Amazon QuickSightのユーザー管理とアクセス管理について考えてみる

Transcript

1. Amazon QuickSightのユーザー管理とアクセス管理 について考えてみる NRIネットコム TECH AND DESIGN STUDY#21 2024年1月30日 NRIネットコム株式会社

   デジタルイノベーション事業本部 クラウド事業推進部 大林 優斗

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. Amazon QuickSightとはどんなサービス？

   02 Amazon QuickSightのユーザー管理方法 03 Amazon QuickSightの権限について 04 Amazon QuickSightのアセットへのアクセス管理について 05 まとめ 06 自己紹介 01

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   大林 優斗 自己紹介 ⚫ 氏名：大林 優斗 ⚫ 趣味：テニス、サウナ(人が少ない時間帯) ⚫ 経歴 • 2022年 4月 NRIネットコム株式会社 新卒入社 • 2022年 8月 ITSデザイン事業部に配属 • 2023年 4月 クラウド事業推進部に異動 • ～現在 AWSを活用したシステムの設計・開発 ◼ AWS認定資格

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon QuickSightとはどんなサービス？

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon QuickSightとは ◼ AWSが提供するBIツールであり、アドホックにデータを分析するのに役立つ ◼ 特徴 ⚫ サーバレスなサービス ⚫ 低コストから運用ができる (従量課金制) Amazon QuickSightとはどんなサービス？ ⚫ アプリケーションへの組み込み ⚫ 多様なデータソースへとの統合 ⚫ MLインサイト ⚫ ユーザー管理(IAM、SSO、AD連携) AWSコンソール

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon QuickSightの構造 Amazon QuickSightとはどんなサービス？ Amazon QuickSight データソース SPICE オンプレミス データセット 分析とダッシュボード ⚫ MySQL ⚫ PostgreSQL ⚫ CSV … AWS ⚫ Amazon RedShift ⚫ Amazon Athena ⚫ Amazon Simple Storage Service (Amazon S3) … SaaS ⚫ Salesforce ⚫ Jira ⚫ ServiceNow …

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon QuickSightのユーザー管理方法

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   3つのユーザー管理方法 ◼ Emailアドレス管理 ⚫ メールアドレスでのユーザー管理 ⚫ 小規模な運用に適している →規模が大きくなると運用負荷が増加 ◼ AWS IAM Identity Centerを使用した管理 ⚫ IAMを使用したユーザー管理 ⚫ SAML 2.0によるフェデレーションとSSO ⚫ 中規模以上の環境での運用に適している ◼ Active Directoryとの連携 ⚫ Microsoft Active Directoryとの連携 ⚫ AWS Managed Microsoft ADの必要性 Amazon QuickSightのユーザー管理方法 AWS IAM Identity Center Amazon QuickSight AWS Cloud User Amazon QuickSight AWS Cloud User AWS Directory Service

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon QuickSightの権限管理について

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    権限の種類 ◼ 管理者 (Admin) ◼ QuickSightのすべての側面にアクセスできる ◼ ユーザーやSPICE容量の管理が可能 ◼ 他のユーザータイプ（AuthorとReader）の権限もある ◼ 作成者 (Author) ◼ データソースの定義やデータセットの作成が可能 ◼ ダッシュボードの作成や共有が可能 ◼ 閲覧者 (Reader) ◼ ダッシュボードの閲覧が可能 Amazon QuickSightの権限管理について AWSコンソール

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    カスタムアクセス許可 ◼ カスタムアクセス制限を設定できる条件 ◼ 制限対象のユーザーにはIAMユーザーが必要（QuickSightユーザーには適応できない） ◼ カスタムアクセス制限の設定をするには、ADMIN(管理者)権限が必要（CustomPermissionsを持っている） ◼ ユースケース例：AUTHOR(作成者)以上の権限を持つユーザーの権限範囲を絞る場合 Amazon QuickSightの権限管理について 制限したい権限を選択する AWSコンソール

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    カスタムアクセス許可 ◼ 既存のユーザーに対して作成したカスタムアクセス許可を関連付ける ◼ 実行結果 Amazon QuickSightの権限管理について aws quicksight update-user ¥ --user-name ユーザー名¥ --role 権限名 ¥ --custom-permissions-name カスタムアクセス許可名 ¥ --email メールアドレス ¥ --aws-account-id アカウントID ¥ --namespace default ¥

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    カスタムアクセス許可 ◼ AWSコンソール画面からカスタムアクセス許可をユーザーに関連付けられたことが確認できる Amazon QuickSightの権限管理について AWSコンソール

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon QuickSightのアセットへのアクセス管理について

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    共有フォルダ ◼ QuickSightの共有フォルダは、ダッシュボードやデータセットなどを他のユーザーと共有するための機能 Amazon QuickSightのアセットへのアクセス管理について 作成者 閲覧者 B 閲覧者 A 共有フォルダA Amazon QuickSight 共有フォルダB 共有フォルダC フォルダ作成

