IAM ユーザーへの QuickSight アクセスの付与 - AWS 規範ガイダンス
考慮事項とユースケース前提条件アクセス設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ユーザーへの QuickSight アクセスの付与

注記

IAM ユーザーは、 AWS Identity and Access Management (IAM) で作成するエンティティです。このタイプのエンティティは、長期的な認証情報を使用して AWS アカウント にアクセスします。ベストプラクティスとして、 では、ID フェデレーションと IAM ロールを使用して、一時的な認証情報を通じてアクセスを許可することを AWS 推奨しています。詳細については、「IAM のセキュリティのベストプラクティス」を参照してください。

QuickSight にアクセスする IAM ユーザーのアーキテクチャ図

このアーキテクチャとアクセスアプローチの特徴は次のとおりです。

  • Amazon QuickSight ユーザーレコードは、IAM のユーザーにリンクされています。

  • ユーザーパスワードは IAM で管理されます。

  • IAM ユーザーを直接招待することも、ユーザーがアクセスを自己プロビジョニングすることを許可する IAM アイデンティティベースのポリシーを作成することもできます。

  • このタイプのユーザーは、QuickSight コンソールまたは からログインできます AWS Management Console。

考慮事項とユースケース

AWS 通常、 は IAM ユーザーを介したアクセスの設定を推奨していませんが、フェデレーションなどの他のアクセスアプローチは、現在組織で使用できない場合があります。クラウドジャーニーを開始したばかりの多くの組織は、まだ IAM ロールを確立しておらず、単一アカウントアーキテクチャで作業しています。組織が IAM ユーザーを使用して AWS 環境にアクセスする場合、組織が他のアプローチをサポートするまで、そのアプローチを QuickSight に再適用するのが最も簡単で賢明なアプローチである可能性があります。

前提条件

  • 直接招待アプローチには、以下が必要です。

    • QuickSight の管理アクセス許可 (「Standard Edition または Enterprise Edition の IAM アイデンティティベースのポリシー」を参照)

    • IAM ユーザーの E メールアドレス

  • セルフプロビジョニングアクセスアプローチの場合、ユーザーには Amazon QuickSight を作成するためのアクセス許可が必要です (Amazon QuickSight の IAM アイデンティティベースのポリシー: ユーザーの作成」を参照)。

  • IAM ユーザーには、IAM 認証情報に関連付けられたパスワードが必要です

IAM ユーザーのアクセスの設定

次のいずれかのオプションを使用して、IAM ユーザーに QuickSight へのアクセスを許可できます。

  • 直接招待 – QuickSight にアクセスするように IAM ユーザーを招待すると、ユーザーは E メールで招待を受け入れることができます。

  • セルフプロビジョニングアクセス – ユーザーに独自のアクセスのプロビジョニングを許可する IAM ポリシーを作成します。ユーザーが初めて QuickSight にアクセスすると、アクセス権が付与され、QuickSight ユーザーレコードに関連付けられる E メールアドレスが定義されます。

両方のオプションの結果は同じです。IAM ユーザーは QuickSight にアクセスできます。ただし、次の表に示すように、それぞれに利点と欠点があります。例えば、承認された会社の E メールアドレスの使用を強制したい組織には、直接招待が望ましい場合があります。

アプローチ

利点

欠点

直接招待

  • 管理者は、QuickSight のユーザーレコードに関連付けられている E メールアドレスを制御できます。

  • IAM ポリシー管理タスクなし

  • より手動

セルフプロビジョニングアクセス

  • 自己プロビジョニング機能が既に既存の IAM ポリシーの一部である IAM ポリシーを介してアクセスをプロビジョニングするための既存の IT 運用プロセスに統合できます。

  • 管理者は、ユーザーが QuickSight に提供する E メールアドレスを制御できない

直接招待

IAM ユーザーのアクセスを設定する方法については、Amazon QuickSight へのアクセスをユーザーに招待する」を参照してください。このタイプのユーザーアクセスを設定するときは、次の点に注意してください。

  • QuickSight ユーザー名には、IAM ユーザーのユーザー名を入力します。使用できる文字は、文字、数字、および . _ - (ハイフン) です。

  • IAM ユーザーの場合は、はい を選択します。

  • ユーザーは招待を承諾するまで 7 日間かかります。この期間内に を受け入れない場合は、招待 E メールを再送信できます。

  • ユーザーが招待を承諾したら、IAM 認証情報に関連付けられているパスワードを入力する必要があります。

セルフプロビジョニングアクセス

IAM ユーザーがアクセスを自己プロビジョニングできる場合、QuickSight アカウントに招待する必要はありません。QuickSight コンソールに初めてアクセスする場合は、E メールアドレスを入力する必要があります。ユーザーが続行を選択すると、QuickSight はその IAM ユーザーのユーザーレコードを作成します。

独自のアクセスをプロビジョニングするアクセス許可を付与するには、アイデンティティベースのポリシーを作成し、そのポリシーを IAM ユーザーまたは IAM ユーザーグループに適用します。詳細については、このガイドの「IAM ポリシーの設定」を参照してください。