分離された名前空間によるマルチテナンシーのサポート

Amazon QuickSight Enterprise Edition は、名前空間によるマルチテナンシーをサポートしています。 QuickSight 名前空間は、クライアント、イメージング、チームなどの整理に使用できる論理コンテナです。名前空間は次の目標達成に役立ちます。

• QuickSight サブスクリプションのユーザーに、共有コンテンツの検出と他のユーザーとの共有を許可できます。同時に、ある名前空間のユーザーが別の名前空間のユーザーを表示したり操作したりできないようにすることもできます。

• AWS アカウントを追加しなくても、データを安全に分離し、さまざまなワークロードをサポートできます。データへのアクセスは、引き続きAWSセキュリティ機能によって厳密に制御されます。ユーザーは、リソースに対する適切なアクセス許可を持っている場合にのみ、アセット (データやダッシュボードなど) を表示できます。また、アクセス許可を持つユーザーが、名前空間以外のユーザーにコンテンツを誤って公開することもありません。詳細については、AWS Amazon ンのセキュリティ QuickSightを参照してください。

• データフローおよび使用状況レポートを、名前空間ごとに整理してモニタリングできます。データとレポートを名前空間別に分類することで、コストとセキュリティ分析を簡素化できます。

• ユーザーを名前空間に登録した後で、管理上の複雑さやオーバーヘッドが増加することはありません。

• 名前空間は AWS リージョン にまたがるように設計されているため、ユーザーが別の AWS リージョン にサインインした場合でも使用制限に変化はありません。

現在、名前空間には以下の制限事項があります。

• カスタム名前空間 (デフォルトの名前空間ではないもの) は、IAM フェデレーテッドシングルサインオンユーザーのみがアクセスできます。

• 以下をサポートする必要がある場合は、カスタム名前空間の代わりにデフォルトの名前空間を使用します。

  • QuickSight アカウントを IAM Identity Center と統合します。 QuickSight アカウントと IAM Identity Center の統合の詳細については、「」を参照してくださいIAM QuickSight アイデンティティセンターで Amazon アカウントを設定する。

  • パスワードベースのログイン

  • 認証情報ベースのアクティブディレクトリログイン

• ある名前空間から別の名前空間にユーザーを直接転送することはできません。この操作の一部またはすべてをプログラムで実行することができます。詳細については、「Amazon QuickSight API リファレンス」を参照してください。各 API 操作ページの下部には、他言語の SDK による同じオペレーションへのリンクのリストがあります。利用可能な SDKs「入門用リソースセンター」のSDKs とツールキット」を参照してください。 AWS

既存の がない場合、AWS アカウントまたは にサインアップする必要がある場合は QuickSight、次のガイドラインを読み、「」の該当する手順に従ってくださいAmazon QuickSight サブスクリプションにサインアップする。

• Enterprise Edition にサインアップします。

• 接続方法を求められたら、[ロールベースのフェデレーション (IAM)] を選択します。現在、名前空間では、ウェブ ID フェデレーションで AWS Identity and Access Management (IAM) ロールを使用するお客様のみをサポートしています。詳細については、「サードパーティーの ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• サインアップのプロセスを完了します。

• API QuickSight CreateNamespaceオペレーションを使用して、1 つ以上の名前空間を作成します。

• ユーザーの追加を開始するには、まず、IAM を使用して IdP フェデレーションをセットアップし、 QuickSight の手順に従います。次に、 RegisterUser API オペレーションを使用して、適切な名前空間にユーザーを追加します。

すでに Standard Edition にサインアップしている場合は、サブスクリプションを Enterprise Edition に簡単にアップグレードできます。アップグレードを実行するユーザーは、管理者権限を持つ QuickSight ユーザーである必要があります。詳細については、「Amazon QuickSight サブスクリプションを Standard Edition から Enterprise Edition にアップグレードする」を参照してください。

Enterprise Edition のサブスクリプションを一定期間使用している場合は、ユーザーを名前空間に移行することもできます。にサインアップ QuickSight してユーザーを追加すると、それらはすべてデフォルトの名前空間に存在します。すべてのユーザーは、互いに直接対話し、互いにデータとダッシュボードを共有することができます。ユーザーを互いに分離するには、1 つ以上の追加の名前空間を作成します。

重要

QuickSight データセット、データソース、ダッシュボード、分析などを含む アセットとリソースは、任意の名前空間の外部に存在します。それらは、リソースのアクセス許可が付与されているユーザーのみに表示されます。

