Amazon QuickSight Enterprise Edition でのユーザーアカウントの管理 - Amazon QuickSight

Amazon QuickSight Enterprise Edition でのユーザーアカウントの管理

 適用先: Enterprise Edition 
   対象者: システム管理者と Amazon QuickSight 管理者 

AWS 管理者はこのトピックを使用して、Amazon QuickSight Enterprise Edition でのユーザーアカウントの管理の詳細について確認できます。Amazon QuickSight Standard Edition でのユーザーアカウントの管理の詳細については、Amazon QuickSight 内でのユーザーアクセスの管理 を参照してください。

Enterprise Edition では、次のいずれかを使用してユーザーを管理できます。

  • Microsoft Active Directory。Active Directory ディレクトリグループを追加および削除して、ユーザーアカウントの作成および無効化ができます。直接、または AD Connector を使用して、ディレクトリグループにアクセスできます。

  • フェデレーティッドログイン

  • E メールによるユーザーの招待

この方法でユーザーを管理するには、Amazon QuickSight の管理者権限と、適切な AWS アクセス許可の両方を持っている必要があります。必要な AWS アクセス権限の詳細については、「Amazon QuickSight 向けの IAM ポリシーの例」を参照してください。ディレクトリグループを使用している場合は、ネットワーク管理者である必要があります。

Amazon QuickSight Enterprise Edition の各アカウントは、設定できるユーザーアカウントの数に制限がありません。セミコロン ( ; ) を含むユーザー名はサポートされていません。

Amazon QuickSight Enterprise Edition のユーザーアカウントを追加、表示、無効化するには、次の手順を実行します。

重要

特定の ID ストアから別の ID ストアに Amazon QuickSight ユーザーまたはグループを再マッピングすることはできません。例えば、オンプレミスの Active Directory から AWS Directory Service、またはその逆の方法で移行する場合は、 のサブスクリプションを解除してから Amazon QuickSightへ改めてサブスクリプションします。これは、ユーザーのエイリアスが同じままであっても、基になる ID データが変更されるために行います。移行を簡単にするには、移行前にすべての Amazon QuickSight アセットと設定をユーザーが文書化するように事前にリクエストしてください。

ユーザーアカウントの追加

Amazon QuickSight 管理者は、フェデレーテッドログインを使用している場合でも、E メールまたは Microsoft Active Directory を使用してユーザーを招待している場合でも、Amazon QuickSight にユーザーを直接追加できます。Active Directory を使用している場合も、グループを通じてユーザーを管理できます。一度に複数のユーザーアカウントを作成するには、1 つ以上の Active Directory グループを選択して Amazon QuickSight と統合します。選択されたグループ内のすべてのユーザーに、Amazon QuickSight へサインインする権限が与えられます。Amazon QuickSight にすでに統合されている Active Directory グループにユーザーを追加して、ユーザーアカウントを個別に追加することもできます。

どのグループが Amazon QuickSight アカウントと統合されているかを確認するには、ユーザーアカウントの詳細の表示 の手順を使用します。ユーザーをアクティブディレクトリのディレクトリグループに追加する方法の詳細については、「ユーザーとグループを追加する (Simple AD と Microsoft アクティブディレクトリ)」を参照してください。AD Connector を使用したディレクトリへの接続方法の詳細も確認できます。

E メールで招待されたユーザーには、サインイン方法が通知されます。他のユーザーに、Amazon QuickSight へのアクセスが自動的に通知されることはありません。管理者または割り当てられた Amazon QuickSight 管理者はユーザーに、Amazon QuickSight アカウント名、サインイン URL (https://quicksight.aws.amazon.com/)、およびサインインするための指示を提供する必要があります。

注記

Active Directory グループを使用して、または AWS Identity and Access Management (IAM) ユーザーとしてユーザーを管理できますが、この方法を使用する必要はありません。代わりに Amazon QuickSight 限定ユーザーを E メールで招待することを選択できます。[Manage QuickSight (QuickSight の管理)] ページの [Manage Users (ユーザーの管理)] 機能を選択し、E メールアドレスを入力して、ユーザーを Amazon QuickSight アカウントに参加するよう招待します。各ユーザーは Amazon QuickSight へのリンクが含まれる E メールを受信します。招待リンクを使用して、ユーザーは Amazon QuickSight でユーザー名とパスワードを設定します。ユーザーは、自己プロビジョニングを通じてアクセスをリクエストすることもできます。アクセスのリクエストの詳細については、「Amazon QuickSight のユーザーのプロビジョニング」を参照してください。

Active Directory に基づく Amazon QuickSight サブスクリプションには、Active Directory でプロビジョニングされたユーザーのみが含まれます。

ユーザーアカウントの詳細の表示

Amazon QuickSight と統合されたユーザーまたはグループを表示するには、次の手順を実行します。

  1. [Manage Users (ユーザーの管理)] を選択して、QuickSight ユーザーである人員に関する詳細を表示します。表示される情報には、以下が含まれます。

    • ユーザーネーム — 人員のユーザー名

    • E メール — このユーザー名に関連付けられている E メール

    • ロール — 人員のユーザー名が属するセキュリティコホート: 管理者作成者閲覧者

    • 最終アクティブ — このユーザーが QuickSight コンソールに最後にアクセスした日時 非アクティブなユーザーの場合は、User has no activity最終アクティブ ステータスです。

    この画面で、削除されたユーザーまたは非アクティブなユーザーを確認することもできます。

  2. ユーザー名を検索するには、検索ボックスにユーザー名の一部または全部、または E メールアドレスを入力します。検索では大文字と小文字は区別されず、ワイルドカードはサポートされていません。検索結果をクリアしてすべてのユーザー名を表示するには、検索入力を削除します。

