【ユーザ管理】小規模・中規模・大規模の具体的な利用者数について

現状、QuickSightを利用するにあたり、
ユーザ管理(Emailアドレス管理・IAM + フェデレーションによるSSO)
の方法についてまとめております。

Web検索をしていたところ、ちょうど以下のようなAWSの記事を見つけました。

このスライドには、
小規模な運用には、「emailアドレス管理」。
中~大規模利用では「IAM ( + フェデレーションによるSSO )」が一般的
と書かれております。

【質問】
私の感覚上、小・中・大規模がそれぞれどれくらいのものなのかがピンときません。

差し支えなければ、具体的な数値を教えていただきたいです。

@user008

ご質問ありがとうございます。

こちら各規模の決まった数字はございませんが、一般的には利用者が2桁後半~3桁を超えてくると、認証と権限の組み合わせ管理を含めた複雑性が高くなり IAM/Federation/SSO をご検討頂くケースが増えていくように思われます。

なお、ご検討に当たっては自社の組織の複雑性と運用負荷をイメージして頂くことを推奨しておりますので、以下補足として記載いたします。

QuickSight の email アドレスベースでユーザーを管理する場合、原則としてコンソールや CLI から一人ずつ個別に変更を行うことになります。実運用では、QuickSight ご利用ユーザの部署移動や退職、役職変更などのイベントごとにユーザの作成や利用・参照権限・グループの変更作業が発生します。その際、例えば既に Active Directory など外部 IdP を利用されている状態、前述のイベントが発生するたびに IdP 側と QuickSight 側を個別にメンテしていくことになり、運用負荷が増大していきます。

様々な変更の少ない組織、或いは全員が一律の権限を適用可能であれば email アドレスベースの運用管理も可能と思われます。一方で、利用者が百~数百名を超えてくる状況かつディレクトリや他サービスを利用する状況になった場合、全てのシステムのユーザー情報を同期をとってメンテナンスを行うことが難しくなり、メンテ漏れによる不適切な権限付与やユーザーの利便性低下につながることが想定されます。

このような前提より、明確な数字というよりは、自組織の複雑性やご利用状況によるところが大きくなるかと思います。そのため、運用として以下の観点を考察頂き、IdP などと連携しなくとも運用が回るか、近い将来も含めたロードマップとして人数が増えても問題がないか、という点をもとにご判断を頂くことを推奨しております。

■ 観点例
・QuickSight の利用者は現在および近い将来どの程度が想定されるか
・自社では組織移動や権限変更は頻繁に行われるか
・自社では既に外部 IdP を保持しているか
・社員の入退社・異動の際に ID や権限のメンテナンス必要なシステムがどの程度あるか

また、QuickSight での IdP 連携として IAM Identity Center との連携について説明を行ったウェビナーが公開されておりますので、ご興味がございましたらドキュメントとあわせご参照いただければと思います。

■ ウェビナー

■ ドキュメント

上記、ご確認の程よろしくお願いいたします。

1 Like