以前までグループ編集できていた使用できていたIDで急にグループ編集ができなくなりました。
IAMポリシー上、何が適用されていれば良いのでしょうか。
以下は適用済みです。
“quicksight:ListGroups”,
“quicksight:CreateGroup”,
“quicksight:SearchGroups”,
“quicksight:ListGroupMemberships”,
“quicksight:CreateGroupMembership”,
“quicksight:DeleteGroupMembership”,
“quicksight:DescribeGroupMembership”,
“quicksight:ListUsers”
@Kawaguchi さん、ご質問ありがとうございます。
付与されているIAMポリシーの権限としては以下ドキュメントに記載の通りであり、不足は無いようです。
また、実際の私の手元環境でも上記の権限に加え、管理者ユーザーとして登録するための quicksight:CreateAdmin のみを追加したIAMユーザーで操作してみたところ、問題無くグループの表示ができました。
ちなみにその状態で quicksight:ListGroups を明示的に Deny するようIAMポリシーを修正したところ同様のエラーが再現しています。
@Kawaguchi さんの環境でも、ご利用になっているIAMユーザー/ロールのポリシー、もしくはSCPなどで明示的に権限がDenyされている可能性はないでしょうか?
なお、明示的にDenyされている場合には、CloudTrail上に以下のエラーメッセージを含むイベントが記録されます。
"errorMessage": "User: <ユーザーのARN> is not authorized to perform: quicksight:ListGroups on resource: arn:aws:quicksight:ap-northeast-1:123456789012:group/default/* with an explicit deny in an identity-based policy"
もし解決しない場合には、AWSサポートへのケース起票もご検討ください。
@Kawaguchi さん、
頂いたご質問について、ytakahrさんより回答がございますが、現在の状況はいかがでしょうか?
回答についての不明点などございましたら、お気軽にご返信いただけたらと思います。
ytakahrさん、Masahitoさん
コメントありがとうございます。
CloudTrailを確認しましたがエラー出ておりませんでした。
アクセスの経路かもしれないと、AWSコンソールからQuickSuiteアクセス、ブラウザからQuickSuiteアクセスなど試しておりますが、同様の事象となっております。
@Kawaguchi さん、ご状況のアップデートありがとうございます。
申し訳ありませんが、これ以上の深い調査となるとこちらのコミュニティでは難しいため、AWSサポートにケース起票をお願いできますでしょうか。サポートケースの作成方法につきましては、こちらのステップをご参照ください。
なお企業でお使いのAWSアカウントの場合、企業の管理者の方を通してケース起票することが必要な場合がございます。この点はお手数ですが貴社内でご確認いただけますと幸いです。よろしくお願いいたします。