Amazon QuickSight
ユーザーガイド

Amazon QuickSight の異なるエディション

Amazon QuickSight には Standard と Enterprise の 2 つのエディションがあります。2 つのバージョン間の可用性、ユーザー管理、アクセス権限、セキュリティの違いの詳細については、次のトピックを参照してください。

どちらのエディションにも、データのビジュアルを作成および共有するための機能一式が用意されています。Enterprise Edition ではさらに、保管時のデータの暗号化、Microsoft Active Directory との統合も可能です。Enterprise Edition では、AWS Directory Service で Microsoft Active Directory ディレクトリを選択します。そのアクティブディレクトリを使用して、Amazon QuickSight のユーザーと管理者を識別して管理します。

Amazon QuickSight の各エディションの機能と料金については、「Amazon QuickSight の料金」を参照してください。

エディションの可用性

現在 Amazon QuickSight でサポートされていて、任意の AWS リージョンで利用可能なすべてのエディション。

Amazon QuickSight のサブスクリプションを開始するキャパシティーリージョンには、アカウントのデフォルトの SPICE 容量が割り当てられます。ただし、SPICE キャパシティーを追加で購入して、サポートされている他の AWS リージョンの AWS リソースにアクセスすることができます。

Standard Edition を使用して Amazon QuickSight の新規サブスクリプションを開始し、任意のデフォルトのキャパシティーリージョンを選択できます。次に、いつでも Enterprise Edition にアップグレードし、Role Based Federation (SSO) または E メールの招待を使用して接続できます。

Active Directory の統合が必要な場合は、最初に Enterprise Edition の新しいサブスクリプションを作成します。デフォルトのキャパシティーリージョンとして 米国東部(バージニア北部) リージョンを選択します。

注記

オンサイトのデータセンターまたはデフォルトの AWS リージョン外で Microsoft Active Directory を使用している場合は、AD Connector を使用して、Amazon QuickSight Enterprise Edition と統合できます。現在、Amazon QuickSight では、米国東部(バージニア北部) リージョンにある AD Connector のみがサポートされています。

Enterprise アカウント設定を管理するには、セッションのリージョンを一時的に米国東部 (バージニア北部) リージョンを変更する必要があります。アカウント設定の編集を終了したら、リージョンを元に戻すことができます。これらの設定には、サブスクリプションの通知メールの変更、IAM アクセスリクエストの有効化、AWS リソースへのアクセス権の編集、および Amazon QuickSight からのサブスクリプション解除が含まれます。

Edititons 間のユーザー管理

Amazon QuickSight の Standard Edition と Enterprise Edition ではユーザー管理が異なります。どちらのエディションも、Security Assertion Markup Language 2.0 (SAML 2.0) を使用して ID フェデレーション、つまりフェデレーションシングルサインオン (SSO) をサポートしています。

Standard Edition のユーザー管理

Standard Edition では、AWS Identity and Access Management (IAM) ユーザーを招待し、そのユーザーに認証情報を使用した Amazon QuickSight へのアクセスを許可できます。また、E メールアドレスのあるユーザーを招待して、Amazon QuickSight 専用のユーザーアカウントの作成を勧めることもできます。–ユーザーアカウントを作成すると、Amazon QuickSight からそのユーザーにアカウントをアクティブ化するように促す E メールが送信されます。

ユーザーアカウントの作成時には、管理者ロールまたはユーザーロールのいずれかを割り当てることもできます。このロールの割り当てによって、Amazon QuickSight でのユーザーのアクセス権限が決まります。Amazon QuickSight でユーザーアカウントを追加、変更、削除することで、ユーザーの全管理を行います。

Enterprise Edition のユーザー管理

Enterprise Edition では、管理アクセス用に AWS Directory Service 内の 1 つ以上の Microsoft Active Directory アクティブディレクトリグループを選択できます。これらのグループ内のすべてのユーザーに、管理者として Amazon QuickSight へサインインする権限が与えられます。ユーザーアクセス用に AWS Directory Service 内の 1 つ以上の Microsoft Active Directory アクティブディレクトリグループを選択することもできます。これらのグループ内のすべてのユーザーに、ユーザーとして Amazon QuickSight へサインインする権限が与えられます。

重要

この方法で追加された Amazon QuickSight 管理者とユーザーには、Amazon QuickSight にアクセスできることは自動的には通知されません。ユーザーには、サインイン URL、アカウント名、認証情報を E メールで通知する必要があります。

Enterprise Edition のユーザーアカウントの追加または削除は、Amazon QuickSight に関連付けられた Microsoft Active Directory グループに対してユーザーを追加または削除することでのみ可能です。ユーザーアカウントを追加すると、そのアカウントに付与されるアクセス権限は、Microsoft Active Directory グループが Amazon QuickSight で管理グループであるかユーザーグループであるかによって異なります。

また、Microsoft Active Directory グループと統合することで、ユーザーアカウントを一括で追加したり、Amazon QuickSight から Microsoft Active Directory グループを削除することで、ユーザーアカウントを一括で削除したりもできます。

ユーザーを Microsoft Active Directory グループから削除するか、ユーザーの Microsoft Active Directory グループを Amazon QuickSight との統合から削除することで、ユーザーを無効化しても、そのユーザーに関連付けられた Amazon QuickSight ユーザーアカウントは削除されません。

異なるエディションのアクセス許可

Standard Edition では、すべての Amazon QuickSight 管理者が、サブスクリプションと SPICE 容量を管理できます。それらの管理ユーザーは、ユーザーアカウントの追加、変更、削除も可能です。

AWS リソースに対する Amazon QuickSight アクセス権限を管理したり、Amazon QuickSight からサブスクリプションを解除するには、追加の AWS アクセス権限が必要です。これらのタスクは、Amazon QuickSight で管理者権限のある IAM ユーザー、または Amazon QuickSight アカウントを作成した IAM ユーザーまたは AWS アカウントのみが実行できます。

Amazon QuickSight から AWS リソースへのアクセスを管理するには、次のいずれかとしてログインしている必要があります。

  • Amazon QuickSight 管理者である IAM ユーザー

  • Amazon QuickSight アカウントを作成した IAM ユーザーまたは AWS ルートアカウント

Enterprise Edition では、IAM ユーザーを個別に追加するのではなく、Amazon QuickSight のアクセス許可のある IAM ロールに AD ユーザーまたはグループを追加する必要があります。Amazon QuickSight 管理者であるすべての Microsoft Active Directory ユーザーは、サブスクリプションと SPICE 容量を管理できます。

Microsoft Active Directory グループを管理したり、AWS リソースへのアクセスを管理したり、Amazon QuickSight からの登録を解除するには、AWS の追加アクセス許可が必要です。管理者は、これらのタスクを実行するために AWS または IAM の認証情報を求められます。

特定のタスクに必要なアクセス権限の詳細については、「Amazon QuickSight の IAM ポリシーの例 」を参照してください。