QuickSight に Active Directory ユーザーへのアクセスを許可する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

QuickSight に Active Directory ユーザーへのアクセスを許可する

注記

このアクセスアプローチは、Amazon QuickSight の Enterprise Edition でのみ使用できます。詳細については、QuickSight ドキュメントの「Enterprise Edition のユーザー管理」を参照してください。

QuickSight にアクセスする Active Directory ユーザーのアーキテクチャ図

このアーキテクチャとアクセスアプローチの特徴は次のとおりです。

  • Amazon QuickSight ユーザーレコードは、Active Directory のユーザーにリンクされています。

  • QuickSight の管理者、作成者、または閲覧者に Active Directory グループへのアクセスを割り当てます。

  • QuickSight アクセスは、マッピングされた Active Directory グループメンバーシップに基づいてプロビジョニングされます。

  • ユーザーパスワードは Active Directory で管理されます。

  • ユーザーは、https://quicksight.aws.amazon.com/ の QuickSight コンソールから直接ログインする必要があります。

  • この QuickSight アクセスアプローチを他のアプローチと組み合わせることはできません。

考慮事項とユースケース

Microsoft Active Directory ユーザーとグループを使用して、QuickSight へのアクセスを管理できます。QuickSight は、 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) または Active Directory Connector (AD Connector) をサポートしています。

AWS Managed Microsoft AD は、Active Directory と同じ機能のほとんど AWS クラウド を提供する の Active Directory ホストです。QuickSight に使用する既存のセルフマネージドディレクトリがある場合は、AD Connector を使用できます。このサービスは、クラウドに情報をキャッシュすることなく、ディレクトリリクエストを別の AWS リージョン またはオンプレミスのセルフマネージド Active Directory にリダイレクトします。AD Connector と はどちらもその一部 AWS Managed Microsoft AD です AWS Directory Service。

のディレクトリまたはディレクトリ接続は、QuickSight にサインアップする AWS リージョン のと同じ にある AWS Directory Service 必要があります。QuickSight にサインアップするときは、Active Directory ドメインと、アクセスコントロールに使用される特定の Active Directory グループを指定します。

このアクセスアプローチは、既存の Active Directory アクセス管理プロセスを使用する組織に最適です。このアプローチは、Active Directory グループメンバーシップを通じて QuickSight のアクセスとロールを管理します。

このアプローチを使用する際の重要な考慮事項は、他のアプローチと組み合わせることができないことです。例えば、IAM ユーザーと QuickSight ローカルユーザーを使用してハイブリッドアクセスアプローチを作成できます。このアプローチを慎重に検討してください。QuickSight の設定時にこのアプローチを選択すると、そのアプローチにコミットします。後で別のアプローチに変更することはできません。

これは、Active Directory を使用する唯一のアクセスアプローチではありません。このアプローチでは、QuickSight アクセスは Active Directory のグループメンバーシップに基づいてプロビジョニングされ、QuickSight ユーザーレコードは Active Directory ユーザーに直接リンクされます。Active Directory をユーザーフェデレーションの ID ソースとして使用することもできます。詳細については、このガイドの「フェデレーションユーザー」を参照してください。

前提条件

Active Directory ユーザーのアクセスの設定

ディレクトリの詳細を確認したら、QuickSight にサインアップできます。手順については、「QuickSight サブスクリプションにサインアップする」を参照してください。このタイプのアクセスを設定するときは、次の点に注意してください。

  1. QuickSight サインアップウィザードで、エンタープライズを選択し、アクティブディレクトリの使用を選択します。

  2. QuickSight コンソールに移動し、QuickSight へのアクセスの管理を選択します。

  3. QuickSight にアクセスできる Active Directory グループを選択し、QuickSight 管理者、作成者、または閲覧者ロールを割り当てます。手順については、「ユーザーアクセスの管理」を参照してください。