IAM での Quick Suite の使用 - Amazon Quick Suite
Amazon Quick Suite ポリシーAmazon Quick Suite ポリシー (リソースベース)Amazon Quick Suite タグに基づく認可Amazon Quick Suite IAM ロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM での Quick Suite の使用

   適用先: Enterprise Edition と Standard Edition 
   対象者: システム管理者 

IAM を使用して Amazon Quick Suite へのアクセスを管理する前に、Amazon Quick Suite で使用できる IAM 機能を理解しておく必要があります。Amazon Quick Suite およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM ユーザーガイドAWS 「IAM と連携する のサービス」を参照してください。

Amazon Quick Suite ポリシー (アイデンティティベース)

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Quick Suite は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

AWS ルート認証情報または IAM ユーザー認証情報を使用して Amazon Quick Suite アカウントを作成できます。 AWS ルート認証情報と管理者認証情報には、 AWS リソースへの Amazon Quick Suite アクセスを管理するために必要なすべてのアクセス許可が既に付与されています。

しかし、root 認証情報を保護して、代わりに IAM ユーザー認証情報を使用することをお勧めします。これを行うには、ポリシーを作成し、Amazon Quick Suite に使用する予定の IAM ユーザーとロールにアタッチします。このポリシーには、以下のセクションで説明するように、実行する必要がある Amazon Quick Suite 管理タスクの適切なステートメントを含める必要があります。

重要

Quick Suite および IAM ポリシーを使用する場合は、次の点に注意してください。

  • Quick Suite によって作成されたポリシーを直接変更することは避けてください。自分で変更すると、Quick Suite は編集できません。これにより、ポリシーに問題が発生する可能性があります。この問題を修正するには、以前に変更を加えたポリシーを削除してください。

  • Amazon Quick Suite アカウントの作成時にアクセス許可にエラーが発生した場合は、IAM ユーザーガイド「Amazon Quick Suite で定義されるアクション」を参照してください。

  • 場合によっては、ルートアカウントからでもアクセスできない Amazon Quick Suite アカウントがある場合があります (ディレクトリサービスを誤って削除した場合など)。この場合、古い Amazon Quick Suite アカウントを削除してから再作成できます。詳細については、「Amazon Quick Suite サブスクリプションの削除とアカウントの閉鎖」を参照してください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Quick Suite のポリシーアクションは、アクションの前にプレフィックス を使用しますquicksight:。たとえば、 Amazon EC2 RunInstances API オペレーションで Amazon EC2 インスタンスを実行するためのアクセス許可をユーザーに付与するには、ポリシーに ec2:RunInstances アクションを含めます。ポリシーステートメントには、Action または NotAction エレメントを含める必要があります。Amazon Quick Suite は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
	      "quicksight:action1",
	      "quicksight:action2"]

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Create という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "quicksight:Create*"

Amazon Quick Suite には、多数の AWS Identity and Access Management (IAM) アクションが用意されています。すべての Amazon Quick Suite アクションにはquicksight:、 などのプレフィックスが付けられますquicksight:Subscribe。IAM ポリシーで Amazon Quick Suite アクションを使用する方法については、「Amazon Quick Suite の IAM ポリシーの例」を参照してください。

Amazon Quick Suite アクションの最新 up-to-date リストを確認するには、IAM ユーザーガイド「Amazon Quick Suite で定義されるアクション」を参照してください。

リソース

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

次に、ポリシーの例を示します。つまり、このポリシーがアタッチされている発信者は、グループに追加するユーザー名が CreateGroupMembership でない限り、すべてのグループで user1 オペレーションを呼び出すことができます。

{
    "Effect": "Allow",
    "Action": "quicksight:CreateGroupMembership",
    "Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
    "Condition": {
        "StringNotEquals": {
            "quicksight:UserName": "user1"
        }
    }
}

リソースを作成するためのアクションなど、一部の Amazon Quick Suite アクションは、特定のリソースで実行できません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

一部の API アクションには、複数のリソースが関連します。複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [
	      "resource1",
	      "resource2"

Amazon Quick Suite リソースタイプとその Amazon リソースネーム (ARNs」を参照してください。 https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies 各リソースの ARN を指定できるアクションについては、「Amazon Quick Suite で定義されるアクション」を参照してください。

条件キー

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素は、定義された基準に基づいてステートメントが実行されるタイミングを指定します。イコールや未満などの 条件演算子 を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、「IAM ユーザーガイド」のAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Quick Suite は、サービス固有の条件キーを提供しませんが、一部のグローバル条件キーの使用をサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Amazon Quick Suite のアイデンティティベースのポリシーの例を表示するには、「Amazon Quick Suite ポリシー (アイデンティティベース)」を参照してください。

Amazon Quick Suite ポリシー (リソースベース)

Amazon Quick Suite はリソースベースのポリシーをサポートしていません。ただし、Amazon Quick Suite コンソールを使用して、 内の他の AWS リソースへのアクセスを設定できます AWS アカウント。

Amazon Quick Suite タグに基づく認可

Amazon Quick Suite は、リソースのタグ付けやタグに基づくアクセスの制御をサポートしていません。

Amazon Quick Suite IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。IAM ロールを使用してアクセス許可をグループ化することで、Amazon Quick Suite アクションへのユーザーのアクセスを簡単に管理できます。

Amazon Quick Suite では、以下のロール機能はサポートされていません。

  • サービスにリンクされたロール。

  • サービスロール。

  • 一時的な認証情報 (直接使用): ただし、Amazon Quick Suite は一時的な認証情報を使用して、ユーザーが埋め込みダッシュボードにアクセスするための IAM ロールを引き受けることを許可します。詳細については、「Amazon Quick Suite の埋め込み分析」を参照してください。

Amazon Quick Suite が IAM ロールを使用する方法の詳細については、「Using Amazon Quick Suite with IAM and IAM policy examples for Amazon Quick Suite」を参照してください。