翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Quick Suite の IAM ポリシーの例
このセクションでは、Quick Suite で使用できる IAM ポリシーの例を示します。
Quick Suite の IAM アイデンティティベースのポリシー
このセクションでは、Quick Suite で使用するアイデンティティベースのポリシーの例を示します。
Amazon Quick Suite IAM コンソール管理用の IAM アイデンティティベースのポリシー
次の例は、Amazon Quick Suite IAM コンソール管理アクションに必要な IAM アクセス許可を示しています。
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog" ], "Resource": [ "*" ] } ] }
Quick Suite の IAM アイデンティティベースのポリシー: ダッシュボード
以下は、特定のダッシュボードのダッシュボード共有と埋め込みを許可する IAM ポリシーの例です。
{ "Version": "2012-10-17" , "Statement": [ { "Action": "quicksight:RegisterUser", "Resource": "*", "Effect": "Allow" }, { "Action": "quicksight:GetDashboardEmbedUrl", "Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89", "Effect": "Allow" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: 名前空間
次の例は、Amazon Quick Suite 管理者が名前空間を作成または削除できるようにする IAM ポリシーを示しています。
名前空間の作成
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "ds:DescribeDirectories", "quicksight:CreateNamespace" ], "Resource": "*" } ] }
名前空間の削除
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:UnauthorizeApplication", "ds:DeleteDirectory", "ds:DescribeDirectories", "quicksight:DeleteNamespace" ], "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: カスタムアクセス許可
次の例は、Amazon Quick Suite 管理者または開発者がカスタムアクセス許可を管理できるようにする IAM ポリシーを示しています。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:*CustomPermissions" ], "Resource": "*" } ] }
以下は、前の例に示されているものと同じ許可を付与するための別の方法の例です。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:CreateCustomPermissions", "quicksight:DescribeCustomPermissions", "quicksight:ListCustomPermissions", "quicksight:UpdateCustomPermissions", "quicksight:DeleteCustomPermissions" ], "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: E メールレポートテンプレートのカスタマイズ
次の例は、Amazon Quick Suite での E メールレポートテンプレートの表示、更新、作成、および Amazon Simple Email Service ID の検証属性の取得を許可するポリシーを示しています。このポリシーにより、Amazon Quick Suite 管理者はカスタム E メールレポートテンプレートを作成および更新し、E メールレポートの送信元のカスタム E メールアドレスが SES で検証された ID であることを確認します。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:DescribeAccountCustomization", "quicksight:CreateAccountCustomization", "quicksight:UpdateAccountCustomization", "quicksight:DescribeEmailCustomizationTemplate", "quicksight:CreateEmailCustomizationTemplate", "quicksight:UpdateEmailCustomizationTemplate", "ses:GetIdentityVerificationAttributes" ], "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: Amazon Quick Suite マネージドユーザーを使用してエンタープライズアカウントを作成する
次の例は、Amazon Quick Suite 管理者が Amazon Quick Suite マネージドユーザーを使用して Enterprise Edition Amazon Quick Suite アカウントを作成できるようにするポリシーを示しています。
{ "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory" ], "Resource": [ "*" ] } ] }
Quick Suite の IAM アイデンティティベースのポリシー: ユーザーの作成
次の例は、Amazon Quick Suite ユーザーの作成のみを許可するポリシーを示しています。quicksight:CreateReader、quicksight:CreateUser、および quicksight:CreateAdmin で、"Resource":
"arn:aws:quicksight:: へのアクセス許可を制限できます。このガイドで説明されているその他すべてのアクセス許可については、<YOUR_AWS_ACCOUNTID>:user/${aws:userid}""Resource":
"*" を使用します。指定したリソースによって、アクセス許可の範囲は、指定したリソースに制限されます。
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:CreateUser" ], "Effect": "Allow", "Resource": "arn:aws:quicksight::<YOUR_AWS_ACCOUNTID>:user/${aws:userid}" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: グループの作成と管理
