrail の詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)を参照してください。

**Topics**
+ [を使用した Amazon Quick Sight 情報のログ記録 AWS CloudTrail](#logging-using-cloudtrail)
+ [CloudTrail ログを使用した API 以外のイベントの追跡](#logging-non-api)
+ [例: Amazon Quick Sight ログファイルエントリ](#understanding-quicksight-entries)

## を使用した Amazon Quick Sight 情報のログ記録 AWS CloudTrail
<a name="logging-using-cloudtrail"></a>


|  | 
| --- |
|    対象者: システム管理者  | 

CloudTrail は、 AWS アカウントの作成時にアカウントで有効になります。Amazon Quick Sight でサポートされているイベントアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。 AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)を参照してください。

Amazon Quick Sight のイベントなど、 AWS アカウントのイベントの継続的な記録については、証跡を作成します。*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての に適用されます。証跡は、 AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。詳細については、次を参照してください: 
+ [証跡の作成のための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートするサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail 用 Amazon SNS 通知の構成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [複数のリージョンから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)および[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ 「 AWS Lake Formation デベロッパーガイド」の[「クロスアカウント CloudTrail ログ記録](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)」 – このトピックには、クロスアカウント CloudTrail ログにプリンシパル ID を含める手順が含まれています。

Amazon Quick Sight は、CloudTrail ログファイルのイベントとして次のアクションのログ記録をサポートしています。
+ リクエストがルート認証情報または AWS Identity and Access Management ユーザー認証情報を使用して行われたかどうか
+ リクエストが、IAM ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報によって行われたか
+ リクエストが別の AWS サービスによって行われたかどうか

ユーザー ID の詳細については、[CloudTrail userIdentity 要素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)を参照してください。

デフォルトでは、各 Amazon Quick Sight ログエントリには以下の情報が含まれます。
+  **userIdentity** – ユーザー ID

  
+  **eventTime** – イベント時間

  
+  **eventId** – イベント ID

  
+  **readOnly** – 読み取り専用

  
+  **awsRegion** – AWS リージョン

  
+  **eventSource (quicksight)** – イベントのソース (Amazon Quick Sight)

  
+  **eventType (AwsServiceEvent)** – イベントタイプ (AWS サービスイベント)

  
+  **recipientAccountId (顧客 AWS アカウント)** – 受信者アカウント ID (顧客 AWS アカウント)

  

**注記**  
 CloudTrail は、Amazon Quick Sight によってプロビジョニングされた`unknown`かのようにユーザーを表示します。このように表示されるのは、これらのユーザーが既知の IAM ID のタイプではないためです。

## CloudTrail ログを使用した API 以外のイベントの追跡
<a name="logging-non-api"></a>

以下に示しているのは、追跡可能な API 以外のイベントのリストです。

**ユーザー管理**
+  **CreateAccount** – アカウントの作成

  
+ **BatchCreateUser** – ユーザーの作成

  
+ **BatchResendUserInvite** – ユーザーの招待

  
+ **UpdateGroups** – グループの更新

  このイベントは Enterprise Edition でのみ機能します。

  
+ **UpdateSpiceCapacity** – SPICE 容量の更新

  
+ **DeleteUser** – ユーザーの削除

  
+ **Unsubscribe** – ユーザーのサブスクリプション解除

  

**サブスクリプション**
+ **CreateSubscription** – サブスクリプションの作成

  
+ **UpdateSubscription** – サブスクリプションの更新

  
+ **DeleteSubscription** – サブスクリプションの削除

  

**ダッシュボード**
+ **GetDashboard** – ダッシュボードの取得

  
+ **CreateDashboard** – ダッシュボードの作成

  
+ **UpdateDashboard** – ダッシュボードの更新

  
+ **UpdateDashboardAccess** – ダッシュボードアクセスの更新

  
+ **DeleteDashboard** – ダッシュボードの削除

  

**分析**
+ **GetAnalysis** – 分析の取得

  
+ **CreateAnalysis** – 分析の作成

  
+ **UpdateAnalysisAccess** – 分析アクセスの更新

  
+ **UpdateAnalysis** – 分析の更新

  
  + **RenameAnalysis** – 分析の名前変更

    
  + **CreateVisual** – ビジュアルの作成

    
  + **DeleteAnalysis** – ビジュアルの名前変更

    
  + **DeleteVisual** – ビジュアルの削除

    
  + **DeleteAnalysis** – 分析の削除

    

**データソース**
+ **CreateDataSource** – データソースの作成

  
  + **FlatFile** – フラットファイル

    
  + **External** – 外部

    
  + **S3** – S3

    
  + **ImportS3ManifestFile** – S3 マニフェストファイル

    
  + **Presto** – Presto

    
  + **RDS** – RDS

    
  + **Redshift** – Redshift (手動)

    
+ **UpdateDataSource** – データソースの更新

  
+ **DeleteDataSource** – データソースの削除

  

