サービスコントロールポリシーを使用して Amazon Quick Suite サインアップオプションを制限する - Amazon Quick Suite
Quick Suite エディションの制限ユーザー管理オプションの制限SCP の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーを使用して Amazon Quick Suite サインアップオプションを制限する

管理者の場合は AWS Organizations、サービスコントロールポリシー (SCPs) を使用して、組織内の個人が Amazon Quick Suite にサインアップする方法を制限できます。ユーザーがサインアップできる Quick Suite のエディションと、サインアップできるユーザーのタイプを制限できます。

AWS Organizations は、作成して一元管理する組織に複数の AWS アカウントを統合するために使用できるユーザーアカウント管理サービスです。で SCPs を使用して AWS Organizations 、組織内のアクセス許可を管理できます。詳細については、「 AWS Organizations ユーザーガイド」の「 とは AWS Organizations」および「サービスコントロールポリシー」を参照してください。

次のトピックでは、SCPs を使用して Quick Suite サインアップオプションを制限する 2 つの方法について説明します AWS Organizations。このトピックには、SCP の例が含まれています。SCP 作成の詳細については、AWS Organizations ユーザーガイドの次のトピックを参照してください。

Quick Suite エディションの制限

マネージドアカウントがサインアップできる Quick Suite のエディションを制限するには、SCP で quicksight:Edition条件キーを使用します。このキーの値を次のテーブルに一覧表示して説明します。

キー名 キーバリュー 説明

quicksight:Edition

standard

Amazon Quick Suite Standard Edition

enterprise

Amazon Quick Suite Enterprise Edition

ユーザー管理オプションの制限

組織内の個人が Quick Suite へのサインアップに使用できるユーザー管理オプションを制限するには、SCP で quicksight:DirectoryType条件キーを使用します。このキーの値を次のテーブルに一覧表示して説明します。

キー名 キーバリュー 説明

quicksight:DirectoryType

quicksight

IAM フェデレーティッド ID と Amazon Quick Suite が管理するユーザー

iam

IAM フェデレーティッド ID のみ

microsoft_ad

の Microsoft Active Directory で管理されているユーザー AWS Directory Service for Microsoft Active Directory

ad_connector

オンプレミス Active Directory で管理され、AD_Connector を介して に接続されているユーザー AWS Directory Service for Microsoft Active Directory

iam_identity_center

IAM アイデンティティセンターと統合された Amazon Quick Suite アカウントで管理されているユーザー。

SCP の例

次の Quick Suite の例では、Amazon Quick Suite Standard Edition へのサインアップを拒否し、IAM Identity Center 認証を使用してサインアップできないようにするサービスコントロールポリシーを示しています。このポリシーは、前述の条件キーに加えて、quicksight:Subscribe アクションも使用します。IAM アクセス許可ポリシーで使用する Amazon Quick Suite 固有のキーのリストについては、「サービス認可リファレンス」の「Quick Suite のアクション、リソース、および条件キー」を参照してください。

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "quicksight:DirectoryType": [
                        "iam_identity_center"
                    ]
                }
            }
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "quicksight:Edition": "standard"
                }
            }
        }
    ]
}

このポリシーを有効にすると、組織内の個人は Amazon Quick Suite Enterprise Edition にのみサインアップでき、IAM Identity Center 以外の認証方法を使用する必要があります。Amazon Quick Suite Standard Edition にサインアップしようとする場合、または IAM Identity Center 認証を使用しようとすると、サインアップが制限され、適切なアクセス許可がないことを説明するメッセージが表示されます。