IAM での Quick の使用 - Amazon Quick
Amazon クイックポリシーAmazon Quick ポリシー (リソースベース)Amazon Quick タグに基づく認可Amazon Quick IAM ロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM での Quick の使用

   適用先: Enterprise Edition と Standard Edition 
   対象者: システム管理者 

IAM を使用して Amazon Quick へのアクセスを管理する前に、Amazon Quick で使用できる IAM 機能を理解しておく必要があります。Amazon Quick およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM ユーザーガイドAWS 「IAM と連携する のサービス」を参照してください。

Amazon クイックポリシー (アイデンティティベース)

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Quick は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

AWS ルート認証情報または IAM ユーザー認証情報を使用して Amazon Quick account. AWS root を作成できます。管理者認証情報には、 AWS リソースへの Amazon Quick アクセスを管理するために必要なすべてのアクセス許可が既に付与されています。

しかし、root 認証情報を保護して、代わりに IAM ユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon Quick に使用する予定の IAM ユーザーとロールにアタッチします。ポリシーには、以下のセクションで説明するように、実行する必要がある Amazon Quick 管理タスクの適切なステートメントを含める必要があります。

重要

クイックポリシーと IAM ポリシーを使用する場合は、次の点に注意してください。

  • Quick によって作成されたポリシーを直接変更することは避けてください。自分で変更すると、Quick は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。

  • Amazon Quick アカウントの作成時にアクセス許可にエラーが発生した場合は、IAM ユーザーガイド「Amazon Quick で定義されるアクション」を参照してください。

  • 場合によっては、ルートアカウントからでもアクセスできない Amazon Quick アカウントがある場合があります (ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon Quick アカウントを削除してから再作成できます。詳細については、「Amazon Quick サブスクリプションの削除とアカウントの閉鎖」を参照してください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Quick のポリシーアクションは、アクションの前にプレフィックス を使用しますquicksight:。たとえば、 Amazon EC2 RunInstances API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに ec2:RunInstances アクションを含めます。ポリシーステートメントには、Action または NotAction エレメントを含める必要があります。Amazon Quick は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Create という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "quicksight:Create*"

Amazon Quick には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon Quick アクションにはquicksight:、 などのプレフィックスが付けられますquicksight:Subscribe。IAM ポリシーで Amazon Quick アクションを使用する方法については、「Amazon Quick の IAM ポリシーの例」を参照してください。

Amazon Quick アクションの最新 up-to-date リストを確認するには、IAM ユーザーガイド「Amazon Quick で定義されるアクション」を参照してください。

リソース

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が CreateGroupMembership でない限り、すべてのグループで user1 オペレーションを呼び出すことができます。

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

リソースを作成するためのアクションなど、一部の Amazon Quick アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

一部の API アクションには、複数のリソースが関連します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [
	      "resource1",
	      "resource2"

Amazon Quick リソースタイプとその Amazon リソースネーム (ARNs」を参照してください。 https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies 各リソースの ARN を指定できるアクションについては、「Amazon Quick で定義されるアクション」を参照してください。

条件キー

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの条件演算子を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Quick はサービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Quick ID ベースのポリシーの例を表示するには、「Amazon Quick Policies (ID ベース)」を参照してください。

Amazon Quick ポリシー (リソースベース)

Amazon Quick はリソースベースのポリシーをサポートしていません。ただし、Amazon Quick コンソールを使用して、 内の他の AWS リソースへのアクセスを設定できます AWS アカウント。

Amazon Quick タグに基づく認可

Amazon Quick は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。

Amazon Quick IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。IAM ロールを使用してアクセス許可をグループ化することで、Amazon Quick アクションへのユーザーのアクセスを簡単に管理できます。

Amazon Quick は、以下のロール機能をサポートしていません。

  • サービスにリンクされたロール。

  • サービスロール。

  • 一時的な認証情報 (直接使用): ただし、Amazon Quick は一時的な認証情報を使用して、ユーザーが埋め込みダッシュボードにアクセスするための IAM ロールを引き受けることを許可します。詳細については、「Amazon Quick の埋め込み分析」を参照してください。

Amazon Quick が IAM ロールを使用する方法の詳細については、「Amazon Quick での Amazon Quick の使用」および「Amazon Quick の IAM ポリシー例」を参照してください。