Amazon Quick Suite でのカスタムアクセス許可プロファイルの作成 - Amazon Quick Suite
Quick Suite の親機能Quick Suite の機能IAM Identity Center または Active Directory と統合された Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルの作成Amazon Quick Suite マネージドユーザーを使用する Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルの作成カスタム許可プロファイルをロールに適用するカスタム許可プロファイルをユーザーに適用するカスタム許可プロファイルをアカウントに適用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Quick Suite でのカスタムアクセス許可プロファイルの作成

 適用対象: Enterprise Edition 
   対象者: 管理者と Amazon Quick Suite 開発者 

Enterprise Edition では、Amazon Quick Suite でユーザーがアクセスできる機能を制限できます。Quick Suite のすべての ID タイプについて、アカウント、ロール (管理者、作成者、リーダー)、およびユーザーレベルでカスタムアクセス許可を設定できます。ユーザーレベルのカスタム許可は、指定されたユーザーについてのロールの既存のデフォルト、またはカスタムロールレベルの許可をオーバーライドします。ユーザーレベルのカスタムアクセス許可ロールレベルのカスタムアクセス許可は、アカウントレベルのカスタムアクセス許可を上書きします。

カスタム許可には次の制限が適用されます。

  • ユーザーのデフォルトのロールを超えるアクセス許可を付与することはできません。例えば、ユーザーに読み取りアクセスが付与されている場合、そのユーザーにダッシュボードを編集するための許可を付与することはできません。

  • ユーザーまたはロールのアクセス許可をカスタマイズするには、次の IAM アクセス許可を持つ Amazon Quick Suite 管理者である必要があります。

    • quicksight:CreateCustomPermissions

    • quicksight:DeleteCustomPermissions

    • quicksight:DescribeCustomPermissions

    • quicksight:ListCustomPermissions

    • quicksight:UpdateCustomPermissions

    • quicksight:DescribeAccountCustomPermissions

    • quicksight:UpdateAccountCustomPermissions

    • quicksight:DeleteAccountCustomPermissions

カスタムアクセス許可プロファイルを作成して、以下の機能の任意の組み合わせへのアクセスを制限できます。親機能を使用して、アセットの機能セット全体へのアクセスを制限できます。親機能を無効にすると、関連するすべての子機能も無効になります。

親機能のない機能は、このメカニズムではオフにできません。代わりに、個々の機能として制限する必要があります。

Quick Suite の親機能

親機能 機能

分析

すべての分析関連の機能を制限します

ダッシュボード

ダッシュボード関連のすべての機能を制限します

アクション

すべてのアクション関連の機能を制限します

自動化

オートメーション関連のすべての機能を制限します

チャットエージェント

チャットエージェント関連のすべての機能を制限します

拡張子

拡張機能に関連するすべての機能を制限します

フロー

フロー関連のすべての機能を制限します

ナレッジベース

ナレッジベース関連のすべての機能を制限します

リソース

すべての Research 関連機能を制限します

スペース

Spaces 関連のすべての機能を制限します

Quick Suite の機能

機能 Amazon Quick Suite の動作 親機能

チャットエージェントの作成

  • チャットエージェントを表示またはアクセスできない

  • エージェントライブラリとナビゲーションは非表示

  • チームまたは構造化されたやり取りのためのフローとのファイル共有用のスペースを作成するなど、他の Quick Suite リソースにも引き続きアクセスして作成できます (これらの機能も制限されていない限り)。

チャットエージェント

作成者が承認なしで共有できるようにする

  • 承認なしに作成者がフローを共有することはできません

フロー

Bedrock モデルを使用して出力を絞り込む

  • Bedrock モデルの使用を制限します

フロー

UI エージェントによるブラウザタスクの実行を有効にする

  • フロー UI エージェントによるブラウザタスクの実行を制限します

フロー

インターネットを使用して結果を強化する

  • Chat Agents and Research でのウェブベースの検索の使用を制限します

--

分析の共有

  • ファイルメニューの共有オプションへのアクセスは、分析では無効になっています

分析

異常検出の追加または実行

  • Insights メニューシートに異常を追加するオプションへのアクセスは、分析では無効になっています

  • オブジェクトメニューの異常オプションへのアクセスは、分析では無効になっています

  • ユーザーはシートに異常検出を追加できません

分析

シートの印刷

  • ファイルメニューの印刷オプションへのアクセスは、分析では無効になっています

  • エクスポートメニューの印刷オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはシートを印刷できません

