Amazon QuickSightのユーザー管理とアクセス管理について考えてみる

Slide 1

Slide 1 text

Amazon QuickSightのユーザー管理とアクセス管理について考えてみる NRIネットコム TECH AND DESIGN STUDY#21 2024年1月30日 NRIネットコム株式会社デジタルイノベーション事業本部クラウド事業推進部大林優斗

Slide 2

Slide 2 text

Slide 3

Slide 3 text

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します大林優斗自己紹介 ⚫ 氏名：大林優斗 ⚫ 趣味：テニス、サウナ(人が少ない時間帯) ⚫ 経歴 • 2022年 4月 NRIネットコム株式会社新卒入社 • 2022年 8月 ITSデザイン事業部に配属 • 2023年 4月クラウド事業推進部に異動 • ～現在 AWSを活用したシステムの設計・開発 ◼ AWS認定資格

Slide 4

Slide 4 text

Slide 5

Slide 5 text

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon QuickSightとは ◼ AWSが提供するBIツールであり、アドホックにデータを分析するのに役立つ ◼ 特徴 ⚫ サーバレスなサービス ⚫ 低コストから運用ができる (従量課金制) Amazon QuickSightとはどんなサービス？ ⚫ アプリケーションへの組み込み ⚫ 多様なデータソースへとの統合 ⚫ MLインサイト ⚫ ユーザー管理(IAM、SSO、AD連携) AWSコンソール

Slide 6

Slide 6 text

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon QuickSightの構造 Amazon QuickSightとはどんなサービス？ Amazon QuickSight データソース SPICE オンプレミスデータセット分析とダッシュボード ⚫ MySQL ⚫ PostgreSQL ⚫ CSV … AWS ⚫ Amazon RedShift ⚫ Amazon Athena ⚫ Amazon Simple Storage Service (Amazon S3) … SaaS ⚫ Salesforce ⚫ Jira ⚫ ServiceNow …

Slide 7

Slide 7 text

Slide 8

Slide 8 text

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 3つのユーザー管理方法 ◼ Emailアドレス管理 ⚫ メールアドレスでのユーザー管理 ⚫ 小規模な運用に適している →規模が大きくなると運用負荷が増加 ◼ AWS IAM Identity Centerを使用した管理 ⚫ IAMを使用したユーザー管理 ⚫ SAML 2.0によるフェデレーションとSSO ⚫ 中規模以上の環境での運用に適している ◼ Active Directoryとの連携 ⚫ Microsoft Active Directoryとの連携 ⚫ AWS Managed Microsoft ADの必要性 Amazon QuickSightのユーザー管理方法 AWS IAM Identity Center Amazon QuickSight AWS Cloud User Amazon QuickSight AWS Cloud User AWS Directory Service

Slide 9

Slide 9 text

Slide 10

Slide 10 text

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します権限の種類 ◼ 管理者 (Admin) ◼ QuickSightのすべての側面にアクセスできる ◼ ユーザーやSPICE容量の管理が可能 ◼ 他のユーザータイプ（AuthorとReader）の権限もある ◼ 作成者 (Author) ◼ データソースの定義やデータセットの作成が可能 ◼ ダッシュボードの作成や共有が可能 ◼ 閲覧者 (Reader) ◼ ダッシュボードの閲覧が可能 Amazon QuickSightの権限管理について AWSコンソール

Slide 11

Slide 11 text

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますカスタムアクセス許可 ◼ カスタムアクセス制限を設定できる条件 ◼ 制限対象のユーザーにはIAMユーザーが必要（QuickSightユーザーには適応できない） ◼ カスタムアクセス制限の設定をするには、ADMIN(管理者)権限が必要（CustomPermissionsを持っている） ◼ ユースケース例：AUTHOR(作成者)以上の権限を持つユーザーの権限範囲を絞る場合 Amazon QuickSightの権限管理について制限したい権限を選択する AWSコンソール

Slide 12

Slide 12 text

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますカスタムアクセス許可 ◼ 既存のユーザーに対して作成したカスタムアクセス許可を関連付ける ◼ 実行結果 Amazon QuickSightの権限管理について aws quicksight update-user ¥ --user-name ユーザー名¥ --role 権限名 ¥ --custom-permissions-name カスタムアクセス許可名 ¥ --email メールアドレス ¥ --aws-account-id アカウントID ¥ --namespace default ¥

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します共有フォルダ ◼ QuickSightの共有フォルダは、ダッシュボードやデータセットなどを他のユーザーと共有するための機能 Amazon QuickSightのアセットへのアクセス管理について作成者閲覧者 B 閲覧者 A 共有フォルダA Amazon QuickSight 共有フォルダB 共有フォルダC フォルダ作成