  3. (オプション) Microsoft Active Directory を使用していて、適切な管理アクセス許可を持っている場合は、Amazon QuickSight と統合されたディレクトリグループを表示できます。

    [Manage groups (グループの管理)] を選択します。

  4. (オプション) グループを管理している場合は、表示される AWS サインインページで AWS または IAM の認証情報を入力します。

アクティブディレクトリユーザーアカウントの無効化

グループまたはユーザーアカウントを無効化すると、そのグループまたはユーザーの、分析やデータセットなどの Amazon QuickSight リソースへのアクセスが削除されます。ただし、所有するリソースは削除されず、SPICE 容量も解放されません。ユーザーを無効化した後、Amazon QuickSight アカウントからユーザーを削除することができます。ユーザーを削除すると、Amazon QuickSight は、ユーザーのリソースを削除するか、別のユーザーにリソースを転送するかのオプションを提供します。

ユーザーアカウントを個別に無効化するには、Amazon QuickSight に統合されているすべての Microsoft Active Directory ディレクトリグループからそのユーザーを削除します。Amazon QuickSight アカウントと統合されたグループを表示するには、ユーザーアカウントの詳細の表示 の手順を実行します。

後でユーザーアカウントを再度アクティブにする必要がある場合は、Amazon QuickSight にアクセスできるグループにユーザーを配置します。これにより、Amazon QuickSight およびそのユーザーアカウントに依然として関連付けられている既存のリソースに再びアクセスできます。

注記

ユーザーをグループ間で転送してアップグレードまたはダウングレードすることはできません。詳細については、エンタープライズユーザーアカウントの更新 を参照してください。

複数のユーザーアカウントを一度に有効または無効にするには、Amazon QuickSight との統合から 1 つ以上の Active Directory ディレクトリグループを追加または削除します。

重要

すべてのグループとユーザーを削除しても、リソースが削除されたり、Amazon QuickSight のサブスクリプションがキャンセルされたりすることはありません。

Amazon QuickSight から Active Directory ディレクトリグループを削除するには、次の手順を実行します。

  1. アプリケーションバーでユーザー名を選択してから、[Manage QuickSight (QuickSight の管理)] を選択します。

  2. [Manage Users (ユーザーの管理)] を選択します。

  3. [Manage groups (グループの管理)] を選択します。

  4. AWS サインインページで、AWS または IAM の認証情報を入力します。

  5. 削除するグループを [Administrator groups (管理者グループ)] または [User groups (ユーザーグループ)] セクションで見つけ、x の形の削除アイコンを選択します。

  6. [Manage users (ユーザーの管理)] 画面の [Deleted user (ユーザーの削除)] セクションで、無効化された各ユーザーを表示できます。このセクションは、[Active users this month (今月のアクティブなユーザー)] セクションの下にあります。

    ユーザーのリソースを転送するには、ユーザー名の横にある [Action (アクション)] の [x] ボタンをクリックします。そのユーザーのみが所有するリソースをどのように処理するかを確認するメッセージが表示されます。

    次のいずれかを選択します。

    • すべての孤立したリソースの所有権をこのアカウントの別のユーザーに移します。

    • すべての孤立したリソースを削除します。(これにより、ユーザーの SPICE 容量が解放されます)。

      警告

      このアクションは元に戻すことができません。

    どのアクションを選択しても、そのユーザーのみが所有するすべてのリソースに適用されます。ユーザーのリソースを転送すると、Amazon QuickSight は選択したユーザーにリソースを再割り当てします。これらのリソースの不要な重複は作成されません。

エンタープライズユーザーアカウントの更新

[Manage QuickSight (QuickSight の管理)] 画面の [Manage users (ユーザーの管理)] タブで作成者と管理者のユーザーをアップグレードまたはダウングレードできます。ディレクトリグループを使用している場合は、代わりにユーザーを適切なグループに移動できます。これを行うには、Amazon QuickSight の管理者権限と、適切な AWS アクセス許可の両方を持っている必要があります。この自動化された方法でユーザーアクセスをアップグレードまたはダウングレードするには、いくつかの制限があります。

作成者を閲覧者にダウングレードするには、ユーザーを削除してから閲覧者として再作成します。ユーザーの削除を選択すると、そのアセットを転送または削除するように求められます。ディレクトリグループを使用している場合は、代わりにユーザーを適切なグループに移動することもできます。別のグループに移動するだけで、管理者と作成者の間のやりとりのためにアクセス方法が変更されることはありません。

ユーザーの名前を変更するには、まず新しいユーザーを作成して元のユーザーを削除します。この方法を使用すると、アセットを直接ユーザーに戻すことができます。ディレクトリサービスを使用している場合は、一時的にアセットを別のユーザーに転送できます。次に、Active Directory で変更を加えます。次回ユーザーが Amazon QuickSight にサインインすると、新しいアカウントを作成するよう求められます。新しいアカウントを作成すると、そのアセットを所有しているユーザーはすべてのアセットを元に戻すことができます。

Amazon QuickSight でユーザーまたはグループを変更した場合、変更が反映されるまでに最大 5 分かかることがあります。このような変更の例を以下に示します。

  • ユーザーの削除

  • ユーザーの管理者から作成者への変更

  • グループメンバーの追加または削除

変更がシステム全体で有効になるまで 5 分間かかります。

エンタープライズユーザーアカウントの削除

Amazon QuickSight の Standard および Enterprise Edition の両方で、ユーザーアカウントの削除方法は同じです。Amazon QuickSight 管理者はユーザーアカウントを削除できます。ユーザーアカウントを削除するには、「ユーザーアカウントの削除」の手順を実行します。