--

シートを PDF にエクスポートする

  • ファイルメニューの PDF へのエクスポートオプションへのアクセスは、分析では無効になっています

  • エクスポートメニューの PDF 生成オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは PDF ファイルにシートをエクスポートできません

--

テーマの作成または更新

  • 編集メニューのテーマオプションへのアクセスは、分析では無効になっています

  • ユーザーはカスタムテーマを作成できません

  • ユーザーは既存のテーマを編集または更新できません

--

ダッシュボードの共有

  • ダッシュボードでは、ナビゲーションメニューの共有アイコンへのアクセスが無効になっています

ダッシュボード

CSV にビジュアルをエクスポートする

  • 各ビジュアルの 3 つのドットメニューの CSV へのエクスポートオプションへのアクセスは、分析とダッシュボードの両方で無効になっています

  • オブジェクトメニューのビジュアルから CSV へのエクスポートオプションへのアクセスは、分析では無効になっています

  • ユーザーはビジュアルを CSV ファイルにエクスポートできません

--

ビジュアルを Excel にエクスポートする

  • 各テーブルの 3 つのドットメニューの Excel へのエクスポートオプションへのアクセスは、分析とダッシュボードの両方で無効になっています。

  • オブジェクトメニューの Excel へのテーブルのエクスポートオプションへのアクセスは、分析では無効になっています

  • ユーザーは Excel ファイルにテーブルをエクスポートできません

--

すべてのデータセットの作成または更新

  • すべてのデータセットの作成または更新へのアクセスは無効になります

--

SPICE データセットのみを作成または更新する

  • SPICE データセットの作成または更新へのアクセスは無効になります

--

データセットの共有

  • データセットの共有へのアクセスは無効になります

--

アカウントの SPICE 容量の表示

  • アカウントの SPICE 容量の取得を制限します

--

すべてのデータソースの作成または更新

  • すべてのデータソースの作成または更新へのアクセスは無効になります

--

データソースの共有

  • データソースの共有へのアクセスは無効になります

--

共有フォルダの作成

  • 共有フォルダの作成を制限する

--

共有フォルダの名前変更

  • 共有フォルダの名前変更を制限します

--

スケジュールされた E メールレポートの作成または更新

  • ダッシュボードでは、スケジュールメニューのスケジュールオプションへのアクセスが無効になっています

  • スケジュールメニューの最近のスナップショットオプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはスケジュールされた E メールレポートを作成または更新できません

--

スケジュールされた E メールレポートのサブスクライブ

  • ユーザーはスケジュールされた E メールレポートをサブスクライブできません

ダッシュボード

スケジュールされた E メールレポートの CSV 添付ファイル

  • スケジュールメニューのコンテンツセクションの CSV オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーはスケジュールされた E メールレポートに CSV ファイルをアタッチできません

--

スケジュールされた E メールレポートの Excel 添付ファイル

  • スケジュールメニューのコンテンツセクションの Excel オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは、スケジュールされた E メールレポートに Excel ファイルをアタッチできません

--

スケジュールされた E メールレポートの PDF 添付ファイル

  • スケジュールメニューのコンテンツセクションの PDF オプションへのアクセスは、ダッシュボードでは無効になっています

  • ユーザーは、スケジュールされた E メールレポートに PDF ファイルをアタッチできません

--

スケジュールされた E メールレポート内のコンテンツ

  • ユーザーは、ログイン後にゲートされるダウンロード可能なリンクとしてのみ、スケジュールされた E メールレポートでコンテンツを受け取ります。

  • E メール本文にシートを含めると、スケジュールメニューのファイル添付オプションは無視されます

  • スケジュールされた E メールレポートにイメージが含まれない

--

しきい値アラートの作成または更新

  • ダッシュボードのアラートメニューへのアクセスは無効になっています

  • ユーザーはしきい値アラートを作成または更新できません

--

カスタムアクセス許可プロファイルは、IAM アイデンティティセンター、Active Directory と統合された Amazon Quick Suite アカウント、または Amazon Quick Suite マネージドユーザーを持つ Amazon Quick Suite アカウントに対して作成できます。Amazon Quick Suite アカウントが使用する ID タイプによって、Amazon Quick Suite 管理者がカスタムアクセス許可プロファイルを設定する方法が決まります。

