組み込み分析のチュートリアル

(Amazon QuickSight を利用)

モジュール 3: IAM ポリシー

このモジュールでは、ダッシュボードユーザーに適切なアクセス許可を設定する方法について学習します。

はじめに

このモジュールでは、ダッシュボードユーザーに適切なアクセス許可を設定する方法について学習します。そのために IAM ロールとポリシーを設定します。

学習内容

  • IAM ID プロバイダーを作成する - ID プロバイダーとして Cognito をマッピングする
  • IAM ウェブ ID のロールを作成する - QuickSight のアクセス許可と上記 ID プロバイダーとの信頼関係を確立する

 所要時間

20 分

 使用するサービス

実装

  • IAM ID プロバイダーを作成する

    Cognito UserPool を ID プロバイダーとしてマッピングする手順は以下のとおりです。

    1.IAM を起動して、左側のパネルから [Identity providers (ID プロバイダー)] を選択します。

    57-1

    2.[Create Provider (プロバイダーの作成)] をクリックします。

    58-2

    3.次のオプションを設定します。
    プロバイダーのタイプ: OpenID Connect
    プロバイダーの URL: https://cognito-idp.us-east-1.amazonaws.com/Cognito UserPool Id
    対象者: Cognito アプリクライアント ID
    [Next Step (次のステップ)] をクリックします。

    59-3

    4.[Create (作成)] をクリックします。

    60-4
  • ウェブ ID のロールを作成する

    ID プロバイダーと連携するロールを作成する手順は以下のとおりです。

    1.IAM を起動し、左パネルから [Roles (ロール)] を選択します。

    64-1

    2.[Create role (ロールの作成)] をクリックして、[Web Identity (ウェブ ID)] を選択します。

    65-2
    66

    3.ドロップダウンから (最後の手順で作成した) [Identity Provider (ID プロバイダー)]、[Audience (対象者)] ドロップダウンから [App Client Id (アプリクライアント ID)] を選択します。
    [Next:Permissions (次へ: アクセス許可)] をクリックします。

    67-3

    4.[Create Policy (ポリシーの作成)] をクリックします。新しいタブが開き、ポリシー作成のオプションが表示されます。

    68-4

    5.[JSON] タブをクリックし、次のポリシーを貼り付けて、[Review policy (ポリシーの確認)] をクリックします。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "quicksight:GetDashboardEmbedUrl",
                    "quicksight:GetAuthCode",
                    "quicksight:GetSessionEmbedUrl"
                ],
                "Resource": "*"
            }
        ]
    }
    69-5

    6.ポリシーに QSEmbedPolicy という名前を付け、[Create policy (ポリシーの作成)] をクリックします。

    70-6

    7.[Create role (ロールの作成)] タブに切り替えます。
    ポリシーリストを更新して QSEmbedPolicy を検索し、選択のチェックボックスをオンにしてから [Next:Tags (次へ: タグ)] をクリックします。

    71-7

    8.[Next: Review (次へ: 確認)] をクリックします。

    72-8

    9.ロールに QSER という名前を付け、[Create role (ロールの作成)] をクリックします。

    73-9

    10.QSER を検索し、ロール名をクリックします。

    74-10

    11.ロールの ARN をコピーし、QSER Role ARN という名前を付けてメモ帳に保存します。

    75-11

まとめ

モジュール 3 を無事に修了しました。 次にモジュール 4 で Lambda 関数を作成しましょう。

このモジュールは役に立ちましたか?