**データセット**
+  **CreateDataSet** – データセットの作成

  
  + **CustomSQL** – カスタム SQL

    
  + **SQLTable** – SQL テーブル

    
  + **ファイル** – CSV または XLSX

    
+ **UpdateDataSet** – SQL 結合データセットの更新

  
+ **UpdateDatasetAccess** – データセットアクセスの更新

  
+ **DeleteDataSet** – データセットの削除

  
+ **Querydatabase** – データセットの更新中にデータソースをクエリします。

## 例: Amazon Quick Sight ログファイルエントリ
<a name="understanding-quicksight-entries"></a>

 「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、BatchCreateUser アクションを示す CloudTrail ログエントリです。

```
{ 
   "eventVersion":"1.05",
   "userIdentity":
	{ 
	   "type":"Root",
	   "principalId":"123456789012",
	   "arn":"arn:aws:iam::123456789012:root",
	   "accountId":"123456789012",
	   "userName":"test-username"
	},
	   "eventTime":"2017-04-19T03:16:13Z",
	   "eventSource":"quicksight.amazonaws.com",
	   "eventName":"BatchCreateUser",
	   "awsRegion":"us-west-2",
	   "requestParameters":null,
	   "responseElements":null,
	   "eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
	   "readOnly":false,
	   "eventType":"AwsServiceEvent",
	   "recipientAccountId":"123456789012",
	   "serviceEventDetails":
	   { 
		   "eventRequestDetails":
		   { 
				"users":
				{ 
					"test-user-11":
					{ 
						"role":"USER"
					},
					"test-user-22":
					{ 
						"role":"ADMIN"
					}
				}
			},
			"eventResponseDetails":
			{ 
			"validUsers":[ 
				],
			"InvalidUsers":[ 
				"test-user-11",
				"test-user-22"
				]
			}
	   }
   }
```

# CloudWatch を使用した Amazon Quick Sight のデータのモニタリング
<a name="monitoring-quicksight"></a>

Amazon Quick は、Amazon Quick 環境の可用性とパフォーマンスをほぼリアルタイムで監視して対応するために使用できるメトリクスを Amazon CloudWatch に送信します。現在、Amazon Quick Sight ダッシュボード、ビジュアル、データセットの取り込み、非構造化データセット、クイックアクションコネクタのメトリクスをモニタリングして、Amazon Quick で一貫した高性能で中断のないエクスペリエンスを読者に提供できます。

CloudWatchとアラームの使用の詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」を参照してください。

## Amazon CloudWatch でのクイックメトリクスへのアクセス
<a name="access-cw"></a>

Amazon CloudWatch で Amazon Quick メトリクスにアクセスするには、次の手順に従います。

**CloudWatch で Amazon Quick メトリクスにアクセスするには**

1. Amazon Quick アカウント AWS アカウント に関連付けられている にサインインします。

1.  AWS マネジメントコンソール ホームページの左上隅で、**サービス**を選択し、**CloudWatch** を選択します。

1. ナビゲーションペインで、**[Metrics]** (メトリクス)、**[All metrics]** (すべてのメトリクス)、**[QuickSight]** の順に選択します。

**Topics**
+ [Amazon CloudWatch コンソールを使用したメトリクスグラフ](#cw-graph)
+ [Amazon CloudWatch コンソールを使用してアラームを作成する](#cw-alerts)
+ [メトリクス](#cw-metrics)
+ [メトリクス集約](#cw-aggregate-metrics)
+ [SPICE メトリクスの集約](#aggregate-spice-metrics)
+ [ディメンション](#cw-dimensions)

### Amazon CloudWatch コンソールを使用したメトリクスグラフ
<a name="cw-graph"></a>

Amazon CloudWatch コンソールを使用して、Quick によって生成されたメトリクスデータをグラフ化することもできます。詳細については「*Amazon CloudWatch ユーザーガイド*」の「[メトリクスのグラフ化](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/graph_metrics.html)」を参照してください。

### Amazon CloudWatch コンソールを使用してアラームを作成する
<a name="cw-alerts"></a>

Quick アセットの Amazon CloudWatch メトリクスをモニタリングする Amazon CloudWatch アラームを作成できます。指定したしきい値にメトリクスが到達すると、CloudWatch から自動的に通知が送信されます。例については、「Amazon CloudWatch ユーザーガイド」の「[Creating Amazon CloudWatch alarms](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」(Amazon CloudWatch アラームの作成) を参照してください。

### メトリクス
<a name="cw-metrics"></a>

`AWS/QuickSight` 名前空間には、Amazon Quick アセットのトラフィックとレイテンシーをモニタリングするための以下のメトリクスが含まれています。

**Topics**
+ [ダッシュボードごとのメトリクス](#per-dashboard-metrics)
+ [データセットごとの取り込みに関するメトリクス](#per-ingestion-metrics)
+ [ビジュアルごとのメトリクス](#per-visual-metrics)
+ [非構造化データセットごとのメトリクス](#per-unstructured-dataset-metrics)
+ [アクションごとのコネクタメトリクス](#per-action-connector-metrics)

#### ダッシュボードごとのメトリクス
<a name="per-dashboard-metrics"></a>

以下のメトリクスにより、ダッシュボードの表示回数と読み込み時間を追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Dashboard Metrics` グループに保存されています。


| メトリクス | 説明 | ディメンション | Unit | 
| --- | --- | --- | --- | 
|  DashboardViewCount  |  ダッシュボードが表示された回数。この数値には、ウェブ、モバイル、組み込みなどのすべてのアクセスパターンが含まれます。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内にダッシュボードが表示された回数の合計を表します。  |  DashboardId  |  カウント  | 
|  DashboardViewLoadTime  |  Amazon Quick Sight ダッシュボードのロードにかかる時間。測定は、ユーザーが Amazon Quick Sight ダッシュボードに到達したときに開始され、ダッシュボードのすべてのビジュアルのレンダリングが終了したときに終了します。 このメトリクスの最も有用な統計は です。これは`AVERAGE`、一定期間中の Amazon Quick Sight ダッシュボードの平均ロード時間を表します。  |  DashboardId  |  ミリ秒  | 

#### データセットごとの取り込みに関するメトリクス
<a name="per-ingestion-metrics"></a>

次のメトリクスは、特定の [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) データセットの取り込みを追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Ingestion Metrics` グループに保存されています。


| メトリクス | 説明 | ディメンション | Unit | 
| --- | --- | --- | --- | 
|  IngestionErrorCount  |  失敗した取り込みの数です。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定期間内に失敗した、取り込みの合計数を表します。  |  DatasetId  |  カウント  | 
|  IngestionInvocationCount  |  開始された取り込みの数です。これには、コンソールおよび Amazon Quick Sight API オペレーションを介して開始されるスケジュールされた取り込みと手動取り込みが含まれます。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に開始された取り込みの合計数を表します。  |  DatasetId  |  カウント  | 
|  IngestionLatency  |  取り込みの開始から取り込みが完了するまでの時間間隔。 このメトリクスに関して最も有用な統計は `AVERAGE` です。これは、一定の期間内での取り込みの平均実行時間を表します。  |  DatasetId  |  秒  | 
|  IngestionRowCount  |  成功した行の取り込みの数。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に取り込まれたデータの総量を表します。  |  DatasetId  |  カウント  | 