次の手順は、Amazon Quick Suite の機能およびそれぞれの機能へのアクセスを制御する方法を示しています。

Amazon Quick Suite の機能と機能へのアクセスを制御するには

  1. Amazon Quick Suite コンソールにログインします。

  2. クイックスイートの管理を選択します。

  3. 管理者コンソールの左側のナビゲーションメニューから、アクセス許可を選択し、カスタムアクセス許可を選択します。

  4. カスタムアクセス許可で、プロファイルから新しいプロファイルを選択するか、デフォルトプロファイルの編集を選択します。

  5. 新しいプロファイルで、次の操作を行います。

    • 機能の制限 – 適切なオプションをチェックまたはチェック解除して、システムに特定の機能を許可するかどうかを選択します。

    • 機能の制限 – 適切なオプションをチェックまたはチェック解除して、特定の機能を許可するかどうかを選択します。

IAM Identity Center または Active Directory と統合された Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルの作成

Amazon Quick Suite アカウント管理者は、次の手順を使用して、IAM Identity Center または Active Directory と統合された Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルを作成できます。

IAM Identity Center または Active Directory と統合された Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルを作成するには

  1. AWS マネジメントコンソールにサインインします。

  2. Amazon Quick Suite を開きます。

  3. Amazon Quick Suite 管理コンソールが開きます。カスタムアクセス許可を選択します。

  4. [カスタムアクセス許可の管理] ページが開きます。次のいずれかのオプションを選択します。

    • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

    • 既存のカスタムアクセス許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 つのドット) を選択し、編集を選択します。

  5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

    • [名前] で、カスタム許可プロファイルの名前を入力します。

    • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。たとえば、ユーザーにデータソースを作成または更新させたくないが、他のすべてを実行できるようにする場合は、データソースの作成または更新のみを選択します。

  6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

  7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

Amazon Quick Suite マネージドユーザーを使用する Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルの作成

Amazon Quick Suite アカウント管理者は、次の手順を使用して、Amazon Quick Suite マネージドユーザーを使用する Amazon Quick Suite アカウントのカスタムアクセス許可プロファイルを作成できます。

Amazon Quick Suite マネージドユーザーのカスタムアクセス許可プロファイルを作成するには

  1. Quick Suite コンソールを開きます。

  2. Amazon Quick Suite コンソールの任意のページから、右上隅にある Quick Suite の管理を選択します。

    Amazon Quick Suite 管理者のみが、Quick Suite の管理メニューオプションにアクセスできます。クイックスイートの管理メニューにアクセスできない場合は、Amazon Quick Suite 管理者にお問い合わせください。

  3. カスタムアクセス許可を選択します。ユーザー管理セクションを選択し、カスタムアクセス許可の管理を選択することもできます。

  4. [カスタムアクセス許可の管理] ページが開きます。次のいずれかのオプションを選択します。

    • 新しいカスタム許可プロファイルを作成するには、[作成] を選択します。

    • 既存のカスタムアクセス許可プロファイルを編集または表示するには、目的のプロファイルの横にある省略記号 (3 つのドット) を選択し、編集を選択します。

  5. カスタム許可プロファイルを作成または更新する場合は、次の項目を選択します。

    • [名前] で、カスタム許可プロファイルの名前を入力します。

    • [制限] で、拒否するオプションを選択します。選択しないオプションは許可されます。例えば、ユーザーにデータソースを作成または更新させたくないが、それ以外の操作はすべて実行できるようにしたい場合は、[データソースを作成または更新] のみを選択します。

  6. [Create (作成)] または [Update (更新)] を選択し、選択内容を確認します。変更せずに戻るには、[戻る] を選択します。

  7. 変更が完了したら、カスタム許可プロファイルの名前を記録します。API ユーザーにカスタム許可プロファイルの名前を提供して、カスタム許可プロファイルをロールまたはユーザーに適用できるようにします。

カスタムアクセス許可プロファイルを作成したら、Amazon Quick Suite APIs を使用して、ユーザー、ロール、またはアカウントに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。十分なアクセス許可を持つユーザーは、 AWS::QuickSight::CustomPermissions CloudFormation リソースを使用して Amazon Quick Suite のカスタムアクセス許可プロファイルを管理することもできます。Amazon Quick Suite APIs を使用したカスタムアクセス許可プロファイルの管理の詳細については、以下のトピックを参照してください。

Amazon Quick Suite API を使用して Amazon Quick Suite ロールにカスタムアクセス許可プロファイルを適用する

カスタムアクセス許可プロファイルを作成したら、Amazon Quick Suite APIs を使用して、ロールに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。