次の例は、Amazon Quick Suite 管理者と開発者がグループを作成および管理できるようにするポリシーを示しています。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:ListGroups", "quicksight:CreateGroup", "quicksight:SearchGroups", "quicksight:ListGroupMemberships", "quicksight:CreateGroupMembership", "quicksight:DeleteGroupMembership", "quicksight:DescribeGroupMembership", "quicksight:ListUsers" ], "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: Standard Edition のすべてのアクセス
Amazon Quick Suite Standard Edition の次の例は、作成者と読者のサブスクライブと作成を許可するポリシーを示しています。この例では、Amazon Quick Suite からサブスクリプションを解除するアクセス許可を明示的に拒否します。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateUser", "quicksight:DescribeAccountSubscription", "quicksight:Subscribe" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス (Pro ロール)
次の Amazon Quick Suite Enterprise Edition の例では、Amazon Quick Suite ユーザーが IAM アイデンティティセンターと統合された Amazon Quick Suite アカウントで Amazon Quick Suite にサブスクライブし、ユーザーを作成し、Active Directory を管理できるようにするポリシーを示しています。
このポリシーにより、ユーザーは Quick Suite Generative BI 機能で Amazon Q へのアクセスを許可する Amazon Quick Suite Pro ロールにサブスクライブすることもできます。Amazon Quick Suite の Pro ロールの詳細については、「Generative BI の開始方法」を参照してください。
この例では、Amazon Quick Suite からサブスクリプションを解除するアクセス許可を明示的に拒否します。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "iam:CreateServiceLinkedRole", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization", "user-subscriptions:CreateClaim", "user-subscriptions:UpdateClaim", "sso-directory:DescribeUser", "sso:ListApplicationAssignments", "sso-directory:DescribeGroup", "organizations:ListAWSServiceAccessForOrganization", "identitystore:DescribeUser", "identitystore:DescribeGroup" ], "Resource": [ "*" ] } ] }
Quick Suite の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス
次の Amazon Quick Suite Enterprise Edition の例では、IAM Identity Center と統合された Amazon Quick Suite アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。
このポリシーは、Amazon Quick Suite で Pro ロールを作成するアクセス許可を付与しません。Amazon Quick Suite で Pro ロールをサブスクライブするアクセス許可を付与するポリシーを作成するには、「Amazon Quick Suite の IAM アイデンティティベースのポリシー: IAM アイデンティティセンターによる Enterprise Edition のすべてのアクセス (Pro ロール)」を参照してください。
この例では、Amazon Quick Suite からサブスクリプションを解除するアクセス許可を明示的に拒否します。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicyVersions", "iam:DeleteRole", "iam:CreateRole", "iam:GetRole", "iam:ListRoles", "iam:CreatePolicy", "iam:ListEntitiesForPolicy", "iam:listPolicies", "s3:ListAllMyBuckets", "athena:ListDataCatalogs", "athena:GetDataCatalog", "sso:DescribeApplication", "sso:DescribeInstance", "sso:CreateApplication", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:DeleteApplication", "sso:SearchGroups", "sso:GetProfile", "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment", "sso:ListInstances", "sso:DescribeRegisteredRegions", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }
Quick Suite の IAM アイデンティティベースのポリシー: Active Directory を使用した Enterprise Edition のすべてのアクセス
次の Amazon Quick Suite Enterprise Edition の例では、ID 管理に Active Directory を使用する Amazon Quick Suite アカウントでの Active Directory のサブスクライブ、ユーザーの作成、管理を許可するポリシーを示しています。この例では、Amazon Quick Suite からサブスクリプションを解除するアクセス許可を明示的に拒否します。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:DescribeDirectories", "ds:DescribeTrusts", "ds:DeleteDirectory", "ds:CreateIdentityPoolDirectory", "iam:ListAccountAliases", "quicksight:CreateAdmin", "quicksight:Subscribe", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Resource": "*" }, { "Effect": "Deny", "Action": "quicksight:Unsubscribe", "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: Active Directory グループ
