所有者はすべてのデータを参照できますが、分析やダッシュボードではRLSルールが優先されるため、所有者におきましても、ルール設定は必要になる。という過去の回答を拝見しましたが、
所有者はすべて見れるようにする一括設定や、一般的に使用されている良い方法がありましたらご教示いただけないでしょうか。
@nyaopoko さん、ご質問ありがとうございます。
参照いただいたのはこちらの回答かと思います。
ご確認いただいた通り、データセットの所有者であっても分析やダッシュボードではRLSが優先されるため、データが見られるようにするにはRLS用のルールデータセットに権限を定義しておく必要があります。
データセット所有者にRLSをバイパスさせるような一括設定はございません。
一方でQuick SightのRLSでは、制限フィールド(RLS適用先のデータセットで参照可能な行の値を指定するフィールド)がNULLもしくは空欄の場合、そのユーザーやグループについては全ての行にアクセス権が付与されたものとして解釈されます。[1]
- ユーザーまたはグループにルールを追加し、他のすべての列を値なし (NULL) のままにすると、すべてのデータへのアクセスが付与されます。
この仕組みを活用し、以下の手順を踏むことで、特定のユーザーに対しグループへの追加/削除だけで分析・ダッシュボード上でも全てのデータを閲覧可能にすることができます。
-
Quick Sightの管理画面から全てのデータを参照可能なグループを作成する(例. qs-audit-group)[2]
-
RLS用ルールデータセットに1で作成したグループを追加する
※RLSを適用しているデータセットが複数ある場合には、他のルールデータセットにも同様に行を追加します。例.
GroupName 部門 qs-group-hr 人事 qs-group-finance 財務 qs-group-sales 営業 qs-group-audit (空欄) -
データを閲覧可能にしたいデータセット所有者をグループに追加する [3]
ご検討のほどよろしくお願いします。
▼ご参考
[1] データセットへのアクセスを制限するためのユーザーベースのルールでの行レベルのセキュリティの使用 - Amazon QuickSight
[2] QuickSight コンソールでグループを作成する - Amazon QuickSight
[3] QuickSight コンソールでグループメンバーシップを管理する - Amazon QuickSight
@ytakahr 様
ご丁寧にありがとうございます!
上記イメージで再検証させていただきます。
この度もありがとうございました!