IAM Identity Center 統合による QuickSight アクセスの許可 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center 統合による QuickSight アクセスの許可

注記

このアクセスアプローチは、Amazon QuickSight の Enterprise Edition でのみ使用できます。詳細については、QuickSight ドキュメントの「Enterprise Edition のユーザー管理」を参照してください。

QuickSight にアクセスする IAM Identity Center ユーザーのアーキテクチャ図

このアーキテクチャとアクセスアプローチの特徴は次のとおりです。

  • ユーザーとグループは、次のいずれかの ID ソース AWS IAM Identity Center を通じて で管理されます。

  • 要件に応じて、IAM アイデンティティセンターの組織インスタンスまたはアカウントインスタンスを使用できます。例えば、外部ユーザーが QuickSight にアクセスする必要があるが、組織インスタンスで使用できない場合やプロビジョニングが許可されている場合は、内部ユーザーと外部ユーザーの両方をサポートする ID ソースを使用するアカウントインスタンスを使用できます。

  • QuickSight の管理者、作成者、または閲覧者に IAM アイデンティティセンターグループへのアクセス権を割り当てます。

  • QuickSight アクセスは、マッピングされた IAM Identity Center グループメンバーシップに基づいてプロビジョニングされます。

  • この QuickSight アクセスアプローチを他のアプローチと組み合わせることはできません。

考慮事項とユースケース

QuickSight へのアクセスを管理するには、IAM Identity Center を使用することをお勧めします。IAM Identity Center で使用できる方法は 2 つあります。QuickSight は IAM Identity Center 対応のアプリケーションであり、ネイティブ統合をサポートしています。これは推奨されるアプローチです。このガイドIAM アイデンティティセンターを介した QuickSight へのフェデレーティッドユーザーアクセスの設定で説明されているように、SAML 2.0 フェデレーションを使用することもできますが、このアプローチはほとんどのユースケースでは推奨されません。

QuickSight と IAM アイデンティティセンター間のネイティブサービス統合では、2 つのサービス間で SAML フェデレーションを設定する必要はありません。ネイティブ統合では、IAM Identity Center グループメンバーシップを使用して QuickSight へのアクセスを管理します。

IAM Identity Center ユーザーグループは、QuickSight と自動的に同期されます。QuickSight コンソールでは、管理者は IAM アイデンティティセンターグループを QuickSight ロールにマッピングできます。グループには、Admin、Author、Reader、Admin Pro、Author Pro、または Reader Pro のロールを割り当てることができます。

このアプローチは、フェデレーション設定やアクセス許可セットを維持する必要がないため便利です。ただし、このアプローチが実装されると、QuickSight サブスクリプションを終了しない限り、今後フェデレーションなどの別のアプローチに切り替えることはできません。また、このアプローチを他のアプローチと組み合わせることはできません。

QuickSight と IAM アイデンティティセンターとのネイティブ統合の使用に関するその他の制限については、QuickSight ドキュメントを参照してください。例えば、IAM Identity Center 統合を使用する場合、QuickSight での名前空間機能の使用はサポートされていません。

前提条件

  • アクティブな AWS アカウント

  • 以下のアクセス許可:

    • QuickSight AWS アカウント がサブスクライブされている への管理アクセス

    • IAM Identity Center コンソールにアクセスしてユーザーをグループに割り当てる

IAM Identity Center の統合とユーザーアクセスの設定

このタイプのアクセスを設定するときは、次の点に注意してください。

  1. QuickSight にサブスクライブする前に、IAM Identity Center をセットアップして設定していることを確認してください。手順については、IAM Identity Center ドキュメントの「有効化 AWS IAM Identity Center開始方法」チュートリアルを参照してください。

  2. QuickSight ドキュメントの「QuickSight サブスクリプションにサインアップする」の手順に従います。 QuickSight Enterprise を選択し、IAM Identity Center 対応アプリケーションの使用を選択します。で使用可能な既存の IAM Identity Center インスタンスに応じて AWS アカウント、組織インスタンスまたはアカウントインスタンスを選択できます。

  3. QuickSight ロールを IAM アイデンティティセンターグループに割り当てるには、QuickSight ドキュメントの「IAM アイデンティティセンターユーザーのアクセスの管理」の手順に従います。