QuickSight のユーザーとグループの作成・削除方法

QuickSight のユーザーとグループの作成・削除方法

QuickSight では「IAM ユーザーに紐づいた QuickSight ユーザー」と「QuickSight 独自のユーザー」の二種類のユーザーを作成でき、グループとして管理できます。QuickSight には「共有フォルダ」というユーザーごとにアクセス可能なアセットを分離する機能があるのですが、この権限分離の際にグループを用いるのが便利です。QuickSight のユーザーとグループの作成方法を画像付きで案内します。
Clock Icon2024.09.16

コーヒーが好きな emi です。

QuickSight では以下二種類のユーザーを作成することができます。

  • IAM ユーザー(や IAM ロール、IAM Identity Center ユーザー等)に紐づいた QuickSight ユーザー
  • QuickSight 独自のユーザー

さらに、作成したユーザーはグループとして管理できます。QuickSight には「共有フォルダ」という、ユーザーごとにアクセス可能なアセットを分離する機能があるのですが、この権限分離の際にグループを用いるのが便利です。

今回は QuickSight ユーザーとグループの作成・削除手順を備忘として記載します。

前提情報

  • AdministratorAccess 権限のある IAM ユーザーで QuickSight アカウントをセットアップ済み
項目 設定値
認証方法 IAM フェデレーティッド ID と QuickSight で管理されたユーザーを使用する
QuickSight リージョン Asia Pacific (Tokyo)
QuickSight アカウント名 (任意の QuickSight アカウント名)
IAM ロール QuickSight で管理されるロールを使用する (デフォルト)
QuickSight で管理されるロールを使用する (デフォルト) 今回は QuckSight ユーザーとグループを作成するだけなので AWS リソースへの権限は無くても大丈夫です
オプションのアドオン チェック無し(チェックすると課金されるので注意してください)

IAM ユーザーと紐づいた QuickSight 管理者ユーザーで操作していきます。

emiki_qs_user_group_43

1. QuickSight ユーザーの作成

まず、IAM ユーザーに紐づかない QuickSight 独自のユーザーを 1 つ作成します。以下のようなイメージで、「AlejandroRosalez」という名前のユーザーを 1 つ作成します。
emiki_qs_user_group_44

ちなみに以降のユーザー名のサンプルはこちらのドキュメントから一部お借りしています。
https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/restrict-access-to-a-data-set-using-row-level-security.html

QuickSight コンソール右上の人型アイコンから「QuickSight を管理」をクリックします。
emiki_qs_user_group_1

左メニュー「ユーザーを管理」を選択していることを確認し、「ユーザーを招待」をクリックします。
emiki_qs_user_group_2

以下のようなユーザー追加画面が出ます。
emiki_qs_user_group_3

追加したいユーザー名を入力し、右の「+」ボタンを押下します。
emiki_qs_user_group_4

下部にユーザー名の行が追加されます。
emiki_qs_user_group_5

追加したユーザーが受信可能なメールアドレスを入力し、ロールを選択します。今回は閲覧者にしました。IAM ユーザーは「いいえ」で、「招待」をクリックします。
emiki_qs_user_group_6

「これらのユーザーは QuickSight に招待されています」と表示されます。「閉じる」で閉じます。
emiki_qs_user_group_7

1-1. 作成した QuickSight ユーザーでログイン

https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/signing-in.html

先ほどユーザー作成の際に入力したメールアドレス宛に「QuickSight への参加の招待」という件名で招待メールが届いています。青いボタンを押下して招待を受け入れます。
emiki_qs_user_group_8

パスワードを設定します。
emiki_qs_user_group_9

QuickSight コンソールに遷移しましたが、管理者ユーザーでログインしっぱなしだったので、現在のユーザーが管理者ユーザーのままになっていました。
emiki_qs_user_group_10

一旦、管理者ユーザーからサインアウトします。
emiki_qs_user_group_11

再度以下のリンクから QuickSight コンソールにログインします。

QuickSight アカウント名を求められるので入力します。
emiki_qs_user_group_12

ちなみに https://quicksight.aws.amazon.com/sn/start?directory_alias=<QuickSight アカウント名> のように、最初から QuickSight アカウント名が入力済みの状態のリンクをブックマークしておくと、QuickSight アカウント名を毎回入力しなくて済みます。
https://community.amazonquicksight.com/t/quicksight-quicksight/30467

QuickSight アカウント名を入力したら、ユーザー名を入力して「次へ」をクリックします。
emiki_qs_user_group_13

パスワードを入力しサインインします。
emiki_qs_user_group_14

作成した「AlejandroRosalez」ユーザーで QuickSight コンソールにログインできました。
emiki_qs_user_group_15

2. IAM ユーザーと紐づいた QuickSight ユーザーを作成

続いて IAM ユーザーと紐づいた「MarthaRivera」と言う名前の QuickSight ユーザーを作成します。以下のようなイメージです。
emiki_qs_user_group_45

QuickSight で管理者ユーザーにログインし直します。「QuickSight を管理」で先ほどと同様「ユーザーを管理」を選択して「ユーザーの招待」をクリックします。
emiki_qs_user_group_16

ユーザー名を入力し「+」をクリックします。IAM ユーザーの項目を「はい」にします。
emiki_qs_user_group_17

emiki_qs_user_group_18

「作成」をクリックしましたが、「招待されていません」となってしまいました。理由を見ると「この名前の IAM ユーザーはいません」となっています。どうやら同名の IAM ユーザーを先に作成する必要があるようです。
「閉じる」で一旦閉じます。
emiki_qs_user_group_19

IAM コンソールから、「MarthaRivera」IAM ユーザーを作成しました。IAM ポリシーは一旦なにも付与せずに作成しています。
emiki_qs_user_group_20

