IAMユーザーを使用してAmazon QuickSight用ユーザーアカウント作成する

2018.08.14

Amazon QuickSight のユーザーアカウントを追加する場合、GUI から操作する以外に、IAM ユーザーに自分自身の Amazon QuickSight ユーザーアカウントを作成させることもできます。

今回は、この自己プロビジョニングの方法を紹介します。

GUI からユーザーを追加する方法は次の過去記事を参照ください。

Amazon QuickSight: ユーザー管理やパーミッション設定について

やってみた

  • 管理者向け操作 : IAM ユーザーを作成
  • 利用者向け操作 : IAM ユーザーが QuickSight にアクセス

の2ステップがあります。

管理者向け操作 : IAM ユーザーを作成

まずは IAM ユーザーを作成します。

管理コンソール用 IAM ユーザーの作成

管理コンソールへのログインが前提となるため「AWS Management Console access」をチェックします。

一方、CLI/SDK の利用は無いため、「Programmatic access」はチェック不要です。

ポリシーの設定

「Attach existing policies directly」「Create policy」から独自のポリシーを作成します。

Policy For QuickSight User Provisioning

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QuickSightProvisionUser",
            "Effect": "Allow",
            "Action": [
                "quicksight:CreateReader",
                "quicksight:CreateUser"
            ],
            "Resource": "*"
        }
    ]
}

IAM ユーザーにこのポリシーを attach します。

利用者向け操作 : QuickSight にアクセス

作成した IAM ユーザーで QuickSight に登録します。

AWS 管理コンソールから QuickSight サイトにアクセス

作成した IAM ユーザーで AWS 管理コンソールにログインします。

次に、AWS サービスの一覧から QuickSight を探し、クリックします。

メールアドレスの登録

QuickSight 初回アクセス時には、メールアドレスの登録画面が表示されます。

ご自身のメールアドレスを入力して Continue を実行すれば、QuickSight ユーザーの登録完了です。メールの疎通フローは発生しません。

ユーザー登録が完了すると、QuickSight のトップ画面に遷移します。 以降は AMC の認証をもとに QuickSight にアクセスできます。

ユーザーの権限が不足している場合、次のようなエラーメッセージが表示されます。

IAM ユーザーの権限を見直してください。

QuickSight の管理者でユーザーを確認

QuickSight の管理者でログインし、Manage QuickSight → Manage users からユーザー一覧を確認すると AUTHOR ロールでユーザー追加されているのがわかります。

まとめ

IAM ユーザーに自分自身の Amazon QuickSight ユーザーアカウントを作成させる方法を紹介しました。

QuickSight 管理画面からユーザーを招待するアプローチは直感的ではあるものの API が外出されていないません。 ユーザー登録処理を自動化したい場合は、IAM ユーザーベースの方が分があるのではないでしょうか。

なお、スタンダード・エディションの場合、デフォルトで 100 アカウントまで作成可能です。

たくさんの QuickSight アカウントを管理したい場合は、エンタープライズ・エディションに切り替えた MicroSoft Active Directory 連携も検討ください。

参考