翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon QuickSight Enterprise Edition では、名前空間によってマルチテナンシーがサポートされています。QuickSight の名前空間は、クライアント、子会社、チームなどを整理するために使用する論理コンテナです。名前空間は次の目標達成に役立ちます。
-
QuickSight サブスクリプションのユーザーが共有コンテンツを検出し、他のユーザーと共有することを許可します。同時に、ある名前空間のユーザーが別の名前空間のユーザーを表示したり操作したりできないようにすることもできます。
-
AWS アカウントを追加しなくても、データを安全に分離し、多様なワークロードをサポートできます。データへのアクセスは、引き続き AWS セキュリティ機能によって厳密に制御されます。ユーザーは、リソースに対する適切なアクセス許可を持っている場合にのみ、アセット (データやダッシュボードなど) を表示できます。また、アクセス許可を持つユーザーが、名前空間以外のユーザーにコンテンツを誤って公開することもありません。詳細については、AWS Amazon QuickSight のセキュリティを参照してください。
-
データフローおよび使用状況レポートを、名前空間ごとに整理してモニタリングできます。データとレポートを名前空間別に分類することで、コストとセキュリティ分析を簡素化できます。
-
ユーザーを名前空間に登録した後で、管理上の複雑さやオーバーヘッドが増加することはありません。
-
名前空間は にまたがるように設計されているため AWS リージョン、ユーザーが別の にサインインしても、使用制限は変更されません AWS リージョン。
現在、名前空間には以下の制限事項があります。
-
カスタム名前空間 (デフォルトの名前空間ではないもの) は、IAM フェデレーテッドシングルサインオンユーザーのみがアクセスできます。
-
以下をサポートする必要がある場合は、カスタム名前空間の代わりにデフォルトの名前空間を使用します。
-
QuickSight アカウントを IAM アイデンティティセンターと統合します。QuickSight アカウントと IAM アイデンティティセンターの統合の詳細については、「IAM アイデンティティセンターで Amazon QuickSight アカウントを設定する」を参照してください。
-
パスワードベースのログイン
-
認証情報ベースのアクティブディレクトリログイン
-
-
ある名前空間から別の名前空間にユーザーを直接転送することはできません。この操作の一部またはすべてをプログラムで実行することができます。詳細については、「Amazon QuickSight API reference」(Amazon QuickSight API リファレンス) を参照してください。各 API 操作ページの下部には、他言語の SDK による同じオペレーションへのリンクのリストがあります。利用可能な SDK を確認するには、「AWS ご利用開始のためのリソースセンター」の「SDK およびツールキット」を参照してください。
-
名前空間は、ユーザーとアクセス許可を分離するのに役立ちますが、アセットの共有には役立ちません。ダッシュボード、データセット、分析は、さまざまな名前空間のユーザーと共有できます。デフォルトでは、ユーザーは同じ名前空間に存在する項目にはデフォルトでアクセスできませんが、アセットが共有されると特定のアセットにアクセスできます。
既存の がない場合、 AWS アカウント または QuickSight にサインアップする必要がある場合は、次のガイドラインを読み、 の該当する手順に従ってくださいAmazon QuickSight サブスクリプションへのサインアップ。
-
Enterprise Edition にサインアップします。
-
接続方法を求められたら、[ロールベースのフェデレーション (IAM)] を選択します。現在、 名前空間は、ウェブ ID フェデレーションで AWS Identity and Access Management (IAM) ロールを使用するお客様のみをサポートしています。詳細については、「サードパーティーの ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
-
サインアップのプロセスを完了します。
-
QuickSight の CreateNamespace API オペレーションを使用して、1 つ以上の名前空間を作成します。
-
ユーザーの追加を開始するには、まず、IAM と QuickSight を使用した IdP フェデレーションのセットアップ の手順に従います。次に、RegisterUser API オペレーションを使用して、適切な名前空間にユーザーを追加します。
すでに Standard Edition にサインアップしている場合は、サブスクリプションを Enterprise Edition に簡単にアップグレードできます。アップグレードを実行する担当者は、管理者権限を持つ QuickSight ユーザーである必要があります。詳細については、「Amazon QuickSight サブスクリプションの Standard Edition から Enterprise Edition へのアップグレード」を参照してください。
Enterprise Edition のサブスクリプションを一定期間使用している場合は、ユーザーを名前空間に移行することもできます。QuickSight にサインアップしてユーザーを追加すると、すべてデフォルトの名前空間に配置されます。すべてのユーザーは、互いに直接対話し、互いにデータとダッシュボードを共有することができます。ユーザーを互いに分離するには、1 つ以上の追加の名前空間を作成します。
重要
QuickSight アセットとリソース (データセット、データソース、ダッシュボード、分析など) は、名前空間の外部に存在します。これらは、リソースのアクセス許可が付与されているユーザーのみに表示されます。
名前空間を実装するには、次の QuickSight API オペレーションを使用します。
名前空間は、以下のリージョンではサポートされていません。
-
af-south-1アフリカ (ケープタウン) -
ap-southeast-3アジアパシフィック (ジャカルタ) -
eu-south-1欧州 (ミラノ) -
eu-central-2欧州 (チューリッヒ)
注記