#### ビジュアルごとのメトリクス
<a name="per-visual-metrics"></a>

次のメトリクスは、Amazon Quick Sight ダッシュボードの個々のビジュアルのロード時間とエラー数を追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Visual Metrics` グループに保存されています。


| メトリクス | 説明 | ディメンション | Unit | 
| --- | --- | --- | --- | 
|  VisualLoadTime  |  Amazon Quick Sight ビジュアルがビジュアルの最初のペイントに必要なクエリデータを受信するのにかかる時間。これには、クライアントから Amazon Quick Sight サービスへの往復クエリ時間、およびクライアントへの往復クエリ時間が含まれます。 このメトリクスに関して最も有用な統計は `AVERAGE` です。これは、一定の期間内において、ビジュアルのロードが必要とした時間の平均を表します。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  ミリ秒  | 
|  VisualLoadErrorCount  |  Amazon Quick Sight ビジュアルが最初のペイントのデータクエリを完了できなかった回数。ビジュアルのロード中に発生したエラーの回数が、このメトリックスに含まれます。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内にビジュアルで発生した、ロードの失敗回数の合計を表します。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 

#### 非構造化データセットごとのメトリクス
<a name="per-unstructured-dataset-metrics"></a>

次のメトリクスは、Amazon Quick Sight の非構造化データセットのドキュメント統計とインデックス作成ステータスを追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/QuickInstanceId` グループに保存されています。


| メトリクス | 説明 | ディメンション | Unit | 
| --- | --- | --- | --- | 
|  QuickIndexDocumentCount  |  非構造化クイックインデックス内のドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  QuickIndexExtractedTextSize  |  非構造化クイックインデックスの抽出されたテキストサイズ。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  バイト  | 
|  QuickIndexPurchasedInMB  |  非構造化クイックインデックス用に購入したストレージの量。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  MB  | 
|  QuickIndexCapacityConsumedRawFileSizeInGB  |  非構造化クイックインデックスによって消費される raw ファイルサイズ。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  GB  | 
|  QuickIndexCapacityRawFileSizeLimitInGB  |  非構造化クイックインデックスの raw ファイルサイズ制限。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  GB  | 
|  DocumentsCrawled  |  非構造化クイックインデックスでクロールされたアップロードされたドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  DocumentsIndexed  |  非構造化クイックインデックスでインデックス化されたドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  DocumentsDeleted  |  非構造化クイックインデックスから削除されたドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  DocumentsModified  |  非構造化クイックインデックスで変更されたドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  DocumentsFailedToIndex  |  非構造化クイックインデックスでインデックス作成に失敗したドキュメントの数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  ExtractedTextSize  |  非構造化クイックインデックスのコネクタレベルの同期中に抽出されたテキストの合計サイズ。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  MB  | 

#### アクションごとのコネクタメトリクス
<a name="per-action-connector-metrics"></a>

次のメトリクスは、クイックアクションコネクタに対して行われた呼び出しの数を追跡します。これらのメトリクスは、CloudWatch `AWS/QuickSight`の名前空間にあります。


| メトリクス | 説明 | ディメンション | Unit | 
| --- | --- | --- | --- | 
|  ActionInvocationCount  |  Action Connector が呼び出された回数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 
|  ActionInvocationError  |  Action Connector が呼び出しに失敗した回数。  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/monitoring-quicksight.html)  |  カウント  | 

### メトリクス集約
<a name="cw-aggregate-metrics"></a>

`AWS/QuickSight` 名前空間には、Amazon Quick アセットのトラフィックとレイテンシーをモニタリングするための以下の集計メトリクスが含まれています。

**Topics**
+ [ダッシュボードメトリクスを集計する](#aggregate-dashboard-metrics)
+ [取り込みの集計に関するメトリクス](#aggregate-ingestion-metrics)
+ [ビジュアルの集計に関するメトリクス](#aggregate-visual-metrics)
+ [非構造化データセットメトリクスを集約する](#aggregate-unstructured-dataset-metrics)
+ [アクションコネクタメトリクスを集約する](#aggregate-action-connector-metrics)

#### ダッシュボードメトリクスを集計する
<a name="aggregate-dashboard-metrics"></a>

次のメトリクスは、Amazon Quick アカウントとリージョン内のすべてのダッシュボードのビュー数とロード時間を追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  DashboardViewCount  |  リージョン内の Amazon Quick アカウント全体ですべての Amazon Quick Sight ダッシュボードが表示された回数。この数には、ウェブ、モバイル、組み込みなど、すべてのアクセスパターンが集計されます。 このメトリクスで最も有用な統計は です。これは`SUM`、一定期間内の Amazon Quick Sight ダッシュボードビューの総数を表します。  |  カウント  | 
|  DashboardViewLoadTime  |  すべての Amazon Quick Sight ダッシュボードのロードにかかる時間。測定は、ユーザーが Amazon Quick Sight ダッシュボードに移動したときに開始され、ダッシュボードのすべてのビジュアルのレンダリングが終了したときに終了します。 このメトリクスの最も有用な統計は です。これは`AVERAGE`、一定期間内のすべての Amazon Quick Sight ダッシュボードの平均ロード時間を表します。  |  ミリ秒  | 

