QuickSight のユーザーとグループの作成・削除方法
コーヒーが好きな emi です。
QuickSight では以下二種類のユーザーを作成することができます。
- IAM ユーザー(や IAM ロール、IAM Identity Center ユーザー等)に紐づいた QuickSight ユーザー
- QuickSight 独自のユーザー
さらに、作成したユーザーはグループとして管理できます。QuickSight には「共有フォルダ」という、ユーザーごとにアクセス可能なアセットを分離する機能があるのですが、この権限分離の際にグループを用いるのが便利です。
今回は QuickSight ユーザーとグループの作成・削除手順を備忘として記載します。
前提情報
- AdministratorAccess 権限のある IAM ユーザーで QuickSight アカウントをセットアップ済み
項目 | 設定値 |
---|---|
認証方法 | IAM フェデレーティッド ID と QuickSight で管理されたユーザーを使用する |
QuickSight リージョン | Asia Pacific (Tokyo) |
QuickSight アカウント名 | (任意の QuickSight アカウント名) |
IAM ロール | QuickSight で管理されるロールを使用する (デフォルト) |
QuickSight で管理されるロールを使用する (デフォルト) | 今回は QuckSight ユーザーとグループを作成するだけなので AWS リソースへの権限は無くても大丈夫です |
オプションのアドオン | チェック無し(チェックすると課金されるので注意してください) |
IAM ユーザーと紐づいた QuickSight 管理者ユーザーで操作していきます。
1. QuickSight ユーザーの作成
まず、IAM ユーザーに紐づかない QuickSight 独自のユーザーを 1 つ作成します。以下のようなイメージで、「AlejandroRosalez」という名前のユーザーを 1 つ作成します。
ちなみに以降のユーザー名のサンプルはこちらのドキュメントから一部お借りしています。
QuickSight コンソール右上の人型アイコンから「QuickSight を管理」をクリックします。
左メニュー「ユーザーを管理」を選択していることを確認し、「ユーザーを招待」をクリックします。
以下のようなユーザー追加画面が出ます。
追加したいユーザー名を入力し、右の「+」ボタンを押下します。
下部にユーザー名の行が追加されます。
追加したユーザーが受信可能なメールアドレスを入力し、ロールを選択します。今回は閲覧者にしました。IAM ユーザーは「いいえ」で、「招待」をクリックします。
「これらのユーザーは QuickSight に招待されています」と表示されます。「閉じる」で閉じます。
1-1. 作成した QuickSight ユーザーでログイン
先ほどユーザー作成の際に入力したメールアドレス宛に「QuickSight への参加の招待」という件名で招待メールが届いています。青いボタンを押下して招待を受け入れます。
パスワードを設定します。
QuickSight コンソールに遷移しましたが、管理者ユーザーでログインしっぱなしだったので、現在のユーザーが管理者ユーザーのままになっていました。
一旦、管理者ユーザーからサインアウトします。
再度以下のリンクから QuickSight コンソールにログインします。
QuickSight アカウント名を求められるので入力します。
ちなみに https://quicksight.aws.amazon.com/sn/start?directory_alias=<QuickSight アカウント名>
のように、最初から QuickSight アカウント名が入力済みの状態のリンクをブックマークしておくと、QuickSight アカウント名を毎回入力しなくて済みます。
QuickSight アカウント名を入力したら、ユーザー名を入力して「次へ」をクリックします。
パスワードを入力しサインインします。
作成した「AlejandroRosalez」ユーザーで QuickSight コンソールにログインできました。
2. IAM ユーザーと紐づいた QuickSight ユーザーを作成
続いて IAM ユーザーと紐づいた「MarthaRivera」と言う名前の QuickSight ユーザーを作成します。以下のようなイメージです。
QuickSight で管理者ユーザーにログインし直します。「QuickSight を管理」で先ほどと同様「ユーザーを管理」を選択して「ユーザーの招待」をクリックします。
ユーザー名を入力し「+」をクリックします。IAM ユーザーの項目を「はい」にします。
「作成」をクリックしましたが、「招待されていません」となってしまいました。理由を見ると「この名前の IAM ユーザーはいません」となっています。どうやら同名の IAM ユーザーを先に作成する必要があるようです。
「閉じる」で一旦閉じます。
IAM コンソールから、「MarthaRivera」IAM ユーザーを作成しました。IAM ポリシーは一旦なにも付与せずに作成しています。
もう一度 QuickSIght コンソールから「IAM ユーザー」を「はい」にして QuickSight ユーザーを作成します。
