現在IAM Identity Centerでユーザーを管理しております。
Quick SightにIAM Identity CenterのグループごとにQuick Sightのroleを紐づけられるのは理解できましたが、IAM Identity Centerのユーザー単位でQuick Sightのroleを紐づけられるのでしょうか
Quick Sight Communityにご質問いただき、ありがとうございます!
ロールの紐付け(マッピング)は、IAM Identity Centerのグループ単位になります。ユーザー単位に紐付けすると、組織変更などを考慮した場合、管理が煩雑になるので、グループ単位で管理するのが望ましいという判断から、グループ単位でのマッピングのデザインとなっております。
Wakana様
ありがとうございます!
ちなみにユーザーのロールとロールグループのロールは別でしょうか
カスタムアクセス許可でロールの権限を修正したく
describe-role-custom-permissionでREADERロールを修正したのですが狙った挙動にならずでして。
@m.mori 様
実現されたかった内容としては、「IAM Identity Center のグループに READER 等の Quick Sight のロールを紐付けした上で、グループに含まれるユーザー群に関してさらに権限を編集したい」といった内容になりますでしょうか?
describe-role-custom-permission では権限を確認できるのみになりますので、権限を修正するためにはカスタム権限プロファイルを作成した上で、 update-role-custom-permission、update-user-custom-permission といった API で適用する必要がございます。前者はそのロールを持つ全ユーザー (グループ外のユーザーも含む) に、後者は個別のユーザーに対して適用されます。
[参考ドキュメント]
・ロールに適用 : QuickSight API を使用してカスタム許可プロファイルを QuickSight ロールに適用する - Amazon QuickSight
・ユーザーに適用 : QuickSight API を使用してカスタムアクセス許可プロファイルをユーザーに適用する - Amazon QuickSight
もしご質問の意図が異なるようでしたら、ご指摘いただけますと幸いです!
@m.mori さん、その後いかがでしょうか。
もしご不明点があれば気軽にご質問ください。もし疑問が解決しているようでしたら回答者の投稿にSolution✅マークの付与をお願いいたします。
@mririka @Wakana
ご回答できておらず申し訳ありません。
結論としまして、解決しておりますのでこの回答後
Solutionマークを付与いたします。
質問時点で実現したかった内容としては
「IAM Identity Center のグループに READER 等の Quick Sight のロールを紐付けした上で、グループに含まれるユーザー群に関してさらに権限を編集したい」といった内容という認識で間違いありません。
今一度社内の利用方法と運用をヒアリングしたところ
デフォルトのREADERとAUTHORでの区別で十分という判断になりました。
(細かい権限修正は、運用が煩雑になるという視点もありました。)
そのため、デフォルトのロールをグループごとに付与する形で運用を開始いたしました。
運用に支障出ましたらupdate-role-custom-permission、update-user-custom-permissionといったAPIで個別対応を考えます。
ご丁寧に回答いただきありがとうございました。
1 Like