#### 取り込みの集計に関するメトリクス
<a name="aggregate-ingestion-metrics"></a>

次のメトリクスは、Amazon Quick アカウント および に関連付けられているすべての取り込みを追跡します AWS リージョン。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  IngestionErrorCount  |  失敗した取り込みの数です。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に失敗した、取り込みの合計数を表します。  |  カウント  | 
|  IngestionInvocationCount  |  開始された取り込みの数です。これには、コンソールおよび Amazon Quick Sight API オペレーションを介して開始されるスケジュールされた取り込みと手動取り込みが含まれます。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に開始された取り込みの合計数を表します。  |  カウント  | 
|  IngestionLatency  |  取り込みの開始から取り込みが完了するまでの時間間隔。 このメトリクスに関して最も有用な統計は `AVERAGE` です。これは、一定の期間内での取り込みの平均実行時間を表します。  |  秒  | 
|  IngestionRowCount  |  成功した行の取り込みの数。  このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に取り込まれたデータの総量を表します。  |  カウント  | 

#### ビジュアルの集計に関するメトリクス
<a name="aggregate-visual-metrics"></a>

次のメトリクスは、ダッシュボードとリージョンの Amazon Quick アカウントのすべてのビジュアルのロード時間とエラー数を追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  VisualLoadTime  |  すべての Amazon Quick Sight ビジュアルがビジュアルの最初のペイントに必要なクエリデータを受信するのにかかる時間。これには、クライアントから Amazon Quick サービス、クライアントへの往復クエリ時間が含まれます。 このメトリクスに関して最も有用な統計は `AVERAGE` です。これは、一定の期間内のすべての QuickSight ダッシュボードにおける平均ロード時間を表します。  |  ミリ秒  | 
|  VisualLoadErrorCount  |  Amazon Quick アカウントに属するすべての Amazon Quick Sight ビジュアルが、最初のペイントのデータクエリを完了できなかった回数。 このメトリクスに関して最も有用な統計は `SUM` です。これは、一定の期間内に失敗した、ビジュアルの合計数を表します。  |  カウント  | 

#### 非構造化データセットメトリクスを集約する
<a name="aggregate-unstructured-dataset-metrics"></a>

次のメトリクスは、リージョン内の Amazon Quick アカウント内のすべての非構造化データセットメトリクスを追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  QuickIndexDocumentCount  |  非構造化クイックインデックス内のドキュメントの数。 このメトリクスで最も有用な統計は です。これは`SUM`、一定期間にインデックスに追加されたドキュメントの総数を表します。  |  カウント  | 
|  QuickIndexExtractedTextSize  |  非構造化クイックインデックスの抽出されたテキストサイズ。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックス内のすべてのドキュメントのすべてのテキストの合計サイズを表します。  |  バイト  | 
|  QuickIndexPurchasedInMB  |  非構造化クイックインデックス用に購入したストレージの量。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックス全体で購入したストレージの合計サイズを MB 単位で表します。  |  MB  | 
|  QuickIndexCapacityConsumedRawFileSizeInGB  |  非構造化クイックインデックスによって消費される raw ファイルサイズ。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックス全体で消費された未加工ファイルの合計サイズを GB 単位で表します。  |  GB  | 
|  QuickIndexCapacityRawFileSizeLimitInGB  |  非構造化クイックインデックスの raw ファイルサイズ制限。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックス全体の raw ファイルサイズ制限の合計を GB 単位で表します。  |  GB  | 
|  DocumentsCrawled  |  非構造化クイックインデックスでクロールされたアップロードされたドキュメントの数。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックスでクロールされたドキュメントの総数を表します。  |  カウント  | 
|  DocumentsIndexed  |  非構造化クイックインデックスでインデックス化されたドキュメントの数。 このメトリクスの最も有用な統計は`SUM`、インデックスが作成されたドキュメントの総数を表す です。  |  カウント  | 
|  DocumentsDeleted  |  非構造化クイックインデックスから削除されたドキュメントの数。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックスから削除されたドキュメントの総数を表します。  |  カウント  | 
|  DocumentsModified  |  非構造化クイックインデックスで変更されたドキュメントの数。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックスで変更されたドキュメントの総数を表します。  |  カウント  | 
|  DocumentsFailedToIndex  |  非構造化クイックインデックスでインデックス作成に失敗したドキュメントの数。 このメトリクスで最も有用な統計は です。これは`SUM`、インデックス作成に失敗したドキュメントの総数を表します。  |  カウント  | 
|  ExtractedTextSize  |  非構造化クイックインデックスのコネクタレベルの同期中に抽出されたテキストの合計サイズ。 このメトリクスの最も有用な統計は です。これは`SUM`、コネクタレベルの同期中に抽出されたドキュメントの合計サイズを表します。  |  MB  | 

#### アクションコネクタメトリクスを集約する
<a name="aggregate-action-connector-metrics"></a>

次のメトリクスは、 AWS リージョンの Amazon Quick アカウントに関連付けられたすべてのクイックアクションコネクタの呼び出しを追跡します。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  ActionInvocationCount  |  実行されたアクションコネクタの呼び出しの数。 このメトリクスで最も有用な統計は です。これは`SUM`、一定期間に開始されたアクションコネクタ呼び出しの総数を表します。  |  カウント  | 
|  ActionInvocationError  |  失敗したアクションコネクタの呼び出しの数。 このメトリクスで最も有用な統計は です。これは`SUM`、一定期間に失敗したアクションコネクタ呼び出しの総数を表します。  |  カウント  | 

