Amazon QuickSight へのアクセスをアクセス元で制限する場合の対応方法
テクニカルサポートノート。サービス名:Amazon QuickSight, アクセス制限
困っていた内容
Amazon QuickSight を使用したデータの可視化を検討しています。扱うデータに機密情報が含まれるためアクセスを制限したいと考えていますが、どのような手段が可能でしょうか。
どう対応すればいいの?
Amazon QuickSight へのアクセスに関して Amazon QuickSight 側でアクセス元を制限する機能はありません。ただし、他の機能と組み合わせることで実質的に制限をかけることが可能です。
1. Amazon QuickSight へのログインにシングルサインオンを設定する
Amazon QuickSight へのログインにシングルサインオンを設定 [1] することで、ユーザーは設定された ID プロバイダーを介して Amazon QuickSight にサインインする必要があります。
そのため、例えば当該 ID プロバイダーへのログインを社内ネットワークの CIDR からのみに制限することで、実質的に Amazon QuickSight へのアクセス元を当該 CIDR に制限することが可能です。
2. IAM ユーザにアクセス制限を行い、Amazon QuickSight の操作権限をもった IAM ロールに SwitchRole させる
特定の IAM ユーザー X には、特定のアクセス元 IP アドレスからのみ、特定のロール Y へ SwitchRole を行うことができる権限を与えます。
また、特定のロール Y には、Amazon QuickSight 操作用の権限を与えます。
これにより、特定の IAM ユーザー X が特定の IP アドレスからアクセスした場合のみ Amazon QuickSight 操作用の権限を持つロール Y に切り替えることが可能となり、実質的に Amazon QuickSight を操作できる権限について IP アドレスを制限することが可能となる [2]。
