Amazon QuickSight の異なるエディション - Amazon QuickSight

Amazon QuickSight の異なるエディション

Amazon QuickSight には、Standard と Enterprise の 2 つのエディションがあります。2 つのバージョン間の可用性、ユーザー管理、アクセス権限、セキュリティの違いの詳細については、次のトピックを参照してください。

どちらのエディションにも、データのビジュアルを作成および共有するための機能一式が用意されています。Enterprise Edition ではさらに、保管時のデータの暗号化、Microsoft Active Directory との統合も可能です。Enterprise Edition では、AWS Directory Service で Microsoft Active Directory ディレクトリを選択します。そのアクティブディレクトリを使用して、Amazon QuickSight のユーザーと管理者を識別して管理します。

Amazon QuickSight の各エディションのさまざまな機能と料金については、「Amazon QuickSight の料金」を参照してください。

エディションの利用可能状況

現在 Amazon QuickSight でサポートされている AWS リージョンであれば、すべてのエディションが利用可能です。

Amazon QuickSight サブスクリプションを開始する容量のリージョンは、アカウントのデフォルト SPICE 容量が割り当てられているリージョンです。サポートされている他の AWS リージョンで追加の SPICE 容量を購入して、AWS リソースにアクセスすることも可能です。

Standard Edition を使用して、任意のデフォルトのキャパシティーリージョンを選択すると、Amazon QuickSight の新規サブスクリプションを開始できます。その後、いつでも Enterprise Edition にアップグレードできます。

Enterprise アカウント設定を管理するには、セッションのリージョンを一時的に米国東部 (バージニア北部) リージョンを変更する必要があります。アカウント設定の編集を終了したら、リージョンを元に戻すことができます。これらの設定には、サブスクリプションの通知メールの変更、IAM アクセスリクエストの有効化、AWS リソースへのアクセス権の編集、および Amazon QuickSight からのサブスクリプション解除が含まれます。

エディション間のユーザー管理

Amazon QuickSight の Standard Edition と Enterprise Edition ではユーザー管理が異なります。どちらのエディションも、Security Assertion Markup Language 2.0 (SAML 2.0) を使用して ID フェデレーション、つまり Federated Single Sign-On (SSO) をサポートしています。

Standard Edition のユーザー管理

Standard Edition では、AWS Identity and Access Management (IAM) ユーザーを招待し、そのユーザーに認証情報を使用した Amazon QuickSight へのアクセスを許可できます。また、E メールアドレスのあるユーザーを招待して、Amazon QuickSight 専用のユーザーアカウントの作成を勧めることもできます。ユーザーアカウントを作成すると、Amazon QuickSight からそのユーザーにアカウントをアクティブ化するように促す E メールが送信されます。

ユーザーアカウントの作成時には、管理者ロールまたはユーザーロールのいずれかを割り当てることもできます。このロールの割り当てによって、Amazon QuickSight でのユーザーのアクセス権限が決まります。Amazon QuickSight では、ユーザーアカウントを追加、変更、削除することで、ユーザーに対するすべての管理を行います。

Enterprise Edition のユーザー管理

Enterprise Edition では、管理アクセス用に AWS Directory Service 内の 1 つ以上の Microsoft Active Directory アクティブディレクトリグループを選択できます。これらのグループ内のすべてのユーザーに、管理者として Amazon QuickSight にサインインする権限が与えられます。ユーザーアクセス用に AWS Directory Service 内の 1 つ以上の Microsoft Active Directory アクティブディレクトリグループを選択することもできます。これらのグループ内のすべてのユーザーに、ユーザーとして Amazon QuickSight にサインインする権限が与えられます。

重要

この方法で追加された Amazon QuickSight 管理者とユーザーには、Amazon QuickSight へのアクセスは自動的に通知されません。ユーザーには、サインイン URL、アカウント名、認証情報を E メールで通知する必要があります。

Enterprise Edition のユーザーアカウントの追加または削除は、Amazon QuickSight に関連付けられた Microsoft Active Directory グループに対してユーザーを追加または削除することでのみ可能です。ユーザーアカウントを追加する場合、そのアカウントに付与されるアクセス権限は、Microsoft Active Directory グループが Amazon QuickSight の管理グループであるか、ユーザーグループであるかによって異なります。

また、Microsoft Active Directory グループと統合することで、ユーザーアカウントを一括で追加したり、Amazon QuickSight から Microsoft Active Directory グループを削除することで、ユーザーアカウントを一括で削除したりもできます。

ユーザーを Microsoft Active Directory グループから削除するか、ユーザーの Microsoft Active Directory グループを Amazon QuickSight との統合から削除することでユーザーを無効化しても、そのユーザーに関連付けられた Amazon QuickSight ユーザーアカウントは削除されません。

エディション別の許可

Standard Edition では、すべての Amazon QuickSight 管理者がサブスクリプションと SPICE 容量を管理できます。それらの管理ユーザーは、ユーザーアカウントの追加、変更、削除も可能です。

AWS リソースに対する Amazon QuickSight アクセス権限を管理したり、Amazon QuickSight からサブスクリプションを解除するには、追加の AWS アクセス権限が必要です。これらのタスクは、Amazon QuickSight で管理者権限のある IAM ユーザーまたは Amazon QuickSight アカウントを作成した IAM ユーザーまたは AWS アカウントのみが実行できます。

Amazon QuickSight から AWS リソースへのアクセスを管理するには、次のいずれかとしてログインしている必要があります。

  • Amazon QuickSight 管理者である IAM ユーザー

  • Amazon QuickSight アカウントを作成した IAM ユーザーまたは AWS ルートアカウント

Enterprise Edition では、IAM ユーザーを個別に追加するのではなく、Amazon QuickSight アクセス権限のある IAM ロールに AD ユーザーまたはグループを追加する必要があります。Amazon QuickSight 管理者であるすべての Microsoft Active Directory ユーザーが、サブスクリプションと SPICE 容量を管理できます。

Microsoft Active Directory グループを管理したり、AWS リソースへのアクセスを管理したり、Amazon QuickSight からサブスクリプション解除したりするには、AWS の追加アクセス許可が必要です。管理者は、これらのタスクを実行するために AWS または IAM の認証情報を求められます。