開始する前に、 CLI AWS をセットアップして設定する必要があります。CLI のインストールの詳細については、 AWS AWS Command Line Interface 「 ユーザーガイド」の「 CLI AWS の最新バージョンのインストールまたは更新」および「 CLI AWS の設定」を参照してください。Amazon Quick Suite API を使用するためのアクセス許可も必要です。

次の例では、UpdateRoleCustomPermission API を呼び出して、ロールに割り当てられているカスタム許可を更新します。

aws quicksight update-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、ロールに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

次の例では、ロールからカスタム許可プロファイルを削除します。

aws quicksight delete-role-custom-permission \
--role ROLE \
--aws-account-id AWSACCOUNTID \
--namespace default \
--region REGION

Amazon Quick Suite API を使用してカスタムアクセス許可プロファイルをユーザーに適用する

次の例では、ユーザーからカスタム許可プロファイルを適用します。

aws quicksight update-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default \
    --user-name USER_NAME \
    --custom-permissions-name myCustomPermission

次の例では、ユーザーからカスタム許可プロファイルを削除します。

aws quicksight delete-user-custom-permission \
    --aws-account-id AWSACCOUNTID \
    --namespace default

次の の例では、新しい Amazon Quick Suite IAM ユーザーにカスタムアクセス許可を追加します。

aws quicksight register-user \
    --iam-arn arn:aws:iam::AWSACCOUNTID:user/USER \
    --identity-type IAM \
    --user-role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

既存の IAM ユーザーを新しい許可プロファイルに関連付けることもできます。次の例では、既存の IAM ユーザーのカスタム許可プロファイルを更新しました。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --custom-permissions-name custom-permissions-profile-name \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default \

以下の例では、許可プロファイルから既存のユーザーを削除します。

aws quicksight update-user \
    --user-name USERNAME \
    --role AUTHOR \
    --unapply-custom-permissions \
    --email EMAIL \
    --aws-account-id AWSACCOUNTID \
    --namespace default

ロールまたはユーザーに適用されるカスタム許可をテストするには、ユーザーのアカウントにログインします。ユーザーが Amazon Quick Suite にログインすると、アクセスできる最高の特権ロールが付与されます。ユーザーに付与できる最高の特権ロールは管理者です。ユーザーに付与できる最小特権ロールは Reader です。Amazon Quick Suite のロールの詳細については、「Amazon Quick Suite 内でのユーザーアクセスの管理」を参照してください。

データソースの共有を作成者のロールに制限するカスタム許可プロファイルを割り当てると、その作成者はデータソースの共有を許可するコントロールにアクセスできなくなります。代わりに、影響を受ける作成者は、データソースに対する閲覧専用の許可を持ちます。

カスタム許可プロファイルをアカウントに適用する

カスタム許可プロファイルをアカウントに適用するには

  1. Quick Suite コンソールを開きます。

  2. 右上から [プロファイル] アイコンを選択します。

  3. クイックスイートの管理を選択します。このページを表示できるのは、Amazon Quick Suite 管理者のみです。

  4. カスタムアクセス許可を選択します。また、ユーザーの管理セクションを選択し、Quick Suite アカウントで Quick Suite マネージドユーザーを使用している場合は、カスタムアクセス許可の管理を選択することもできます。

  5. 目的のアカウントのカスタムアクセス許可を見つけます。[アクション] のオプションメニューで、[アカウントプロファイルとして設定] を選択します。

Quick Suite APIs を使用してカスタムアクセス許可プロファイルをアカウントに適用する

カスタムアクセス許可プロファイルを作成したら、Quick Suite API を使用して、アカウントに割り当てられたカスタムアクセス許可プロファイルを追加または変更します。

開始する前に、 CLI AWS をセットアップして設定する必要があります。 AWS CLI のインストールの詳細については、 AWS 「 コマンドラインインターフェイスユーザーガイド」の「CLI AWS の最新バージョンのインストールまたは更新」および「CLI の設定 AWS」を参照してください。また、quicksight:UpdateAccountPermissionquicksight:DescribeAccountPermission および quicksight:DeleteAccountCustomPermission の IAM アクセス許可も必要です。

次の例では、UpdateAccountPermission API を呼び出して、アカウントに割り当てられているカスタム許可を更新します。

aws quicksight update-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--custom-permissions-name PERMISSIONNAME \
--region REGION

次の例では、アカウントに割り当てられているカスタム許可プロファイルを返します。

aws quicksight describe-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION

次の例では、アカウントからカスタム許可プロファイルを適用外にします。

aws quicksight delete-account-custom-permission \
--aws-account-id AWSACCOUNTID \
--region REGION