今度は招待できました。「閉じる」でこの画面は閉じます。
2-1. IAM ユーザーと紐づいた QuickSight ユーザーでログイン
先ほど同様招待メールが届いています。先ほどと違い「 AWS IAM の認証情報を使用してサインインし」という文言が追加されています。青いボタンを押下し招待を受け入れます。
ユーザー名を入力し「次へ」をクリックします。
AWS のサインインコンソールに遷移しました。作成しておいた IAM ユーザー「MarthaRivera」のパスワードを入力してサインインします。
IAM ユーザーを作成したばかりなので、パスワードの変更を求められました。
IAM ユーザーと紐づいた QuickSight ユーザー「MarthaRivera」で QuickSight コンソールにサインインできました。
ちなみに IAM ユーザーに必要な権限があれば、IAM ユーザーで AWS コンソールにログインし、QuickSight コンソールに遷移しようとする際に自分で QuickSight ユーザーをセットアップする「自己プロビジョニング」ということもできます。以下のブログを参照ください。
3. 複数の QuickSight ユーザーをまとめて作成
複数の QuickSight ユーザーをまとめて作成することもできます。今回は「NikhilJayashankars」と「[email protected]
」という 2 ユーザーをまとめて作成してみます。以下のようなイメージです。
ユーザー作成画面で以下のようにカンマ区切りで追加したいユーザー名を並べます。
NikhilJayashankars,[email protected]
「+」ボタンを押下します。
以下のように複数行追加されます。メールアドレスをそのままユーザー名にしようとすると、E メールにも同じメールアドレスが入力されました。
各ユーザーが受信可能なメールアドレスを入力してロールを設定し、招待します。
招待メールが送信されました。あとは先ほどと同様の手順で招待を受け入れれば OK です。
ここまでで、以下のように 5 ユーザーが見えるようになりました。「アクション」から、パスワードのリセットや招待メールの再送、ユーザーの削除もできます。
4. グループの作成
作成したユーザーはグループに分けて管理できます。
QuickSight には「共有フォルダ」という、ユーザーごとにアクセス可能なアセットを分離する機能があるのですが、この権限分離の際にグループを用いるのが便利です。
1 つの名前空間に最大 10,000 個のグループを作成できます。
以下のように「Group1」というグループを1 つ作成し、ユーザーを追加してみます。
「QuickSight の管理」から「グループの管理」をクリックします。
グループを初めて作成する際は以下のような画面になります。「新しいグループ」をクリックします。
グループ名とグループの説明を入力し、「作成」をクリックします。ここで設定したグループ名は後から変更できないので注意してください。
5. グループにユーザーを追加
グループができると以下のような画面になります。画面右の「ユーザーの追加」をクリックします。
グループに追加したいユーザー名を入力すると、候補に出てきます。「追加」をクリックします。
ユーザーをグループに追加できました。
同じ手順でもう 1 ユーザー追加しました。
グループ一覧はこんな感じです。
グループ名は変更できませんが、グループの説明は変更できるようです。
6. ユーザーの削除
「ユーザーを管理」で、削除したいユーザーの「アクション」でゴミ箱マークをクリックすると、ユーザーを削除できます。ユーザーに紐づいたアセットがある場合、ユーザーと一緒に削除するか、別のユーザーに委任するかが選べるようなのですが、今回は作成したユーザーで何のアセットも作成していないので、以下のような画面になりました、
削除したユーザーは一覧からなくなります。
グループからもいなくなりました。
以下のような状態になりました。
7. グループの削除
QuickSight グループの削除は QuickSight コンソール上からできません。 なんと…
CloudShell を開き、AWS CLI で削除します。
実行コマンド例
aws quicksight delete-group \
--group-name Group1 \
--aws-account-id 123456789012 \
--namespace default
▼実行結果例
[cloudshell-user@ip-10-130-35-145 ~]$ aws quicksight delete-group \
> --group-name Group1 \
> --aws-account-id 123456789012 \
> --namespace default
{
"Status": 200,
"RequestId": "3d9145f3-2612-420b-b8bc-df872658bd77"
}
[cloudshell-user@ip-10-130-35-145 ~]$
コマンドを実行すると、グループを削除できました。
ちなみにユーザーがグループの中に所属していても、グループは削除できました。
失敗談
QuickSight ユーザー名に余白が含まれるとエラーになりました。
以上です。
参考