既に登録されているユーザーについて
1 現在のグループから別のグループに移動させたい。
2 新規に登録(作成)したグループに一括でユーザー登録をしたい。
良い方法があれば教えて欲しい
@kazuhiko_kaneda
お問い合わせありがとうございます。
Quickでのユーザー、グループ管理の方式についていくつか整理させて頂きます。
貴社の運用環境に適したアプローチをご検討下さい。
アプローチ1:QuickSight 単体(CLI / SDK)で管理する
(おそらく現在この構成なのでは無いかと推察しております。)
この構成はQuickSight内でユーザー、グループ管理できるので容易に始められる一方で、
GUIでの一括操作に関しては現状機能が無く、CLI / SDK を使って頂く必要があるかと思います。
アプローチ 2:IAM Identity Center(IdC)と統合する
QuickSight の ユーザー管理を IdC と統合し、ユーザーやグループ管理をQuickの外でやる方式です。
構成:IdC(グループ・ユーザー管理)→ QuickSight(IdC のグループを参照)
こちらの構成であれば、IdC のコンソールでグループメンバーシップを 一括でGUI 操作できるかと思います。
アプローチ 3:IdC + 外部 IdP(Entra ID / Okta 等)と連携する
こちらはアプローチ2を更に発展させ、Microsoft の Entra など外部IdPとユーザー管理を統合する方法です。
こちらもQuickの外側でユーザー管理ができるようになるので、アプローチ2と本質的には同じですが、使っている外部IdPの便利なユーザー管理機能を使える構成になるかと思います。例えば、Entraであれば、csvでの一括追加機能 があるようです。
構成:外部 IdP(グループ管理の実体)→ SCIM 同期 → IdC → QuickSight
ただし、アプローチ2、3共に、構成が複雑になるのと、IT部門でユーザー管理を担当しているチームとの連携が必要だったりするので貴社のシチュエーションに合わせてユーザー管理の方式をご検討下さい。
【参考1】比較まとめ
| 観点 | 1: QuickSight 単体 | 2: IdC 統合 | 3: IdC + 外部 IdP |
|---|---|---|---|
| グループ管理の GUI | なし(CLI のみ) | IdC コンソール | IdP の管理画面 |
| 一括操作 | スクリプト必須 | GUI + CLI 両方可 | IdP の GUI で可能 |
| QuickSight への同期 | ー | 自動 | 自動(二段階) |
| 他 AWS サービスとの共有 | 不可 | 可能 | 可能 |
| 導入コスト | 低 | 中 | 高 |
| 運用コスト(長期) | 高 | 中 | 低 |
| 既存 IdP がある場合の推奨度 | △ | ○ | ◎ |
【参考2】アプローチ1の場合の CLI での操作例
旧グループからユーザーを削除
aws quicksight delete-group-membership –aws-account-id 123456789012 –namespace default –group-name “OldGroup” –member-name “user@example.com”
新グループにユーザーを追加
aws quicksight create-group-membership –aws-account-id 123456789012 –namespace default –group-name “NewGroup” –member-name “user@example.com”
一括で操作したい場合は、以下Sampleのようなシェルスクリプト書いて頂くと良いかもしれません。
Sample: 新グループに一括でユーザー登録するシェルスクリプトのイメージ
#!/bin/bash
ACCOUNT_ID="123456789012"
NAMESPACE="default"
NEW_GROUP="NewAnalyticsTeam"
# Step 1: グループ作成
aws quicksight create-group \
--aws-account-id "$ACCOUNT_ID" \
--namespace "$NAMESPACE" \
--group-name "$NEW_GROUP" \
--description "新しい分析チーム用グループ"
# Step 2: CSVファイルからユーザーを一括追加
# users.csv の中身(1行1ユーザー):
# user1@example.com
# user2@example.com
# user3@example.com
while IFS= read -r USER; do
[ -z "$USER" ] && continue
echo "Adding $USER to $NEW_GROUP"
aws quicksight create-group-membership \
--aws-account-id "$ACCOUNT_ID" \
--namespace "$NAMESPACE" \
--group-name "$NEW_GROUP" \
--member-name "$USER"
done < users.csv
@yusukez
ご連絡ありがとうございます。
まさしくアプローチ1で記載いただいたQuickSight単体で管理しております。
今回、グループ管理を変更している中で、大量にユーザーの移動が必要になり
ご相談させていただいた次第です。
CLIの操作例ありがとうございます。
QuickSightの操作しか実施したことがにため、コンソールを操作できる者に確認してみます。
ありがとうございました。
@kazuhiko_kaneda さん、
Quick Communityのご活用ありがとうございます。
いただきましたご質問については、 @yusukez さんの回答を持って一旦解決済みとさせていただきます。
貴社内で確認いただく中で、追加のご質問がでてきましたら、是非また当Communityにて新しいご質問として投稿いただけますと幸いです。