注:この方法は上手くいってません!!!
仕事でQuickSightを使うことになり、グループごとにアクセス権を分離する方法を調べ構築しました。それを詳しく書きたいのですが、セキュリティ上の問題のためスクリーンショット類なしで書きます。まあ、ヒントになれば。(スペルミスの可能性あり。使うときは確かめてね☆彡)
1)ますIAMポリシーを作成します。https://docs.aws.amazon.com/ja_jp/athena/latest/ug/datacatalogs-example-policies.html
GetDataCatalogのAllowをDenyに変えて拒否するようにします。このポリシーはQuickSightでアタッチするのでユーザーにアタッチしなくていい。
2)Athenaでデータカタログの登録。最初、メニューがない! と思いましたが、よく左上をみるとハンバーガーメニューがあります。ポチッと押してください。データソースを登録します。
3)CLIでグループを作り、メンバーを所属させる。
今のところ、CLIでしかできません。CloudShellなどで設定してください。
>aws quicksight create-group --aws-account-id アカウント番号 --namespace default --group-name グループ名
>aws quicksight create-group-membership --aws-account-id アカウント番号 --namespace default --group-name グループ名 --member-name メールアドレス4)アカウントをQuickSightに登録
QuickSightの右上のアカウントから「QuickSightの管理」を選択します。出てこないのは管理者でなく、またアカウントがIAMと紐付けられてないときです。「セキュリティとアクセス権限」から「IAMポリシーの割り当て」をクリックし、権限を割り当てます。※名前の検索はメールアドレスベースであることに注意してください。例えば名前にmが含まれて無くてもアドレスに含まれているとヒットします。
5)QuickSightのデータソースの選択を行う。
テーブルの選択でデータカタログの選択ボックスがあるのでそれを選択すればOK。あとはよしなに。
この通り作れば、グループごとにアクセス権を区別することができるようになります。
既存のデータソースへの拒否が上手くいきません。もしかしたら、「作成不可」なだけで、既存はアクセス可能なのかも……
いじょ
コメント