### SPICE メトリクスの集約
<a name="aggregate-spice-metrics"></a>

以下のメトリクスは SPICE 使用情報を監視し、取り込みが失敗する原因となる SPICE 使用量の上限に達するのを防ぐのに役立ちます。統計は最大 15 か月間保存されるため、履歴情報にアクセスして Amazon Quick アカウントの消費傾向をよりよく理解できます。これらのメトリクスは、CloudWatch の `AWS/QuickSight/Aggregate Metrics` グループに保存されています。


| メトリクス | 説明 | Unit | 
| --- | --- | --- | 
|  SPICECapacityLimitInMB  |  この値は、特定の時点にプロビジョニングされた SPICE 容量を表します。このメトリクスは、使用容量または購入容量が 1 MB 以上変わると更新されます。  |  Megabytes  | 
|  SPICECapacityConsumedInMB  |  これらの値は、特定の時点に消費された SPICE 容量を表します。このメトリクスは、使用容量または購入容量が 1 MB 以上変わると更新されます。  |  Megabytes  | 

### ディメンション
<a name="cw-dimensions"></a>

以下は、Amazon CloudWatch に表示されるクイックメトリクスディメンションのリストです。


| ディメンション | 説明 | 
| --- | --- | 
|  DashboardId  |  Amazon Quick Sight ダッシュボードのパブリック ID。 `ListDashboards` API オペレーションを使用して、Amazon Quick アカウント内のすべてのダッシュボードのリストを表示できます。詳細については、*Amazon Quick Sight API リファレンス*の[ListDashboards](https://docs.aws.amazon.com//quicksight/latest/developerguide/list-dashboards.html)」を参照してください。  | 
|  DatasetId  |  Amazon Quick Sight データセットのパブリック ID。 `ListDataSets` API オペレーションを使用して、Amazon Quick Sight アカウント内のすべてのデータセットのリストを表示できます。詳細については、*Amazon Quick Sight API リファレンスの*[ListDataSets](https://docs.aws.amazon.com//quicksight/latest/developerguide/list-datasets.html)」を参照してください。  | 
|  SheetId  |  Amazon Quick Sight シートのパブリック ID。  | 
|  VisualId  |  Amazon Quick Sight ビジュアルのパブリック ID。  | 
|  KnowledgeBaseId  |  Amazon Quick Sight ナレッジベースのパブリック ID。  | 
|  QuickInstanceId  |  クイックインスタンスのパブリック ID。  | 
|  ActionConnectorId  |  クイックアクションコネクタのパブリック ID。  | 
|  ActionConnectorType  |  クイックアクションコネクタのタイプ。  | 
|  ActionId  |  クイックアクションのパブリック ID。  | 
|  InvokeErrorCode  |  失敗したクイックアクションコネクタの呼び出しに関連するエラーコード。  | 

# Amazon Quick のコンプライアンス検証
<a name="sec-compliance"></a>

サードパーティーの監査者は、複数のコンプライアンスプログラムの一環として Quick のセキュリティと AWS コンプライアンスを評価します。たとえば、FedRamp、HIPAA、PCI DSS、SOC、および ISO (9001、27001、27018、27019) などがあります。

このサービスと、セキュリティ管理のベストプラクティスを規定するセキュリティ管理標準である ISO 27001 の詳細については、[ISO 27001 概要](https://aws.amazon.com/compliance/iso-27001-faqs/)を参照してください。

特定のコンプライアンスプログラムの対象となる AWS サービスの最新のリストについては、[AWS コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)のサービスを参照してください。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[AWS 「Artifact でのレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。

Amazon Quick を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。 AWS では、コンプライアンスに役立つ以下のリソースを提供しています。
+ [セキュリティとコンプライアンスのクイックスタートガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイする手順について説明します AWS。
+ [Architecting for HIPAA security and compliance paper](https://tinyurl.com/AWS-HIPAA-Compliance) – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。

  これは HIPAA 対象サービスです。1996 年米国医療保険の相互運用性と説明責任に関する法律 (HIPAA) AWS、および AWS サービスを使用して保護医療情報 (PHI) を処理、保存、および送信する方法の詳細については、[「HIPAA 概要](https://aws.amazon.com/compliance/hipaa-compliance/)」を参照してください。
+ [AWS コンプライアンスリソース](https://aws.amazon.com/compliance/resources/) – このワークブックとガイドのコレクションは、お客様の業界や地域に適用される場合があります。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – この AWS サービスは、リソース設定が内部プラクティス、業界ガイドライン、および規制にどの程度準拠しているかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – この AWS サービスは、 内のセキュリティ状態を包括的に把握 AWS し、セキュリティ業界標準とベストプラクティスへの準拠を確認するのに役立ちます。

# Amazon Quick の耐障害性
<a name="disaster-recovery-resiliency"></a>

Quick は によって構築 AWS され、 AWSオンマネージドインフラストラクチャを実行します。また、 AWSが提供する高可用性機能を最大限に活用します。

 AWS グローバルインフラストラクチャは、 AWS リージョンとアベイラビリティーゾーンを中心に構築されています。 AWS リージョンは、低レイテンシー、高スループット、および高度に冗長なネットワークで接続された、物理的に分離された複数のアベイラビリティーゾーンを提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。

Amazon Quick は AWSマネージドアプリケーションであるため、すべてのパッチと更新は AWS 必要に応じて によって適用されます。

 AWS リージョンとアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。

# Amazon Quick のインフラストラクチャセキュリティ
<a name="infrastructure-and-network-access"></a>


|  | 
| --- |
|    対象者:  Amazon Quick 管理者  | 

クイックは、 AWS 仮想プライベートクラウド (VPC) とは別に、専用の Amazon EC2 ホストでホストされるウェブアプリケーションとして配信されます。 VPCs Amazon Quick を独自のホストにデプロイする代わりに、リージョンのパブリックエンドポイントを介して Amazon Quick サービスにアクセスします。Amazon Quick は、リージョンのエンドポイントから安全なインターネット接続を介してデータソースにアクセスします。企業ネットワーク内にあるデータソースにアクセスするには、Amazon Quick パブリック IP アドレスブロックのいずれかからのアクセスを許可するようにネットワークを設定します。VPC ( AWS アカウント専用の仮想ネットワーク) の使用を検討することをお勧めします。