もう一度 QuickSIght コンソールから「IAM ユーザー」を「はい」にして QuickSight ユーザーを作成します。
emiki_qs_user_group_21

今度は招待できました。「閉じる」でこの画面は閉じます。
emiki_qs_user_group_22

2-1. IAM ユーザーと紐づいた QuickSight ユーザーでログイン

先ほど同様招待メールが届いています。先ほどと違い「 AWS IAM の認証情報を使用してサインインし」という文言が追加されています。青いボタンを押下し招待を受け入れます。
emiki_qs_user_group_23

ユーザー名を入力し「次へ」をクリックします。
emiki_qs_user_group_24

AWS のサインインコンソールに遷移しました。作成しておいた IAM ユーザー「MarthaRivera」のパスワードを入力してサインインします。
emiki_qs_user_group_25

IAM ユーザーを作成したばかりなので、パスワードの変更を求められました。
emiki_qs_user_group_26

IAM ユーザーと紐づいた QuickSight ユーザー「MarthaRivera」で QuickSight コンソールにサインインできました。
emiki_qs_user_group_27

ちなみに IAM ユーザーに必要な権限があれば、IAM ユーザーで AWS コンソールにログインし、QuickSight コンソールに遷移しようとする際に自分で QuickSight ユーザーをセットアップする「自己プロビジョニング」ということもできます。以下のブログを参照ください。
https://dev.classmethod.jp/articles/quicksight-iam-provisioning/

3. 複数の QuickSight ユーザーをまとめて作成

複数の QuickSight ユーザーをまとめて作成することもできます。今回は「NikhilJayashankars」と「[email protected]」という 2 ユーザーをまとめて作成してみます。以下のようなイメージです。
emiki_qs_user_group_46

ユーザー作成画面で以下のようにカンマ区切りで追加したいユーザー名を並べます。

NikhilJayashankars,[email protected]

「+」ボタンを押下します。
emiki_qs_user_group_28

以下のように複数行追加されます。メールアドレスをそのままユーザー名にしようとすると、E メールにも同じメールアドレスが入力されました。
emiki_qs_user_group_29

各ユーザーが受信可能なメールアドレスを入力してロールを設定し、招待します。
emiki_qs_user_group_30

招待メールが送信されました。あとは先ほどと同様の手順で招待を受け入れれば OK です。
emiki_qs_user_group_31

ここまでで、以下のように 5 ユーザーが見えるようになりました。「アクション」から、パスワードのリセットや招待メールの再送、ユーザーの削除もできます。
emiki_qs_user_group_32

4. グループの作成

作成したユーザーはグループに分けて管理できます。
QuickSight には「共有フォルダ」という、ユーザーごとにアクセス可能なアセットを分離する機能があるのですが、この権限分離の際にグループを用いるのが便利です。
1 つの名前空間に最大 10,000 個のグループを作成できます。

以下のように「Group1」というグループを1 つ作成し、ユーザーを追加してみます。
emiki_qs_user_group_42

「QuickSight の管理」から「グループの管理」をクリックします。
emiki_qs_user_group_33

グループを初めて作成する際は以下のような画面になります。「新しいグループ」をクリックします。
emiki_qs_user_group_34

グループ名とグループの説明を入力し、「作成」をクリックします。ここで設定したグループ名は後から変更できないので注意してください。
emiki_qs_user_group_35

5. グループにユーザーを追加

グループができると以下のような画面になります。画面右の「ユーザーの追加」をクリックします。
emiki_qs_user_group_36

グループに追加したいユーザー名を入力すると、候補に出てきます。「追加」をクリックします。
emiki_qs_user_group_37

ユーザーをグループに追加できました。
emiki_qs_user_group_38

同じ手順でもう 1 ユーザー追加しました。
emiki_qs_user_group_39

グループ一覧はこんな感じです。
emiki_qs_user_group_40

グループ名は変更できませんが、グループの説明は変更できるようです。
emiki_qs_user_group_41

6. ユーザーの削除

「ユーザーを管理」で、削除したいユーザーの「アクション」でゴミ箱マークをクリックすると、ユーザーを削除できます。ユーザーに紐づいたアセットがある場合、ユーザーと一緒に削除するか、別のユーザーに委任するかが選べるようなのですが、今回は作成したユーザーで何のアセットも作成していないので、以下のような画面になりました、
emiki_qs_user_group_47

削除したユーザーは一覧からなくなります。
emiki_qs_user_group_49

グループからもいなくなりました。
emiki_qs_user_group_50

以下のような状態になりました。
emiki_qs_user_group_48

7. グループの削除

QuickSight グループの削除は QuickSight コンソール上からできません。 なんと…
https://community.amazonquicksight.com/t/topic/31393

CloudShell を開き、AWS CLI で削除します。
https://awscli.amazonaws.com/v2/documentation/api/latest/reference/quicksight/delete-group.html

実行コマンド例

aws quicksight delete-group \
  --group-name Group1 \
  --aws-account-id 123456789012 \
  --namespace default

▼実行結果例

[cloudshell-user@ip-10-130-35-145 ~]$ aws quicksight delete-group \
>   --group-name Group1 \
>   --aws-account-id 123456789012 \
>   --namespace default
{
    "Status": 200,
    "RequestId": "3d9145f3-2612-420b-b8bc-df872658bd77"
}
[cloudshell-user@ip-10-130-35-145 ~]$ 

コマンドを実行すると、グループを削除できました。
emiki_qs_user_group_51

ちなみにユーザーがグループの中に所属していても、グループは削除できました。

失敗談

QuickSight ユーザー名に余白が含まれるとエラーになりました。

emiki_qs_user_group_52

以上です。

参考

https://docs.aws.amazon.com/ja_jp/quicksight/latest/APIReference/API_CreateGroup.html

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.