Amazon QuickSightのグループ管理機能を使ってみた

はじめに

Amazon QuickSightには、ユーザをグループ単位で管理する機能があります。以前はCLIからのみ操作が可能だったのですが、現在はGUIから操作ができるようになっています。今回は実際にGUIでグループを操作してみました。

目次

グループの作成

グループの作成はQuickSightの管理画面から行うため、「管理者」ロールのユーザでQuickSightへログインし、管理画面へ移動します。

グループの管理を選択します。

「新しいグループ」をクリックします。

グループ名とグループの説明を入力し、「作成」をクリックします。
※グループの説明はあとから変更可能ですが、グループ名は変えることができないようなのでご注意ください。

グループが作成されました。

作成したグループについては、データセットの共有等で、共有先としてユーザの代わりに指定が可能になります。
今回は、後ほどグループ単位で権限が管理されていることを確認するため、予め作成済のダッシュボード「test dashboard」を、先ほど作成したグループ「testgroup」に共有しておきます。

 

グループへのユーザの追加・削除

グループの操作画面から、作成したグループへのユーザの追加・削除が可能です。

今回は「test」ユーザを「testgroup」グループに追加しました。

 

グループへの追加前、「test」ユーザから閲覧できるダッシュボードは一つもありませんでしたが、

「testgroup」グループはダッシュボード「test dashboard」を共有されているので、
グループへの追加後は「test」ユーザでダッシュボード「test dashboard」を閲覧可能になりました。

グループからのユーザの削除も、グループの操作画面から実施します。
対象のユーザについて、「削除」をクリックします。

削除後、「test」ユーザでQuickSightコンソールへログインしたところ、再び対象のダッシュボードを閲覧できない状態になっていることが確認できました。

 

グループの削除

QuickSightグループの削除については、現在でもQuickSightコンソール上からは実行ができず、AWS CLIで実施する必要があるようです。
せっかくなのでこちらも実施してみました。
削除は次のコマンドで実施します。

aws quicksight delete-group --aws-account-id accountid --namespace namespace --group-name groupname

引数で、AWSアカウントID、名前空間、削除対象のグループ名をそれぞれ指定します。
名前空間は、特に追加の名前空間を作成していなければ、デフォルトの名前空間「default」が使用されています。

実際にCloudShellからコマンドを実行して「testgroup」グループを実行してみます。

上記コマンド実行後、QuickSightコンソールからもグループが削除されたことを確認できました。

 

まとめ

QuickSightコンソールのGUIを使用してQuickSightユーザのグループの操作を実施してみました。QuickSightのグループ管理用のUIが提供されたのは今年の5月ですが、今後は削除もQuickSightコンソール上で実施できるようになるとより便利かと思いました。
なお、GUIでグループを操作するには、ユーザの種別が管理者ユーザであることに加え、いくつかIAM側の権限が必要になります。
AWS公式の下記ページにグループ管理者向けのIAMポリシーの例が紹介されていますので、ご参考ください。
https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-create-groups