詳細については次を参照してください: 
+ [グローバルインフラストラクチャ: 最も広範で、信頼性に優れ、安全なグローバルクラウドインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS リージョン、ウェブサイト、IP アドレス範囲、エンドポイント](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)
+ [Amazon Quick を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)

マネージドサービスである Quick は、[「Amazon Web Services: セキュリティプロセスの概要](https://tinyurl.com/AWSSecurityPaper)」のホワイトペーパーに記載されている AWS グローバルネットワークセキュリティ手順で保護されています。

 AWS 公開された API コールを使用してネットワーク経由で Amazon Quick にアクセスする場合、クライアントは Transport Layer Security (TLS) 1.2 以降をサポートする必要があります。また、一時的ディフィー・ヘルマン Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

さらに、 ( AWS Identity and Access Management IAM) プリンシパルに関連付けられたアクセスキー ID とシークレットアクセスキーを使用してリクエストに署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

これらの API オペレーションは任意のネットワークロケーションから呼び出すことができますが、Amazon Quick はソース IP アドレスに基づく制限を含むリソースベースのアクセスポリシーをサポートしています。Amazon Quick ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPCs からのアクセスを制御することもできます。これにより、実質的に、ネットワーク内の特定の VPC からのみ、特定の Amazon Quick リソースへの AWS ネットワークアクセスが分離されます。VPC で Amazon Quick を使用する方法の詳細については、[「Amazon Quick を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)」を参照してください。

# Amazon Quick のセキュリティのベストプラクティス
<a name="best-practices-security"></a>

Amazon Quick には、独自のセキュリティポリシーを開発および実装する際に考慮すべきセキュリティ機能が多数用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

****ファイアウォール**** – ユーザーが Amazon Quick にアクセスできるようにするには、HTTPS および WebSockets Secure (wss://) プロトコルへのアクセスを許可します。Amazon Quick がAWS サーバー以外のデータベースに到達できるようにするには、該当する Amazon Quick IP アドレス範囲からのトラフィックを受け入れるようにサーバーのファイアウォール設定を変更します。

****SSL**** – SSL を使用して、データベースに接続します (特にパブリックネットワークを使用している場合)。Amazon Quick で SSL を使用するには、一般に認められている認証機関 (CA) によって署名された証明書を使用する必要があります。

****拡張セキュリティ**** – Amazon Quick Enterprise Edition を使用して、次のような拡張セキュリティ機能を活用します。
+ 保管時の暗号化を使用してデータを SPICE に保存します。
+ Active Directory と IAM アイデンティティセンター認証を統合します。
+ プライベート VPC およびオンプレミスのデータへの安全なアクセス。
+ 行レベルのセキュリティでデータへのアクセスを制限します。

****VPC**** – (エンタープライズエディション) AWS データソース内のデータと、パブリック接続のないオンプレミスサーバー内のデータに Virtual Private Cloud (VPC) を使用します。 AWS ソースの場合、Amazon Quick の VPC アクセスは、VPC 内のデータソースとの安全なプライベート通信のために Elastic Network Interface を使用します。ローカルデータの場合、VPC を使用すると、 Direct Connect を使用してオンプレミスリソースとの安全なプライベートリンクを作成できます。

# AWS Amazon Quick の マネージドポリシー
<a name="security-iam-quicksight"></a>







ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。

**Topics**
+ [AWS マネージドポリシー: AWSQuickSightElasticsearchPolicy](#security-iam-quicksight-AWSQuickSightElasticsearchPolicy)
+ [AWS マネージドポリシー: AWSQuickSightOpenSearchPolicy](#security-iam-quicksight-AWSQuickSightOpenSearchPolicy)
+ [AWS マネージドポリシー: AWSQuickSightSageMakerPolicy](#security-iam-quicksight-AWSQuickSightSageMakerPolicy)
+ [AWS マネージドポリシー: AWSQuickSightAssetBundleExportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleExportPolicy)
+ [AWS マネージドポリシー: AWSQuickSightAssetBundleImportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleImportPolicy)
+ [AWS マネージドポリシーの Amazon クイック更新](#security-iam-quicksight-updates)









## AWS マネージドポリシー: AWSQuickSightElasticsearchPolicy
<a name="security-iam-quicksight-AWSQuickSightElasticsearchPolicy"></a>

この情報は、下位互換性の目的でのみ提供されています。`AWSQuickSightOpenSearchPolicy` AWS 管理ポリシーは、 `AWSQuickSightElasticsearchPolicy` AWS 管理ポリシーを置き換えます。

以前は、 `AWSQuickSightElasticsearchPolicy` AWS マネージドポリシーを使用して、Amazon Quick から Amazon Elasticsearch Service リソースへのアクセスを提供していました。2021 年 9 月 7 日以降、Amazon Elasticsearch Service の名称が Amazon OpenSearch Service に改称されます。

を使用している場所にかかわらず`AWSQuickSightElasticsearchPolicy`、 と呼ばれる新しい AWS 管理ポリシーに更新できます`AWSQuickSightOpenSearchPolicy`。IAM エンティティに ポリシーをアタッチできます。Amazon Quick は、Amazon Quick がユーザーに代わってアクションを実行できるようにするサービスロールにもポリシーをアタッチします。 `AWSQuickSightElasticsearchPolicy`は引き続き利用可能であり、2021 年 8 月 31 日現在、 には新しいポリシーと同じアクセス許可があります。ただし、今後 `AWSQuickSightElasticsearchPolicy` に対しては、変更による更新は行われません。

