Amazon QuickSight Enterprise Edition でのアクティブディレクトリの使用
| 適用先: Enterprise Edition |
| 対象者: システム管理者 |
注記
IAM ID フェデレーションは、ID プロバイダーグループと Amazon QuickSight の同期をサポートしていません。
Amazon QuickSight Enterprise Edition は AWS Directory Service for Microsoft Active Directory と Active Directory Connector の両方をサポートします。
Amazon QuickSight の ID マネージャーになる新しいディレクトリを作成するには、AWS Managed Microsoft ADとも呼ばれるAWS Directory Service for Microsoft Active Directory を使います。これは AWS クラウド内の Active Directory ホストであり、Active Directory とほぼ同じ機能を提供します。現在、Amazon QuickSight でサポートされているすべての AWS リージョンで Active Directory に接続できます (アジアパシフィック (シンガポール) を除く)。ディレクトリを作成したら、Virtual Private Cloud (VPC) で使用します。詳細については、「VPC」を参照してください。
Amazon QuickSight に使用するディレクトリがすでに存在する場合は、Active Directory Connector を使用することができます。このサービスは、クラウドの情報をキャッシュせずに、ディレクトリリクエストを(他の AWS リージョン リージョンやオンプレミスにある) アクティブディレクトリに直接リダイレクトします。
AWS Managed Microsoft AD を使用したディレクトリの作成と管理に関するチュートリアルについては、AWS ナレッジセンターの「Amazon QuickSight で Microsoft Active Directory 用の AWS Directory Service を使用して、ユーザーを認証できますか?
ディレクトリを起動するために AWS Directory Service を使用する場合、AWS は、ドメインと同じ名前の組織単位 (OU) を作成します。また AWS は、その OU に対する管理者権限を委任された管理アカウントも作成します。Active Directory ユーザーとグループを使用して、OU 内にアカウント、グループ、ポリシーを作成できます。詳細については、「Directory Service 管理ガイド」の「AWS Managed Microsoft AD のベストプラクティス」を参照してください。
ディレクトリを作成したら、ユーザーに 3 つ以上のグループを作成して、Amazon QuickSight でそのディレクトリを使用します。
-
Amazon QuickSight 管理者— 管理者は、アカウント設定を変更したり、アカウントを管理したりできます。管理者は、追加の Amazon QuickSight ユーザーサブスクリプションや SPICE 容量の購入、または AWS アカウントの Amazon QuickSight へのサブスクリプションのキャンセルも行うことができます。
-
Amazon QuickSight 作成者 – Amazon QuickSight 作成者は、データソース、データセット、分析、ダッシュボードを作成できます。他の Amazon QuickSight ユーザーと分析およびダッシュボードを共有できます。
-
Amazon QuickSight 閲覧者 – 閲覧者は、別のユーザーが作成したダッシュボードを表示して操作することができます。
アクセスを追加または制限するには、IAM ポリシーを適用します。たとえば、IAM ポリシーを使用して、自分のサブスクライブをユーザーに許可することができます。
Amazon QuickSight Enterprise Edition をサブスクライブして、Active Directory を ID プロバイダーとして選択すると、AD グループを Amazon QuickSight に関連付けることができます。AD グループは、後で追加または変更することもできます。
