IAM Identity Center ユーザーのアクセスの管理

適用対象: Enterprise Edition

対象者: システム管理者と Amazon QuickSight 管理者

AWS 管理者は、このトピックを使用して、IAM Identity Center と統合されているアカウントの管理について詳しく知ることができます。このセクションの情報は、 を使用する QuickSight アカウントにも適用されますActive Directory。

QuickSight ユーザーを管理するには、Amazon の管理者権限 QuickSight と適切な AWS 権限が必要です。必要な AWS アクセス許可の詳細については、「」を参照してくださいAmazon の IAM ポリシーの例 QuickSight。ディレクトリグループを使用している場合は、ネットワーク管理者である必要があります。

各 Amazon QuickSight Enterprise Edition アカウントには、無制限のユーザー数を設定できます。セミコロン ( ; ) を含むユーザー名はサポートされていません。

Amazon QuickSight ユーザーを追加、表示、非アクティブ化するには、以下の手順に従います。

重要

Amazon QuickSight ユーザーまたはグループを 1 つの ID ストアから別の ID ストアに再マップすることはできません。例えば、オンプレミスの Active Directory から に移行する場合や AWS Directory Service、その逆の場合は、サブスクリプションを解除して Amazon に再サブスクライブします QuickSight。これは、ユーザーのエイリアスが同じままであっても、基になる ID データが変更されるために行います。移行を容易にするには、移行前にユーザーにすべての Amazon QuickSight アセットと設定のドキュメント化を事前にリクエストしてください。

ユーザーの追加

IAM Identity Center では、IAM Identity Center グループを の Admin、Admin Pro、Author、Author Pro、Reader、Reader Pro ロールに関連付ける QuickSight ことで、ユーザーを に追加します QuickSight。選択したグループのすべてのユーザーは、Amazon にサインインする権限があります QuickSight。

の Pro ロールの詳細については、 QuickSight 「」を参照してくださいGenerative BI の使用を開始する。

Amazon アカウントと統合されているグループを確認するには QuickSight 、「」の手順に従いますユーザーアクセスの管理。

ユーザーアクセスの管理

Amazon へのアクセスを許可するロールに割り当てられたグループを表示するには、次の手順に従います QuickSight。

1. QuickSight コンソールを開きます。

2. の管理 QuickSightを選択し、ユーザーの管理 を選択します。

3. ロールグループの管理 を選択します。

4. 「ロールグループの管理」ページで、テーブルを使用して、 の管理者、ユーザー、またはリーダーロールから IAM Identity Center または Active Directory のグループを追加または削除します QuickSight。

ユーザーアカウントの無効化

QuickSight グループまたはユーザーアカウントを非アクティブ化すると、分析やデータセットなどの Amazon QuickSight リソースへのグループまたはユーザーのアクセスが削除されます。へのアクセス許可を付与するグループから削除された IAM Identity Center または Active Directory ユーザー QuickSight QuickSight。これらのユーザーは、翌月QuickSight の最初の日まで の非アクティブユーザーリストに表示されます。その後、非アクティブ化されたユーザーは [非アクティブユーザー] リストから自動的に削除されます。ユーザーを非アクティブ化する前に、アセット管理コンソールを使用してリソースを別のユーザーに再割り当てできます。

後で QuickSight ユーザーのアカウントを再アクティブ化する必要がある場合は、Amazon にアクセスできるグループにユーザーを配置します QuickSight。これにより、Amazon QuickSight とそのユーザーに関連付けられている既存のリソースへのアクセスが復元されます。

注記

IAM Identity Center を QuickSight アカウントまたは Active Directory ユーザーに統合すると、ユーザーのロールタイプを別のロールに関連付けられているグループに移動することで、ユーザーの QuickSight ロールタイプを変更できます。ユーザーが異なる QuickSight ロールタイプにマッピングされた複数のグループに属している場合、ユーザーは最も広範なレベルのアクセスを提供するロール QuickSight で にアクセスできます。他の ID タイプを使用するアカウントでは、グループ間でユーザーを移動してアップグレードまたはダウ ン グレードすることはできません。詳細については、「ユーザーロールの変更」を参照してください。

Amazon のロールに関連付けられている 1 つ以上の IAM Identity Center または Active Directory グループを追加または削除することで、複数のユーザーを一度にアクティブ化または非アクティブ化できます QuickSight。

ユーザーロールの変更

IAM Identity Center または Active Directory を使用している場合は、 で割り当てるロールにマッピングされているグループに対してユーザーのロールを追加または削除することで、ユーザーのロールを変更できます QuickSight。でロールに新しいグループを追加することで、このタスクを実行することもできます QuickSight。そのためには、Amazon の管理者権限 QuickSight と適切な AWS 権限の両方が必要です。

IAM Identity Center 統合ユーザーでは、ユーザーのロールタイプを別のロールに関連付けられているグループに移動することで、ユーザーの QuickSight ロールタイプを変更できます。ユーザーが異なるロールタイプにマッピングされた複数のグループに属している場合、ユーザーは最も広範なレベルのアクセスを提供するロール QuickSight で にアクセスできます。

Amazon のユーザーまたはグループに変更を加えると QuickSight、変更が有効になるまでに最大 5 分かかる場合があります。このような変更の例を以下に示します。

• ユーザーの削除

• ユーザーの管理者から作成者への変更

• グループメンバーの追加または削除

変更がシステム全体で有効になるまで 5 分間かかります。

エンタープライズアカウントの削除

ユーザーが IAM Identity Center または Active Directory から削除された場合、または のロールに関連付けられているグループから削除された場合 QuickSight、そのユーザーは に存在しなくなります QuickSight。 QuickSight アプリケーションでユーザーを削除する必要はありません。削除されたユーザーは、翌月の QuickSight 1 日まで の非アクティブユーザーリストに表示されます。その日付を過ぎると、ユーザーは自動的にリストから削除されます。