をインストールする必要がある場合は AWS CLI、「 ユーザーガイド」の「 CLI AWS バージョン 2 のインストール」を参照してください。 AWS Command Line Interface
ユーザを名前空間に追加するには、[RegisterUser] API オペレーションを使用します。各名前空間には、完全に独立したユーザーセットがあります。ユーザー ARN には、次の例に示すように、名前空間を区別するための修飾子が含まれています。
-
QuickSight は、これらの 2 つのエンティティを異なるユーザーと見なします。
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
-
-
QuickSight は、これらの 2 つのエンティティを同じユーザーとみなします。
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123
-
RegisterUser を使用する際は、各ユーザーのアクセスレベルを選択します。ユーザーのユーザー名がセキュリティコホートのいずれかに割り当てられると、コンソールおよび API へのアクセスが制限されます。QuickSight を使用するユーザーは、次のように単一のアクセスレベルを持つことができます。
-
閲覧者アクセス、ダッシュボード読み込みのみの受信者用
-
作成者アクセス、アナリストおよびダッシュボードデザイナー用
-
管理者アクセス、QuickSight 管理者用
ある名前空間の既存のユーザーを別の名前空間に移行するには
ある名前空間の既存のユーザーを別の名前空間に移行するには、次の手順に従います。
-
QuickSight ユーザーおよびグループ API オペレーションを使用して、別の名前空間に転送するユーザーを特定します。詳細については、「Amazon QuickSight API reference」(Amazon QuickSight API リファレンス)の「API Operations to Controlling Access」(アクセスを制御するための API 操作) を参照してください。
-
RegisterUser API オペレーションを使用して、新しい名前空間にユーザーを作成します。名前空間内では、ユーザー名は一意です。
名前空間ユーザーが新しい で QuickSight コンソールまたは API の使用を開始した場合でも AWS リージョン、そのユーザーは追加した名前空間に制限されます。各名前空間は、アイデンティティプロバイダーのユーザーディレクトリを表します。そのため、QuickSight AWS リージョン がセットアップされているプライマリから発信されます。ただし、ユーザーディレクトリは AWS アカウント内でグローバルに伝達されるため、 AWS リージョン 名前空間にはユーザーが QuickSight を使用している からアクセスできます。
-
新しい名前空間ユーザーが、必要とするアセットとリソースのアクセス許可を特定するには、各種のアセット (ダッシュボード、データセットなど) に関連付けられた QuickSight API オペレーションを使用します。詳細については、「Amazon QuickSight API reference」(Amazon QuickSight API リファレンス)の「QuickSight API operations to control assets」(アセットを制御するための QuickSight API 操作) を参照してください。
たとえば、ダッシュボードに焦点を当てているとします。を使用して
ListDashboards、 AWS アカウント内のすべてのダッシュボード IDsを一覧表示できます。次に、これらのダッシュボードにアクセスできるユーザーまたはグループを指定するために、ListDashboardsによって生成された結果セットでDescribeDashboardPermissionsを使用します。ダッシュボードの特定のバージョンを識別する必要がある場合は、ListDashboardVersionsを使用します。また、データソースおよびデータセット API オペレーションを使用して、ダッシュボードで使用されるデータの場所に関する情報を収集することもできます。詳細については、「Amazon QuickSight API reference」(Amazon QuickSight API リファレンス)の「QuickSight API operations to control data resources」(データリソースを制御するための QuickSight API 操作) を参照してください。API 応答出力のフィルタリングの詳細については、使用言語の SDK ドキュメントを参照してください。 AWS Command Line Interface (AWS CLI) の詳細については、「 AWS Command Line Interface ユーザーガイド」の「 CLI AWS からのコマンド出力の制御」を参照してください。
-
QuickSight アセットおよびリソースで、ソース名前空間ユーザーが各アセットに対して持っているアクセス許可をコピーします。次に、
UpdateDashboardPermissionsなどを使用して、ターゲットにする名前空間内のユーザーに同じアクセス許可を適用します。各アセットタイプには、ユーザーが使用する必要のあるアクセス許可を制御するための独自の API オペレーションの個別セットがあります。詳細については、「Amazon QuickSight API reference」(Amazon QuickSight API リファレンス)の「 QuickSight API operations for asset and resource permissions」(アセットとリソース許可のための QuickSight API 操作) を参照してください。 -
ユーザーとアクセス許可の追加が終了したら、ユーザー受け入れテストにしばらく時間をかけることをお勧めします。これにより、すべてのユーザーが新しい名前空間を正常に使用できるようになります。また、新しい名前空間ですべてのアセットとリソースにアクセスできるようになります。
元のユーザー名が不要になったことを確認したら、元の名前空間でそのユーザーのアクセス許可を非推奨にすることができます。最後に、ユーザーの準備ができたら、ソース名前空間の未使用のグループとユーザー名を削除します。これは、ユーザーが以前にアクティブだった各 AWS リージョン で行います。
