IAM Identity Center 統合した Amazon QuickSight で Q in QuickSight を有効化する

IAM Identity Center 統合した Amazon QuickSight で Q in QuickSight を有効化する

#Amazon QuickSight
#Amazon Q in QuickSight
#AWS IAM Identity Center
#AWS
いわさ

いわさ

facebook logohatena logotwitter logo
Clock Icon2025.07.17

いわさです。

1週間ほど前に Amazon Q in QuickSight が東京リージョンでもついに GA しました。

https://dev.classmethod.jp/articles/q-in-quicksight-ga-tokyo/

東京リージョン GA 前からご相談頂くことはあったので、気になっている方も多かったのではないでしょうか。東京リージョン GA を機に利用する方も増えてくるかもしれません。

私も検証環境で有効化しようと思ったのですが、IAM Identity Center を有効化している関係で AWS 公式ドキュメントの手順だと有効化に迷うシーンがありました。
IAM Identity Center に慣れている方であれば「こうやって有効化するのかな?」という想像がつきそうですが、初見だと迷う方もいるかもなと思ったのでブログで残しておきます。

Amazon Q in QuickSight の有効化方法

Q in QuickSight を有効化するには、ユーザーのロールを「プロ」ロールへ切り替える必要があります。

  1. Open the QuickSight console.
  2. Choose the user icon at the top right, and then choose Manage QuickSight.
  3. Choose Manage users to open the Manage Users page.
  4. To change the role of an existing user, locate that user on the Manage Users table and choose the role that you want to grant them from the Role dropdown. The image below shows the Manage users table with the Role dropdown opened.

https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html

この時、非 IAM Identity Center 環境ではドキュメントに記載のとおりユーザーごとにプロロールを選択することで設定可能です。

998856AB-62F6-4783-B163-0B9B32EEF68D_1_105_c.jpeg

しかし、IAM Identity Center 環境の場合ユーザーごとのロール変更機能がありません。
IAM Identity Center で設定したグループごとに設定されるためです。

B16EEEF8-6D21-46C6-8B8D-7F2120BBB96F_1_105_c.jpeg

IAM Identity Center 環境ではグループごとにプロロールを設定する形となる

調べてみたのですが、結論としては IAM Identity Center 統合中はユーザー単位でのロール設定が出来ないのでプロロール用に IAM Identity Center グループを割り当て、それを IAM Identity Center 統合中のみ使用できるロールグループの管理機能から選択してプロロールをグループ単位で割り当てる必要があります。

QuickSight 管理メニューの「ユーザーを管理」から「ロールグループの管理」を選択します。

DC8673F0-4A12-4954-9DE3-773B4FDECAE8_1_105_c.jpeg

実際に設定したことはなかったのですが、確かに初期セットアップの際にオプションでプログループの選択も可能でした。これのことだったか。
私の環境では通常の管理者グループと閲覧者グループのみを設定していたので、プログループは設定されていませんね。

28B8531B-140D-4500-8A0D-F99E5D4F6E88_1_105_c.jpeg

今回は hoge0713admin というグループには一人しかユーザーが存在していないので良いのですが、このグループに複数人存在していた場合、この後の作業によってその人数分プロロールが付与される形になります。

hoge0713admin グループを管理者グループだけでなく、管理者プログループへも追加しました。(管理者プログループへの追加のみでも OK)

97A4F579-0D6B-4611-B6C4-5CBF8ACB9B03_1_105_c.jpeg

「価格を管理」メニューから Q in QuickSight の有効化状況を確認できるのですが、本日時点でこの画面は反映されるまでタイムラグがあります。管理者プログループの追加後も 30分〜1時間程度は以下の状態でした。

1BE7B58A-E240-4745-9395-72D7CC45F2C9.png

しかし、ユーザー一覧を API で確認してみると、先程まで管理者グループに所属していたユーザーに管理者プロロールが割り当てされていることが確認できると思います。

% aws quicksight list-users  --aws-account-id 123456789012 --region ap-northeast-1 --profile hogeadmin --namespace default
{
    "UserList": [
        {
            "Arn": "arn:aws:quicksight:ap-northeast-1:123456789012:user/default/hoge0713user2",
            "UserName": "hoge0713user2",
            "Email": "iwasa.takahito+hoge0713user2@classmethod.jp",
            "Role": "READER",
            "IdentityType": "IAM_IDENTITY_CENTER",
            "Active": true,
            "PrincipalId": "17948ad8-a0b1-7006-2be1-ee10a8cfe438"
        },
        {
            "Arn": "arn:aws:quicksight:ap-northeast-1:123456789012:user/default/hoge0713admin",
            "UserName": "hoge0713admin",
            "Email": "iwasa.takahito+hoge0713admin@classmethod.jp",
            "Role": "ADMIN_PRO",
            "IdentityType": "IAM_IDENTITY_CENTER",
            "Active": true,
            "PrincipalId": "47248a68-90c1-7027-5521-840a5de83db7"
        },
        {
            "Arn": "arn:aws:quicksight:ap-northeast-1:123456789012:user/default/hoge0713user1",
            "UserName": "hoge0713user1",
            "Email": "iwasa.takahito+hoge0713user1@classmethod.jp",
            "Role": "READER",
            "IdentityType": "IAM_IDENTITY_CENTER",
            "Active": true,
            "PrincipalId": "57946a28-c061-70cf-88e1-622fc676a153"
        }
    ],
    "Status": 200,
    "RequestId": "709f3cd7-751b-4b56-a467-3a212f98acd8"
}

そして QuickSight のコンソール画面を見ると、シナリオメニューが追加されていることに気がつくはずです。

DF39E348-96AC-46C8-9952-6E5894E9AA93_1_105_c.jpeg

管理者プロに変更される前は次のようにシナリオメニューが存在しない状態でした。

36B2114E-7C8A-4BF5-B80F-EF076E009298.png

これで無事 Q in QuickSight が有効化されたことになります。
あとは数十分から1時間程度待つと、管理画面の有効化状況の表示も次のように変わるはずです。

39653C75-2DD4-4CCD-92F5-ADF5C580C53A.png

さいごに

本日は IAM Identity Center 統合した Amazon QuickSight で Q in QuickSight を有効化してみました。

IAM Identity Center 統合中はユーザー個別に設定が出来ないので、IAM Identity Center グループの設計に気をつけましょう。意図しないユーザーにプロロールを付与してしまう場合があります。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] Amazon Q in QuickSight の Q&A トピック で Custom Instructions が指定できるようになりました

[アップデート] Amazon Q in QuickSight の Q&A トピック で Custom Instructions が指定できるようになりました

User avatar
いわさ
2025.07.15
[アップデート] Amazon QuickSight が Athena データソースで IAM Identity Center の Trusted Identity Propagation (TIP) がサポートされました

[アップデート] Amazon QuickSight が Athena データソースで IAM Identity Center の Trusted Identity Propagation (TIP) がサポートされました

User avatar
いわさ
2025.07.14
[登壇レポート] 第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~「QuickSight SPICE の効果的な運用戦略~S3 + Athena 構成での実践ノウハウ~」という内容で登壇してきました #cloudgirl #jawsug

[登壇レポート] 第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~「QuickSight SPICE の効果的な運用戦略~S3 + Athena 構成での実践ノウハウ~」という内容で登壇してきました #cloudgirl #jawsug

User avatar
emi
2025.07.13
QuickSight から S3 を参照した際に「MANIFEST_NO_FILES_FOUND」エラーになった時の対処法

QuickSight から S3 を参照した際に「MANIFEST_NO_FILES_FOUND」エラーになった時の対処法

User avatar
すながわ
2025.07.10
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.