Athena→QuickSightの一考察

AWS

注:この方法は上手くいってません!!!

仕事でQuickSightを使うことになり、グループごとにアクセス権を分離する方法を調べ構築しました。それを詳しく書きたいのですが、セキュリティ上の問題のためスクリーンショット類なしで書きます。まあ、ヒントになれば。(スペルミスの可能性あり。使うときは確かめてね☆彡)

1)ますIAMポリシーを作成します。https://docs.aws.amazon.com/ja_jp/athena/latest/ug/datacatalogs-example-policies.html

GetDataCatalogのAllowをDenyに変えて拒否するようにします。このポリシーはQuickSightでアタッチするのでユーザーにアタッチしなくていい。

2)Athenaでデータカタログの登録。最初、メニューがない! と思いましたが、よく左上をみるとハンバーガーメニューがあります。ポチッと押してください。データソースを登録します。

3)CLIでグループを作り、メンバーを所属させる。

今のところ、CLIでしかできません。CloudShellなどで設定してください。

>aws quicksight create-group --aws-account-id アカウント番号 --namespace default --group-name グループ名

>aws quicksight create-group-membership --aws-account-id アカウント番号 --namespace default --group-name グループ名 --member-name メールアドレス

4)アカウントをQuickSightに登録

QuickSightの右上のアカウントから「QuickSightの管理」を選択します。出てこないのは管理者でなく、またアカウントがIAMと紐付けられてないときです。「セキュリティとアクセス権限」から「IAMポリシーの割り当て」をクリックし、権限を割り当てます。※名前の検索はメールアドレスベースであることに注意してください。例えば名前にmが含まれて無くてもアドレスに含まれているとヒットします。

5)QuickSightのデータソースの選択を行う。

テーブルの選択でデータカタログの選択ボックスがあるのでそれを選択すればOK。あとはよしなに。

この通り作れば、グループごとにアクセス権を区別することができるようになります。

既存のデータソースへの拒否が上手くいきません。もしかしたら、「作成不可」なだけで、既存はアクセス可能なのかも……

いじょ

AWS
スポンサーリンク
眠り人+をフォローする
眠り人+

コメント

タイトルとURLをコピーしました