Amazon QuickSight のカスタムアクセス制限の設定方法

データアナリティクス事業本部の武田です。 今日は、QuickSightのAUTHOR以上の権限を制限する「カスタムアクセス制限」について説明します。

AUTHORって何？

QuickSightには３種類の権限があり、種類によってライセンス料金が変わります。

料金について詳しく知りたい方は、「Amazon QuickSight の料金」をご確認ください。

カスタムアクセス制限とは？

AUTHOR以上の権限を持ったユーザーであればダッシュボードを作れます。ダッシュボードを作ると一言で言っても、さまざまな機能を使います。デフォルトのAUTHOR権限でできることが幅広いため、細かく分けたい時に使えるのが「カスタムアクセス制限」になります。

下記がカスタマイズ可能な内容です。

例えば、Aさんはデータソースもデータセットも作っていいけれど、Bさんは分析を作るだけにしたい（データソースやデータセットは編集させたくない）という場合です。 AさんにはデフォルトのAUTHOR権限を登録し、Bさんには「データソースやデータセットの編集権限を制限した」カスタムアクセス制限を登録することで実現可能です。

カスタムアクセス制限を設定できる条件

設定するのに必要な条件は、下記３つです。

AWS Identity and Access Management (IAM) フェデレーティッドユーザーを使用すること

他のユーザーのデフォルトのセキュリティコホートを超える許可を付与することはできません。たとえば、閲覧者アクセス権限を持つユーザーに、ダッシュボードの編集許可を付与することはできません。

許可をカスタマイズするには、"quicksight:*CustomPermissions" を使用する許可を持つ QuickSight 管理者である必要があります。

引用元：Amazon QuickSight コンソールへのアクセスのカスタマイズ

解説すると

ということです。

カスタムアクセス制限を設定してみる

設定手順は下記の通りです。

【事前準備】IAMユーザーを用意

カスタムアクセス制限を登録

ユーザーにカスタムアクセス制限を登録する

先ほど紹介した、「データソースやデータセットの編集権限を制限した」カスタムアクセス制限を具体例として説明します。

事前準備

IAMユーザーを用意しておきます。すでに登録されている場合は、そのユーザー名とメールアドレスをメモしておいてください。

画面でカスタムアクセス制限を登録する

まずは、どんな制限をするのかを登録します。

QuickSightの右上の人マーク→QuickSightの管理→ユーザーを管理→アクセス許可を管理から編集画面に進みます。

登録する名前は半角です。この名前はグループ名だと思ってください。ここではデータセットを作成したり編集したりする権限を制限するチェックをいれて、名前は「restrict-datasets」としました。

CLIで、カスタムアクセス制限をユーザーに登録する

さきほど作ったカスタムアクセス制限へ、ユーザーを紐付けます。この作業はCLIでしかできません。私はCloudShellを使って登録しました。

aws quicksight register-user --iam-arn arn:aws:iam::672842958462:user/takeda-quicksight-dev \
--identity-type IAM \
--user-role AUTHOR \
--custom-permissions-name restrict-datasets \
--email takeda.junko@classmethod.jp \
--aws-account-id 672842958462 \
--namespace default \

引用元→コマンドプロンプトでカスタム権限プロファイルを割り当てまたは変更するには

下記は実行結果です。

この登録に成功すると、管理者権限でQuickSightのユーザー画面を見ると、アクセス許可の列に表示されます。

カスタムアクセス制限を設定した結果

通常のAUTHOR権限を持ったユーザーの場合

カスタムアクセス制限をしたユーザーの場合

データセットの作成・編集権限がないことが確認できました。

ふりかえり

カスタムアクセス制限で、Authorの権限を制限することができました。現在は、ユーザー単位にCLI登録するしかないのですが、今後、グループで登録できるようになったり、画面で登録できるようになったりするともっと便利になりそうです。これからのQuickSightに期待したいと思います。