CLIやSDKを使用したQuickSight埋め込みURLの発行機能に関して、以下の制限方法があることは認識しております。
・使い切りURL
・URL有効時間
・ドメインのホワイトリスト化 --allowed-domains
【検討内容】
弊社では、自社製品内でQuickSightを埋め込み形式で利用しております。
自社製品をご利用いただいている顧客ごとにQuickSightへデータが登録されており、発行する埋め込みURLについても、顧客情報に基づいた適切なアクセス制限を検討しております。
上記の既存機能に加えて、【検討内容】を達成するために活用できそうな他の機能やベストプラクティスがございましたら、ご教示いただけますと幸いです。
@yukawaSB
QuickSight Communityにご質問頂きまして、ありがとうございます。
QuickSightの埋め込みダッシュボードに対するアクセス制限の方法につきましては複数の選択肢があり、それらについては以下リンク先に動画およびPDF資料形式で整理させて頂いております。
是非一度ご参照いただければと思います。
@Masahito
ご回答ありがとうございます。
ご確認させていただきました。
そちらを参考にアクセス制御の方針を検討させていただきます。
また、下記に関してご質問させてください。
・ドメインのホワイトリスト化 --allowed-domains
こちらで指定できる文字列に関しまして、
"https://~~~"で指定できる値として、こちらの記事と同じ仕様でしょうか?
上記記事に「必ず有効な HTTPS を使用してください」と記載されていますが、
有効なHTTPSのURLとは何を指しているのでしょうか?
実際の、指定したURLにAmazon側からアクセスしに来るのでしょうか?(応答するwebサーバーが必要ということでしょうか?)
それとも、ドメインの名前解決さえできればよいのでしょうか?
ご確認いただけますと幸いです。
ご質問ありがとうございます。
ご指摘頂いたドキュメント こちらの記事での記載と同様で問題ありません。localhost以外はHTTPSしか許可されていません。こちらのドキュメントも参考になると思います。
例えば、generate-embed-url-for-registered-userのオプション説明は以下のドキュメントが参考になります。
--allowed-domains(list)
The domains that you want to add to the allow list for access to the generated URL that is then embedded. This optional parameter overrides the static domains that are configured in the Manage QuickSight menu in the Amazon QuickSight console. Instead, it allows only the domains that you include in this parameter. You can list up to three domains or subdomains in each API call.To include all subdomains under a specific domain to the allow list, use
*. For example,https://*.sapp.amazon.comincludes all subdomains underhttps://sapp.amazon.com.(string)
generate-embed-url-for-registered-user — AWS CLI 2.24.6 Command Reference