次の例は、Amazon Quick Suite Enterprise Edition アカウントの Active Directory グループ管理を許可する IAM ポリシーを示しています。
{ "Statement": [ { "Action": [ "ds:DescribeTrusts", "quicksight:GetGroupMapping", "quicksight:SearchDirectoryGroups", "quicksight:SetGroupMapping" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }
Quick Suite の IAM アイデンティティベースのポリシー: 管理アセット管理コンソールの使用
次の例は、管理者向けアセット管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{ "Version": "2012-10-17" , "Statement": [ { "Effect": "Allow", "Action": [ "quicksight:SearchGroups", "quicksight:SearchUsers", "quicksight:ListNamespaces", "quicksight:DescribeAnalysisPermissions", "quicksight:DescribeDashboardPermissions", "quicksight:DescribeDataSetPermissions", "quicksight:DescribeDataSourcePermissions", "quicksight:DescribeFolderPermissions", "quicksight:ListAnalyses", "quicksight:ListDashboards", "quicksight:ListDataSets", "quicksight:ListDataSources", "quicksight:ListFolders", "quicksight:SearchAnalyses", "quicksight:SearchDashboards", "quicksight:SearchFolders", "quicksight:SearchDatasets", "quicksight:SearchDatasources", "quicksight:UpdateAnalysisPermissions", "quicksight:UpdateDashboardPermissions", "quicksight:UpdateDataSetPermissions", "quicksight:UpdateDataSourcePermissions", "quicksight:UpdateFolderPermissions" ], "Resource": "*" } ] }
Quick Suite の IAM アイデンティティベースのポリシー: 管理者キー管理コンソールの使用
次の例は、管理者向けキー管理コンソールへのアクセスを許可する IAM ポリシーを示しています。
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration", "quicksight:UpdateKeyRegistration", "quicksight:ListKMSKeysForUser", "kms:CreateGrant", "kms:ListGrants", "kms:ListAliases" ], "Resource":"*" } ] }
"quicksight:ListKMSKeysForUser" および アクセス"kms:ListAliases"許可は、Amazon Quick Suite コンソールからカスタマーマネージドキーにアクセスするために必要です。 "quicksight:ListKMSKeysForUser"および "kms:ListAliases"は、Amazon Quick Suite キー管理 APIs を使用する必要はありません。
ユーザーにアクセスを許可するキーを指定するには、ユーザーにアクセスを許可するキーの ARN を quicksight:KmsKeyArns 条件キーと一緒に UpdateKeyRegistration 条件に追加します。ユーザーは、UpdateKeyRegistration で指定されたキーにのみアクセスできます。Amazon Quick Suite でサポートされている条件キーの詳細については、「Amazon Quick Suite の条件キー」を参照してください。
以下の例では、Amazon Quick Suite アカウントに登録されているすべての CMKs に対するDescribeアクセス許可と、Amazon Quick Suite アカウントに登録されている特定の CMKs に対するUpdateアクセス許可を付与します。
{ "Version":"2012-10-17" , "Statement":[ { "Effect":"Allow", "Action":[ "quicksight:DescribeKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*" }, { "Effect":"Allow", "Action":[ "quicksight:UpdateKeyRegistration" ], "Resource":"arn:aws:quicksight:us-west-2:123456789012:*", "Condition":{ "ForAllValues:StringEquals":{ "quicksight:KmsKeyArns":[ "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1", "arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2", "..." ] } } }, { "Effect":"Allow", "Action":[ "kms:CreateGrant", "kms:ListGrants" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/*" } ] }
AWS リソースクイックスイート: Enterprise Edition のスコープポリシー
次の Amazon Quick Suite Enterprise Edition の例では、リソースへのデフォルトアクセスの設定と AWS 、リソースへのアクセス許可のスコープポリシーを許可するポリシーを示しています AWS 。
{ "Version": "2012-10-17" , "Statement": [ { "Action": [ "quicksight:*IAMPolicyAssignment*", "quicksight:AccountConfigurations" ], "Effect": "Allow", "Resource": "*" } ] }
