IAMユーザーを使用してAmazon QuickSight用ユーザーアカウント作成する
Amazon QuickSight のユーザーアカウントを追加する場合、GUI から操作する以外に、IAM ユーザーに自分自身の Amazon QuickSight ユーザーアカウントを作成させることもできます。
今回は、この自己プロビジョニングの方法を紹介します。
GUI からユーザーを追加する方法は次の過去記事を参照ください。
やってみた
- 管理者向け操作 : IAM ユーザーを作成
- 利用者向け操作 : IAM ユーザーが QuickSight にアクセス
の2ステップがあります。
管理者向け操作 : IAM ユーザーを作成
まずは IAM ユーザーを作成します。
管理コンソール用 IAM ユーザーの作成
管理コンソールへのログインが前提となるため「AWS Management Console access」をチェックします。
一方、CLI/SDK の利用は無いため、「Programmatic access」はチェック不要です。
ポリシーの設定
「Attach existing policies directly」の「Create policy」から独自のポリシーを作成します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "QuickSightProvisionUser",
"Effect": "Allow",
"Action": [
"quicksight:CreateReader",
"quicksight:CreateUser"
],
"Resource": "*"
}
]
}
IAM ユーザーにこのポリシーを attach します。
利用者向け操作 : QuickSight にアクセス
作成した IAM ユーザーで QuickSight に登録します。
AWS 管理コンソールから QuickSight サイトにアクセス
作成した IAM ユーザーで AWS 管理コンソールにログインします。
次に、AWS サービスの一覧から QuickSight を探し、クリックします。
メールアドレスの登録
QuickSight 初回アクセス時には、メールアドレスの登録画面が表示されます。
ご自身のメールアドレスを入力して Continue を実行すれば、QuickSight ユーザーの登録完了です。メールの疎通フローは発生しません。
ユーザー登録が完了すると、QuickSight のトップ画面に遷移します。 以降は AMC の認証をもとに QuickSight にアクセスできます。
ユーザーの権限が不足している場合、次のようなエラーメッセージが表示されます。
IAM ユーザーの権限を見直してください。
QuickSight の管理者でユーザーを確認
QuickSight の管理者でログインし、Manage QuickSight → Manage users からユーザー一覧を確認すると AUTHOR ロールでユーザー追加されているのがわかります。
まとめ
IAM ユーザーに自分自身の Amazon QuickSight ユーザーアカウントを作成させる方法を紹介しました。
QuickSight 管理画面からユーザーを招待するアプローチは直感的ではあるものの API が外出されていないません。 ユーザー登録処理を自動化したい場合は、IAM ユーザーベースの方が分があるのではないでしょうか。
なお、スタンダード・エディションの場合、デフォルトで 100 アカウントまで作成可能です。
たくさんの QuickSight アカウントを管理したい場合は、エンタープライズ・エディションに切り替えた MicroSoft Active Directory 連携も検討ください。
