Quick Suite への IAM ロールの受け渡し - Amazon Quick Suite
前提条件追加のポリシーのアタッチQuick Suite での既存の IAM ロールの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Quick Suite への IAM ロールの受け渡し

 適用対象: Enterprise Edition 

IAM ユーザーが Quick Suite にサインアップすると、Amazon Quick Suite が管理するロール (デフォルトロール) の使用を選択できます。または、既存の IAM ロールを Amazon Quick Suite に渡すこともできます。

以下のセクションを使用して、既存の IAM ロールを Amazon Quick Suite に渡す

前提条件

ユーザーが IAM ロールを Amazon Quick Suite に渡すには、管理者が次のタスクを完了する必要があります。

  • IAM ロールを作成します。IAM ロールの作成の詳細については、IAM ユーザーガイドの「IAM ロールの作成」を参照してください。

  • Amazon Quick Suite がロールを引き受けることを許可する信頼ポリシーを IAM ロールにアタッチします。次の例を使用して、ロールのポリシーを作成します。次の信頼ポリシーの例では、Quick Suite プリンシパルがアタッチされている IAM ロールを引き受けることを許可します。

    IAM 信頼ポリシーの作成とロールへのアタッチの詳細については、IAM ユーザーガイドの「ロールの修正 (コンソール)」を参照してください。

    {
  "Version": "2012-10-17"		 	 	 ,
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "quicksight.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  • 管理者 (IAM ユーザーまたはロール) に次の IAM 許可を割り当てます。:

    • quicksight:UpdateResourcePermissions – これにより、Amazon Quick Suite 管理者である IAM ユーザーに、Amazon Quick Suite のリソースレベルのアクセス許可を更新するアクセス許可が付与されます。Amazon Quick Suite で定義されるリソースタイプの詳細については、IAM ユーザーガイド「Quick Suite のアクション、リソース、および条件キー」を参照してください。

    • iam:PassRole – これにより、Amazon Quick Suite にロールを渡すアクセス許可がユーザーに付与されます。詳細については、IAM ユーザーガイドの「 AWS サービスにロールを渡すアクセス許可をユーザーに付与する」を参照してください。

    • iam:ListRoles – (オプション) これにより、Amazon Quick Suite の既存のロールのリストを表示するアクセス許可がユーザーに付与されます。このアクセス権限が提供されない場合、ARN を使用して既存の IAM ロールを使用できます。

    以下は、リソースレベルのアクセス許可の管理、IAM ロールの一覧表示、Quick Suite での IAM ロールの受け渡しを許可する IAM アクセス許可ポリシーの例です。

    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "arn:aws:iam::account-id:role:*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/path/role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "quicksight.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "quicksight:UpdateResourcePermissions",
            "Resource": "*"
        }
    ]
}

    Amazon Quick Suite で使用できる IAM ポリシーのその他の例については、「Amazon Quick Suite の IAM ポリシーの例」を参照してください。

ユーザーまたはユーザーグループにアクセス許可ポリシーを割り当てる詳細については、IAM ユーザーガイドの「IAM ユーザーのアクセス許可の変更」を参照してください。

追加のポリシーのアタッチ

Amazon Athena や Amazon S3 などの別の AWS サービスを使用している場合は、特定のアクションを実行するアクセス許可を Amazon Quick Suite に付与するアクセス許可ポリシーを作成できます。 Amazon S3 その後、後で Amazon Quick Suite に渡す IAM ロールにポリシーをアタッチできます。次に、追加のアクセス権限ポリシーを設定して IAM ロールにアタッチする方法の例を示します。

Athena での Amazon Quick Suite の管理ポリシーの例については、「Amazon AWSQuicksightAthenaAccess 管理ポリシー」を参照してください。 Amazon Athena IAM ユーザーは、次の ARN を使用して Amazon Quick Suite でこのロールにアクセスできます: arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess

以下は、Amazon S3 の Amazon Quick Suite のアクセス許可ポリシーの例です。Amazon S3 での IAM の使用方法の詳細については、Amazon S3 ユーザーガイドの「Amazon S3 の Identity and Access Management」を参照してください。

Amazon Quick Suite から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを作成する方法については、 AWS ナレッジセンターの「Quick Suite から別のアカウントの Amazon S3 バケットへのクロスアカウントアクセスを設定する方法」を参照してください。

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
            ]
        }
    ]
}

Quick Suite での既存の IAM ロールの使用

Amazon Quick Suite 管理者で、Amazon Quick Suite リソースを更新して IAM ロールを渡すアクセス許可がある場合は、Amazon Quick Suite で既存の IAM ロールを使用できます。Amazon Quick Suite で IAM ロールを渡すための前提条件の詳細については、前のリストで説明した前提条件を参照してください。

Amazon Quick Suite で IAM ロールを渡す方法については、次の手順に従います。

Amazon Quick Suite で既存の IAM ロールを使用するには

  1. Amazon Quick Suite で、右上のナビゲーションバーでアカウント名を選択し、Manage QuickSight を選択します。

  2. 開いた Amazon Quick Suite の管理ページで、左側のメニューでセキュリティとアクセス許可を選択します。

  3. 開いたセキュリティとアクセス許可ページで、Amazon Quick Suite AWS のサービスへのアクセスで、管理を選択します。

  4. [IAM ロール] は [Use an existing role] を選択し、次のいずれかを実行します。

    • リストから使用するロールを選択します。

    • または、既存の IAM ロールのリストが表示されない場合は、ロールの IAM ARN を次の形式で入力できます: arn:aws:iam::account-id:role/path/role-name

  5. [保存] を選択します。