[アップデート] Amazon QuickSight の IAM Identity Center 統合機能がアカウントインスタンスでもサポートされました

いわさです。

Amazon QuickSight は新しくセットアップする際に、IAM Identity Center と統合することができます。
この機能を使うと、IAM Identity Center のユーザーやグループで権限管理しつつ、QuickSight へのアクセス権を利用者に提供することができます。2023 年 8 月ごろにこの機能は提供されました。

また、IAM Identity Center は以前は AWS Organizations の管理アカウントから有効化して組織全体で使うことが前提となっていたのですが、2023 年 11 月ごろにメンバーアカウントごとに IAM Identity Center の一部機能を使うことが出来るアカウントインスタンスという概念が導入されました。
これにより、のっぴきならない事情によって AWS Organization が利用できない場合でも、Amazon CodeCatalyst に個人所有の AWS Builder ID ではなく組織が管理するユーザーを割り当て管理することが出来るようになりました。

しかし、これまで IAM Identity Center アカウントインスタンスと連携出来るアプリケーションは Amazon CodeCatalyst のみで、上記の QuickSight における IAM Identity Center 対応は、IAM Identity Center 組織インスタンスでしか使えませんでした。

これが、今回のアップデートで IAM Identity Center アカウントインスタンスをサポートしました。
IAM Identity Center のアカウントインスタンス対応アプリケーションにはまだ記載はなく、AWS アップデートアナウンスでも流れていませんが、みなさんもブックマークしている QuickSight 公式ドキュメント更新履歴にはアップデート内容が追加されています。

上記ドキュメントの記述を発見したので今回実際にアカウントインスタンスを QuickSight に統合する部分を試してみましたので紹介します。

やってみましょう

まず、次のように事前に IAM Identity Center のアカウントインスタンスをメンバーアカウントでセットアップしておきます。

QuickSight で有効化する際に IAM Identity Center グループと QuickSight ロールを紐づける必要があるので、グループも作成しておきましょう。

続いて QuickSight エンタープライズエディションの新規セットアップを開始します。
注意点として、本日時点で既存の QuickSight アカウントに対して IAM Identity Center をネイティブ統合することはできません。また、QuickSight スタンダードエディションの場合も IAM Identity Center 統合機能は使えません。

エンタープライズエディションの場合は次のように認証方法を選択することが出来るので、ここで「AWS IAM アイデンティティセンターを使用」を選択します。
そうすると、従来はあとはリージョンが自動選択されて QuickSight 名を入力するだけだったのですが、今回のアップデート後は、次のように IAM Identity Center インスタンスを組織インスタンスかアカウントインスタンスか選択することが出来るようになっています。

「IAM アイデンティティセンターのアカウントインスタンスに接続」を選択してセットアップを進めました。

セットアップ後、QuickSight のサインイン画面からサインインを試みようとするとリダイレクトが発生します。

IAM Identity Center 認証画面に遷移しましたね。良いですね。
その後アカウントインスタンスの QuickSight ロールが割り当てられているグループでサインインすると無事 QuickSight にアクセスすることができました。

アクセスポータル画面からももちろんアクセス出来る

IAM Identity Center のポータル画面にアクセスすると、アクセスポータル画面で統合されたアプリケーションがアイコン表示されます。
アカウントインスタンスの場合でも、次のように QuickSight も表示されます。

アイコンを選択すると、そのままフェデレーションされ QuickSight ポータルまで遷移することができます。良いですね。

注意点

アカウントインスタンスを採用する際の注意点なのですが、アカウントインスタンスを組織インスタンスにアップグレードすることは出来ません。
また、QuickSight としてもアカウントインスタンスを関連付けした後に、アカウントインスタンスを無効化したり組織インスタンスを統合しなおすといったことは現状出来ません。QuickSight アカウントを一度削除して作り直す必要があります。

アカウントインスタンスの採用にあたってはとりあえずではなく、計画性を持って採用しましょう。

さいごに

本日は Amazon QuickSight が IAM Identity Center のアカウントインスタンスとのネイティブ統合をサポートしたので実際に確認してみました。

今回のアップデートで触れていないですが、どうやらアカウントインスタンスは Redshift や Athena、EMR Studio などもサポートしたようで、要は次の「信頼された ID 伝播」機能がアカウントインスタンスでも使えるようになったようです。このあたりはまた試してみたいと思います。

また、QuickSight 単独で見ても、IAM Identity Center で認証管理出来るので、例えば MFA を強制したいとかパスワード要件を設定したいとか、QuickSight でできなかった認証部分のカスタマイズを IAM Identity Center に頼ることが出来るようになります。

アカウントインスタンスとしては Amazon Managed Grafana と Amazon CodeWhisperer のほうが要望の声は大きそうですが、どんどん対応サービス増えて欲しいですね。

2024.04.16 追記

What's New でもアナウンスが出ました。
アップデートメリットは概ね私が考えていた内容とあってそうです。