名前空間を実装するには、次の QuickSight API オペレーションを使用します。

• CreateNamespace

• DescribeNamespace

• ListNamespaces

• DeleteNamespace

注記

をインストールする必要がある場合はAWS CLI、「 ユーザーガイド」のAWS「 CLI バージョン 2 のインストール」を参照してください。 AWS Command Line Interface

名前空間にユーザーを追加するには、 RegisterUser API オペレーションを使用します。各名前空間には、完全に独立したユーザーセットがあります。ユーザー ARN には、次の例に示すように、名前空間を区別するための修飾子が含まれています。

• QuickSight は、これら 2 つのエンティティを異なる人と見なします。

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

• QuickSight は、これら 2 つのエンティティを同じユーザーと見なします。

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

を使用する場合はRegisterUser、ユーザーごとにアクセスレベルを選択します。ユーザーのユーザー名がセキュリティコホートのいずれかに割り当てられると、コンソールおよび API へのアクセスが制限されます。を使用しているユーザーは、次のように単一のアクセスレベルを持つ QuickSight ことができます。

• 閲覧者アクセス、ダッシュボード読み込みのみの受信者用

• 作成者アクセス、アナリストおよびダッシュボードデザイナー用

• 管理者アクセス、 QuickSight 管理者用

ある名前空間の既存のユーザーを別の名前空間に移行するには

1. ユーザーとグループの API オペレーションを使用して、別の名前空間に転送する QuickSight ユーザーを特定します。詳細については、「Amazon QuickSight API リファレンス」の「アクセスを制御するための API オペレーション」を参照してください。

2. RegisterUser API オペレーションを使用して、新しい名前空間にユーザーを作成します。名前空間内では、ユーザー名は一意です。

   名前空間ユーザーが新しい で QuickSight コンソールまたは API の使用を開始した場合でもAWS リージョン、そのユーザーは追加した名前空間に制限されます。各名前空間は、アイデンティティプロバイダーのユーザーディレクトリを表します。そのため、 が設定されAWS リージョンているプライマリ から発信 QuickSight されます。ただし、ユーザーディレクトリはAWSアカウント内でグローバルに反映されるため、AWS リージョン名前空間にはユーザーが を使用しているすべての からアクセスできます QuickSight。

3. 新しい名前空間ユーザーが必要とするアセットとリソースのアクセス許可を特定するには、各タイプのアセット (ダッシュボード、データセットなど) に関連付けられた QuickSight API オペレーションを使用します。詳細については、「Amazon QuickSight QuickSight API リファレンス」の「アセットを制御する API オペレーション」を参照してください。

   たとえば、ダッシュボードに焦点を当てているとします。を使用してListDashboards、AWSアカウント内のすべてのダッシュボード IDsを一覧表示できます。次に、これらのダッシュボードにアクセスできるユーザーまたはグループを指定するために、ListDashboards によって生成された結果セットで DescribeDashboardPermissions を使用します。ダッシュボードの特定のバージョンを識別する必要がある場合は、ListDashboardVersions を使用します。また、データソースおよびデータセット API オペレーションを使用して、ダッシュボードで使用されるデータの場所に関する情報を収集することもできます。詳細については、「Amazon QuickSight QuickSight API リファレンス」の「データリソースを制御する API オペレーション」を参照してください。

   API 応答出力のフィルタリングの詳細については、使用言語の SDK ドキュメントを参照してください。AWS Command Line Interface (AWS CLI) の詳細については、「 AWS Command Line Interfaceユーザーガイド」の「 CLI AWS からのコマンド出力の制御」を参照してください。

4. QuickSight アセットとリソースについては、ソース名前空間ユーザーが各アセットに対して持つアクセス許可をコピーします。次に、UpdateDashboardPermissions などを使用して、ターゲットにする名前空間内のユーザーに同じアクセス許可を適用します。各アセットタイプには、ユーザーが使用する必要のあるアクセス許可を制御するための独自の API オペレーションの個別セットがあります。詳細については、「Amazon QuickSight QuickSight API リファレンス」の「アセットおよびリソースのアクセス許可の API オペレーション」を参照してください。

5. ユーザーとアクセス許可の追加が終了したら、ユーザー受け入れテストにしばらく時間をかけることをお勧めします。これにより、すべてのユーザーが新しい名前空間を正常に使用できるようになります。また、新しい名前空間ですべてのアセットとリソースにアクセスできるようになります。

   元のユーザー名が不要になったことを確認したら、元の名前空間でそのユーザーのアクセス許可を非推奨にすることができます。最後に、ユーザーの準備ができたら、ソース名前空間の未使用のグループとユーザー名を削除します。この操作は、ユーザーが以前にアクティブだった各 AWS リージョン で行います。