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    グループを使用したアクセス管理 ◼ グループ：効率的なアクセス許可の管理に活用できる →共有フォルダにユーザーごとの追加が不要になる Amazon QuickSightのアセットへのアクセス管理について 作成者 閲覧者 A 共有フォルダA Amazon QuickSight 共有フォルダB 共有フォルダC フォルダ作成 閲覧者 B 閲覧者 C 閲覧者 D グループA グループB

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    共有フォルダの作成 Amazon QuickSightのアセットへのアクセス管理について ◼作成したアセットや分析結果を共有フォルダで共有できる AWSコンソール AWSコンソール

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    制限された共有フォルダ ◼ 共有フォルダと制限された共有フォルダの違い 個人情報などの機密性の高いデータを扱う場合に使用すると効果的 Amazon QuickSightのアセットへのアクセス管理について アクション 共有フォルダ 制限された共有フォルダ 既存のアセットをフォルダに追加することができる 〇 ✕ 共有フォルダ内にあるアセットを使用して作成したアセットを共有 フォルダ外に作成することができる 〇 ✕ 共有フォルダ外にあるアセットを使用して作成したアセットを共有 フォルダ内に作成することができる 〇 ✕ 制限された共有フォルダを作成するにはCLIを使用する必要がある ✕ 〇

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    制限された共有フォルダの作成 ◼ 東京リージョンで作成してみる Amazon QuickSightのアセットへのアクセス管理について AWSコンソール “FolderType”:”RESTRICTED”

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    名前空間 ◼ 名前空間を分離することでセキュアなアクセス権限管理が可能になる Amazon QuickSightのアセットへのアクセス管理について 管理者 デフォルト 人事部 作成者 閲覧者 フォルダ 営業部 作成者 閲覧者 フォルダ 総務部 作成者 閲覧者 フォルダ Amazon QuickSight

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    名前空間の作成 ◼ 名前空間の作成 Amazon QuickSightのアセットへのアクセス管理について AWSコンソール

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    名前空間のデメリット ◼ 名前空間を分離すればセキュアになるが運用負荷が増加する Amazon QuickSightのアセットへのアクセス管理について 管理者 デフォルト テナントA 作成者 閲覧者 フォルダ テナントB 作成者 閲覧者 フォルダ テナントB 作成者 閲覧者 フォルダ Amazon QuickSight ・ ・ ・ ・

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    行レベルのセキュリティ ◼ 機能：ユーザーに対してデータ内における行レベルでのアクセスを制御することができる ⚫ 行レベルのセキュリティ Amazon QuickSightのアセットへのアクセス管理について GroupName DepartmentId sales1-dept sales1 sales2-dept sales2 sales-manager sales1, sales2 hr-dept hr 売上達成率 DepartmentId 100 sales1 95 sales2 112 sales2 90 sales1 AWSコンソール

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    列レベルのセキュリティ ◼ 機能：ユーザーに対してデータ内における列レベルでのアクセスを制御することができる ⚫ 列レベルのセキュリティ Amazon QuickSightのアセットへのアクセス管理について GroupName DepartmentId sales1-dept sales1 sales2-dept sales2 sales-manager sales1, sales2 hr-dept hr Name DepartmentId Salary 田中 sales1 ¥300K 佐藤 sales2 ¥350K 鈴木 sales2 ¥320K 加藤 sales1 ¥300K AWSコンソール

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    本日のまとめ まとめ Amazon QuickSightとはどんなサービス？ ◼ AWSが提供するBIツール ◼ 特徴 ◼ サーバレスなサービス ◼ 低コストから運用ができる (従量課金制) ◼ アプリケーションへの組み込み ◼ 多様なデータソースへとの統合 ◼ MLインサイト Amazon QuickSightのユーザー管理方法 ◼ Emailアドレス管理 ◼ 小規模な運用に適している ◼ AWS IAM Identity Centerを使用した管理 ◼ 中規模以上の環境での運用に適している ◼ Active Directory 連携 ◼ AWS Managed Microsoft ADの必要性 Amazon QuickSightの権限について ◼ 管理者 (Admin) ◼ QuickSightのすべての側面にアクセスできる ◼ 作成者 (Author) ◼ データソースの定義やデータセットの作成が可能 ◼ ダッシュボードの作成や共有が可能 ◼ 閲覧者 (Reader) ◼ ダッシュボードの閲覧が可能 ◼ カスタムアクセス許可 Amazon QuickSightのアセットへのアクセス管 理について ◼ グループ ◼ 共有フォルダ ◼ 制限された共有フォルダ ◼ 名前空間 ◼ 行レベルのセキュリティ ◼ 列レベルのセキュリティ
26. None