このポリシーは、Amazon Quick から OpenSearch (以前の Elasticsearch) リソースへのアクセスを許可する読み取り専用アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには以下のアクセス許可が含まれています。
+ `es` – プリンシパルに対し、OpenSearch (旧 Elasticsearch) ドメイン、クラスター設定、およびインデックスへのアクセスのために、`es:ESHttpGet` を使用することを許可します。これは、Amazon Quick の検索サービスを使用するには必要です。
+ `es` – プリンシパルに対し、OpenSearch (旧 Elasticsearch) ドメインを一覧表示するために、`es:ListDomainNames` を使用することを許可します。これは、Amazon Quick から検索サービスへのアクセスを開始するために必要です。
+ `es` – プリンシパルに対し、OpenSearch (旧 Elasticsearch) ドメインを検索するために、`es:DescribeElasticsearchDomain` を使用することを許可します。これは、Amazon Quick の検索サービスを使用するには必要です。
+ `es` – プリンシパルに対し、OpenSearch ( Elasticsearch) ドメインで、`es:ESHttpPost` および `es:ESHttpGet` を使用することを許可します。これは、Amazon Quick から検索サービスドメインへの読み取り専用アクセス権を持つ SQL プラグインを使用するために必要です。

この IAM ポリシーの内容については、IAM コンソールで、[AWSQuickSightElasticsearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightElasticsearchPolicy$jsonEditor) を参照してください。

## AWS マネージドポリシー: AWSQuickSightOpenSearchPolicy
<a name="security-iam-quicksight-AWSQuickSightOpenSearchPolicy"></a>

`AWSQuickSightOpenSearchPolicy` AWS マネージドポリシーを使用して、Amazon Quick から Amazon OpenSearch Service リソースへのアクセスを提供します。 は を`AWSQuickSightOpenSearchPolicy`置き換えます`AWSQuickSightElasticsearchPolicy`。2021 年 8 月 31 日の時点で、このポリシーには従来のポリシー `AWSQuickSightElasticsearchPolicy` と同じアクセス許可が付与されています。現在これらは、同じ用途で使用することができます。長期的には、使用するポリシーを `AWSQuickSightOpenSearchPolicy` に変更することをお勧めします。

IAM エンティティに `AWSQuickSightOpenSearchPolicy` をアタッチできます。Amazon Quick は、Amazon Quick がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。

このポリシーは、Amazon Quick から OpenSearch リソースへのアクセスを許可する読み取り専用アクセス許可を付与します。

**アクセス許可の詳細**

このポリシーには以下のアクセス許可が含まれています。
+ `es` – プリンシパルに対し、OpenSearch ドメイン、クラスター設定、およびインデックスへのアクセスのために `es:ESHttpGet` を使用することを許可します。これは、Amazon Quick から Amazon OpenSearch Service を使用するには必要です。
+ `es` – プリンシパルに対し、OpenSearch ドメインを一覧表示するために `es:ListDomainNames` を使用することを許可します。これは、Amazon Quick から Amazon OpenSearch Service へのアクセスを開始するために必要です。
+ `es` – プリンシパルに対し、OpenSearch ドメインを検索するために `es:DescribeElasticsearchDomain` および `es:DescribeDomain` を使用することを許可します。これは、Amazon Quick から Amazon OpenSearch Service を使用するには必要です。
+ `es` – プリンシパルに対し、OpenSearch ドメインで `es:ESHttpPost` および `es:ESHttpGet` を使用することを許可します。これは、Amazon Quick から Amazon OpenSearch Service ドメインへの読み取り専用アクセス権を持つ SQL プラグインを使用するために必要です。

この IAM ポリシーの内容については、IAM コンソールで、[AWSQuickSightOpenSearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightOpenSearchPolicy$jsonEditor) を参照してください。

## AWS マネージドポリシー: AWSQuickSightSageMakerPolicy
<a name="security-iam-quicksight-AWSQuickSightSageMakerPolicy"></a>

`AWSQuickSightSageMakerPolicy` AWS マネージドポリシーを使用して、Amazon Quick から Amazon SageMaker AI リソースへのアクセスを提供します。

IAM エンティティに `AWSQuickSightSageMakerPolicy` をアタッチできます。Amazon Quick は、Amazon Quick がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。

このポリシーは、Amazon Quick から Amazon SageMaker AI リソースへのアクセスを許可する読み取り専用アクセス許可を付与します。

`AWSQuickSightSageMakerPolicy` を表示するには、「[AWS マネージドポリシーリファレンス](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)」の「[AWSQuickSightSageMakerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightSageMakerPolicy.html)」を参照してください。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `sagemaker` – .
+ `s3` – プリンシパルがプレフィックス `arn:aws:s3:::sagemaker.*` で始まるすべての Amazon S3 バケットで `s3:GetObject` を使用して SageMaker AI のデフォルトバケットに保存されているデータにアクセスできるようにします。これは、Amazon SageMaker AI Canvas から共有されているモデルをデフォルトの Amazon SageMaker AI Canvas Amazon S3 バケットにロードするために必要です。
+ `s3` — プリンシパルが `s3:PutObject` を使用して Amazon S3 バケットにオブジェクトをエクスポートできるようにします。これは、Amazon Quick から Amazon SageMaker AI Canvas までの既存のデータセットをサポートして予測モデルを構築するために必要です。
+ `s3` – プリンシパルが `s3:ListBucket`を使用して、Amazon Quick が Amazon S3 内の既存の Amazon SageMaker AI Canvas バケットを検証できるようにします。 Amazon S3 これは、Amazon Quick から Amazon SageMaker AI Canvas にデータをエクスポートして予測モデルを構築できるようにするために必要です。
+ `s3` – プリンシパルが、プレフィックス で始まるすべての Amazon Quick 所有の Amazon S3 バケット`s3:GetObject`で を使用できるようにします`arn:aws:s3:::quicksight-ml`。これは、Amazon Quick が Amazon SageMaker AI Canvas によって生成された予測にアクセスできるようにするために必要です。生成された予測は、Amazon Quick データセットに追加できます。
+ `sagemaker` – プリンシパルが `sagemaker:CreateTransformJob`、`sagemaker:DescribeTransformJob`、および `sagemaker:StopTransformJob` を使用して、ユーザーに代わって SageMaker AI 変換ジョブを実行できるようにします。これは、Amazon Quick が Amazon Quick データセットに追加できる SageMaker AI モデルから予測をリクエストするために必要です。
+ `sagemaker` – プリンシパルが `sagemaker:ListModels` を使用して SageMaker AI モデルを一覧表示できるようにします。これは、生成された SageMaker AI モデルを Amazon Quick に表示するために必要です。