Slide 16

Slide 16 text

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますグループを使用したアクセス管理 ◼ グループ：効率的なアクセス許可の管理に活用できる →共有フォルダにユーザーごとの追加が不要になる Amazon QuickSightのアセットへのアクセス管理について作成者閲覧者 A 共有フォルダA Amazon QuickSight 共有フォルダB 共有フォルダC フォルダ作成閲覧者 B 閲覧者 C 閲覧者 D グループA グループB

Slide 17

Slide 17 text

Slide 18

Slide 18 text

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します制限された共有フォルダ ◼ 共有フォルダと制限された共有フォルダの違い個人情報などの機密性の高いデータを扱う場合に使用すると効果的 Amazon QuickSightのアセットへのアクセス管理についてアクション共有フォルダ制限された共有フォルダ既存のアセットをフォルダに追加することができる〇 ✕ 共有フォルダ内にあるアセットを使用して作成したアセットを共有フォルダ外に作成することができる〇 ✕ 共有フォルダ外にあるアセットを使用して作成したアセットを共有フォルダ内に作成することができる〇 ✕ 制限された共有フォルダを作成するにはCLIを使用する必要がある ✕ 〇

Slide 19

Slide 19 text

Slide 20

Slide 20 text

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します名前空間 ◼ 名前空間を分離することでセキュアなアクセス権限管理が可能になる Amazon QuickSightのアセットへのアクセス管理について管理者デフォルト人事部作成者閲覧者フォルダ営業部作成者閲覧者フォルダ総務部作成者閲覧者フォルダ Amazon QuickSight

Slide 21

Slide 21 text

Slide 22

Slide 22 text

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します名前空間のデメリット ◼ 名前空間を分離すればセキュアになるが運用負荷が増加する Amazon QuickSightのアセットへのアクセス管理について管理者デフォルトテナントA 作成者閲覧者フォルダテナントB 作成者閲覧者フォルダテナントB 作成者閲覧者フォルダ Amazon QuickSight ・・・・

Slide 23

Slide 23 text

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します行レベルのセキュリティ ◼ 機能：ユーザーに対してデータ内における行レベルでのアクセスを制御することができる ⚫ 行レベルのセキュリティ Amazon QuickSightのアセットへのアクセス管理について GroupName DepartmentId sales1-dept sales1 sales2-dept sales2 sales-manager sales1, sales2 hr-dept hr 売上達成率 DepartmentId 100 sales1 95 sales2 112 sales2 90 sales1 AWSコンソール

Slide 24

Slide 24 text

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します列レベルのセキュリティ ◼ 機能：ユーザーに対してデータ内における列レベルでのアクセスを制御することができる ⚫ 列レベルのセキュリティ Amazon QuickSightのアセットへのアクセス管理について GroupName DepartmentId sales1-dept sales1 sales2-dept sales2 sales-manager sales1, sales2 hr-dept hr Name DepartmentId Salary 田中 sales1 ¥300K 佐藤 sales2 ¥350K 鈴木 sales2 ¥320K 加藤 sales1 ¥300K AWSコンソール

Slide 25

Slide 25 text

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します本日のまとめまとめ Amazon QuickSightとはどんなサービス？ ◼ AWSが提供するBIツール ◼ 特徴 ◼ サーバレスなサービス ◼ 低コストから運用ができる (従量課金制) ◼ アプリケーションへの組み込み ◼ 多様なデータソースへとの統合 ◼ MLインサイト Amazon QuickSightのユーザー管理方法 ◼ Emailアドレス管理 ◼ 小規模な運用に適している ◼ AWS IAM Identity Centerを使用した管理 ◼ 中規模以上の環境での運用に適している ◼ Active Directory 連携 ◼ AWS Managed Microsoft ADの必要性 Amazon QuickSightの権限について ◼ 管理者 (Admin) ◼ QuickSightのすべての側面にアクセスできる ◼ 作成者 (Author) ◼ データソースの定義やデータセットの作成が可能 ◼ ダッシュボードの作成や共有が可能 ◼ 閲覧者 (Reader) ◼ ダッシュボードの閲覧が可能 ◼ カスタムアクセス許可 Amazon QuickSightのアセットへのアクセス管理について ◼ グループ ◼ 共有フォルダ ◼ 制限された共有フォルダ ◼ 名前空間 ◼ 行レベルのセキュリティ ◼ 列レベルのセキュリティ

Slide 26

Slide 26 text

No content