QuickSight の管理者ロールと作成者ロールは閲覧者ロールに変更できない
2025.01.27コーヒーが好きな emi です。
QuickSight はアカウント有効化時に認証方法でデフォルトの「IAM フェデレーティッド ID と QuickSight で管理されたユーザーを使用する」を選択している場合、以下二種類のユーザーを作成することができます。
- IAM ユーザー(や IAM ロール、IAM Identity Center ユーザー等)に紐づいた QuickSight ユーザー
- QuickSight 独自のユーザー
▼ IAM の権限と紐づいた QuickSight ユーザーと、IAM の権限を持たない QuickSight のみのユーザーが存在するイメージ
ユーザーの作方法は以下ブログもご参照ください。
QuickSight には、QuickSight のアセットに対する権限を設定する IAM とは異なる QuickSight 独自のロールがあります。
QuickSight 独自のロール
QuickSight では以下のようなロールが 6 種類用意されており、アセットに対して実行できるアクションを制限できます。
| 1 | Admin | 管理者 | QuickSight ユーザーとアカウントレベルの設定を管理し、アカウントの SPICE キャパシティーと年間サブスクリプションを購入できるユーザー。QuickSight のすべての作成機能を利用でき、必要に応じてアカウントを Standard Edition から Enterprise Edition にアップグレードできる。 請求上、QuickSight の作成者と管理者はどちらも「作成者」として認識される。 |
| 2 | Author | 作成者 | データソースへの接続、分析の作成、ダッシュボードの作成ができるユーザー。パラメータや計算フィールドといった QuickSight の高度な機能を利用してインタラクティブなダッシュボードを作成し、ダッシュボードをアカウント内の別のユーザーに公開できる。 |
| 3 | Reader | 閲覧者 | インタラクティブなダッシュボードを利用するユーザー。ウェブブラウザやモバイルアプリケーションから共有されたダッシュボードの閲覧、データのフィルタリング、詳細情報へのドリルダウン、CSV ファイルでのデータエクスポートを行う。閲覧者には SPICE 容量は割り当てられない。 |
| 4 | Admin Pro | 管理者プロ | 管理者のすべての機能が含まれているほか、自然言語によるダッシュボードの構築、Q トピックの作成、エグゼクティブダッシュボードの概要、生成データストーリーの構築と共有の機能を含む Amazon Q の生成 BI が追加されている。 |
| 5 | Author Pro | 著者プロ | 作成者のすべての機能が含まれているほか、自然言語によるダッシュボードの構築、Q トピックの作成、エグゼクティブダッシュボードの概要、生成データストーリーの構築と共有の機能を含む Amazon Q の生成 BI が追加されている。 |
| 6 | Reader Pro | リーダープロ | 閲覧者のすべての機能に加え、エグゼクティブダッシュボードの概要や生成データストーリーを構築および共有する機能など、Amazon Q の生成 BI 機能が含まれる。 |
これらの QuickSight 独自のロールは途中から変更できるものとできないものがあり、いつも忘れてしまうのでスクリーンショットとともにブログに残しておきます。
結論
- ADMIN(PRO)ロール、AUTHOR(PRO)ロールは READER(PRO)ロールに変更できない
- ADMIN(PRO)ロール、AUTHOR(PRO)ロールを READER(PRO)ロールに変更したい場合はユーザーを作成し直す必要がある
- READER(PRO)ロールはすべてのロールに権限変更できる
画面を確認する
管理者からの変更
管理者ロールのユーザーでロールを変更しようとすると、「閲覧者」、「閲覧者プロ」が出てきません。
update-user コマンドで閲覧者ロールに変更しようとしても、エラーになります。
aws quicksight update-user \
--user-name test-user2 \
--aws-account-id 123456789012 \
--namespace default \
--email <メールアドレス> \
--role READER
▼実行結果
[cloudshell-user@ip-10-134-15-110 ~]$ aws quicksight update-user \
> --user-name test-user2 \
> --aws-account-id 123456789012 \
> --namespace default \
> --email <メールアドレス> \
> --role READER
An error occurred (InvalidParameterValueException) when calling the UpdateUser operation: You cannot downgrade a user role.Operation failed, or partially succeeded. AWS account ID: 123456789012, Namespace: default, UserName: test-user2
[cloudshell-user@ip-10-134-15-110 ~]$
作成者への変更は成功しました。
aws quicksight update-user \
--user-name test-user2 \
--aws-account-id 123456789012 \
--namespace default \
--email <メールアドレス> \
--role AUTHOR
▼実行結果
[cloudshell-user@ip-10-134-15-110 ~]$ aws quicksight update-user \
> --user-name test-user2 \
> --aws-account-id 123456789012 \
> --namespace default \
> --email <メールアドレス> \
> --role AUTHOR
{
"Status": 200,
"User": {
"Arn": "arn:aws:quicksight:ap-northeast-1:123456789012:user/default/test-user2",
"UserName": "test-user2",
"Email": "<メールアドレス>",
"Role": "AUTHOR",
"IdentityType": "IAM",
"Active": true,
"PrincipalId": "federated/iam/AIDA45YZHQXPRGORLAAWD"
},
"RequestId": "1e42d9c3-a1bc-4998-951a-b35f4183e9d2"
}
[cloudshell-user@ip-10-134-15-110 ~]$
▼作成者に変更できた図
作成者からの変更
作成者のロールを変更しようとしても、「閲覧者」、「閲覧者プロ」が出てきません。
閲覧者からの変更
閲覧者ロールを変更しようとすると、すべてのロールが選択できます。
QuickSight コミュニティでも該当の事象のやり取りがあります。
おわりに
質問やご要望については画面下部のお問い合わせ「DevelopersIO について」からご連絡ください。記事に関してお問い合わせいただけます。
参考
![[祝] Amazon S3 Tablesが東京リージョンで利用可能になりました! #AWSreInvent](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-066beb776f0c57ce64255fadcc072f60/82b2f6687ab5774cd73f9176dcac7855/amazon-s3)
