Quicksight管理のユーザーを管理について教えてください。
-
招待して作成したユーザーの「ユーザー名」を変更することはできますか?
-
IAMなしで登録したユーザーに途中でIAMと紐付けることはできますか?
お問い合わせいただき、ありがとうございます!
-
ユーザの更新は、「ユーザー名」をキーとするので、変更することはできないです
-
Email招待のQUICKSIGHTユーザからIAMユーザに変更する、ということでしょうか?IdentityTypeの変更はできないので、その場合は新規にIAMユーザもしくはIAMのFederatedユーザを作成いただく必要があり、アセットへのアクセス許可も付け替えていただく必要があります。
よろしくお願いします。
2 Likes
その後もいろいろ調べていたのですが、AWSのこちらの記事に記載にQuicksightにIAMユーザーを渡すやり方が記載がありました。
- IAMなしで登録したユーザーに途中でIAMと紐付けることはできますか?
A. 1. Email招待のQUICKSIGHTユーザからIAMユーザに変更する、ということでしょうか?IdentityTypeの変更はできないので、その場合は新規にIAMユーザもしくはIAMのFederatedユーザを作成いただく必要があり、アセットへのアクセス許可も付け替えていただく必要があります。
こちらとは別ものなのでしょうか?
ご返答ありがとうございます。
ご指摘いただいたリンクは、IAMポリシーを使用したデータソースリソースへのセキュリティ設定(スコープダウンポリシー)になります。
- IAMなしで登録したユーザーに途中でIAMと紐付けることはできますか?
この質問の「IAMと紐づける」とは、データソースへの接続制御を、QuickSightユーザに応じて実施したい、ということでしょうか?
データソースリソースへのセキュリティ設定の内容だったのですね。
やりたかったことは、Quicisightの管理画面のグループ管理が、招待されたAdminでは利用ができず、IAMユーザーかSSOユーザーでないとグループ管理が行なえないという記事を見つけました。
その為、現在登録をしているAdminユーザーをIAMで利用ができるようにしようと思いました。
最初のご回答の通り、ユーザーの再登録が必要ということですね!
上記認識が違う場合は教えてください。
ご説明いただき、ありがとうございます!
そうですね、管理タスクは基本的にはIAMのポリシーで制御しているため、グループ管理の場合は、ドキュメントのサンプルIAMポリシーにもあるようにIAM上での制御となり、IAMユーザがSSOユーザでないと利用できないということになります。
となると、ユーザーを新規に作成し、もしダッシュボードなどアセットの権限情報が旧アカウントに既に付与されていた場合は振り替えていただく必要がありますね。