## AWS マネージドポリシー: AWSQuickSightAssetBundleExportPolicy
<a name="security-iam-quicksight-AWSQuickSightAssetBundleExportPolicy"></a>

`AWSQuickSightAssetBundleExportPolicy` AWS マネージドポリシーを使用して、アセットバンドルのエクスポートオペレーションを実行します。IAM エンティティに `AWSQuickSightAssetBundleExportPolicy` をアタッチできます。

このポリシーは、Amazon Quick アセットリソースへのアクセスを許可する読み取り専用アクセス許可を付与します。このポリシーの詳細については、「 AWS マネージドポリシーリファレンス」の[AWSQuickSightAssetBundleExportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleExportPolicy.html)」を参照してください。

このポリシーには、以下のアクセス許可が含まれています。
+ `quicksight` – プリンシパルが `quicksight:Describe*`と を使用して Amazon Quick アセットとそれに対応するアクセス許可`quicksight:List*`を検索および取得できるようにします。
+ `quicksight` – プリンシパルが `quicksight:ListTagsForResource`を使用して Amazon Quick アセットのタグを取得できるようにします。
+ `quicksight` – プリンシパルがアセットバンドルエクスポートジョブを一覧表示、実行、ステータスを取得することを許可します。このポリシーは、`quicksight:ListAssetBundleExportJob`、`StartAssetBundleExportJob`、`quicksight:DescribeAssetBundleExportJob` のアクセス許可を使用します。

## AWS マネージドポリシー: AWSQuickSightAssetBundleImportPolicy
<a name="security-iam-quicksight-AWSQuickSightAssetBundleImportPolicy"></a>

`AWSQuickSightAssetBundleImportPolicy` AWS マネージドポリシーを使用して、アセットバンドルのインポートオペレーションを実行します。この管理ポリシーは、一部の VPC 接続と DataSource オペレーションに必要な `iam:passrole` を使用したロールとしての実行機能に対するアクセス許可を付与しません。このポリシーは、ユーザーの Amazon S3 バケットからオブジェクトを取得するアクセスも付与しません。

`AWSQuickSightAssetBundleImportPolicy` ポリシーを IAM エンティティにアタッチできます。このポリシーは、Amazon Quick リソースへのアクセスを許可する読み取りおよび書き込みアクセス許可を付与します。このポリシーの詳細については、「 AWS マネージドポリシーリファレンス」の[AWSQuickSightAssetBundleImportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleImportPolicy.html)」を参照してください。

このポリシーには、以下のアクセス許可が含まれています。
+ `quicksight` – プリンシパルが `quicksight:Describe*`と を使用して、Amazon Quick アセットとそのアクセス許可の変更を検出`quicksight:List*`できるようにします。
+ `quicksight` – プリンシパルが `quicksight:Create*`と を使用して`quicksight:Update*`、提供されたアセットバンドルから Amazon Quick アセットとアクセス許可を変更できるようにします。
+ `quicksight` – プリンシパルが `quicksight:ListTagsForResource`、`quicksight:TagResource`、および を使用して Amazon Quick アセットのタグを更新`quicksight:UntagResource`できるようにします。
+ `quicksight` – プリンシパルがアセットバンドルのインポートジョブを一覧表示、実行、ステータスを取得することを許可します。このポリシーは、`quicksight:ListAssetBundleImportJob`、`quicksight:StartAssetBundleImportJob`、`quicksight:DescribeAssetBundleImportJob` のアクセス許可を使用します。



## AWS マネージドポリシーの Amazon クイック更新
<a name="security-iam-quicksight-updates"></a>



このサービスがこれらの変更の追跡を開始してからの Amazon Quick の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、[Amazon Quick Document History](doc-history.md) ページの RSS フィードにサブスクライブしてください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  `AWSQuickSightAssetBundleExportPolicy` - 新しいポリシー  |  Amazon Quick は、アセットバンドルのエクスポート操作を簡素化するための新しいアクセス許可を追加しました。  |  2024 年 3 月 27 日  | 
|  `AWSQuickSightAssetBundleImportPolicy` - 新しいポリシー  |  Amazon Quick は、アセットバンドルのインポート操作を簡素化するための新しいアクセス許可を追加しました。  |  2024 年 3 月 27 日  | 
|  `AWSQuickSageMakerPolicy` – 既存ポリシーへの更新  |  Amazon Quick は、Amazon SageMaker AI Canvas との統合を可能にする新しいアクセス許可を追加しました。  |  2023 年 7 月 25 日  | 
|  `AWSQuickSightElasticsearchPolicy` – 既存ポリシーへの更新  |  Amazon Quick は、Amazon OpenSearch Service リソースへのアクセスを提供する新しいアクセス許可を追加しました。  | 2021 年 9 月 8 日 | 
|  `AWSQuickSightOpenSearchPolicy` – 新しいポリシー  |  Amazon Quick は、Quick から Amazon OpenSearch Service リソースへのアクセスを許可する新しいポリシーを追加しました。  | 2021 年 9 月 8 日 | 
|  Amazon Quick が変更の追跡を開始  |  Amazon Quick は、 AWS 管理ポリシーの変更の追跡を開始しました。  | 2021 年 8 月 2 日 |