翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
分離された名前空間によるマルチテナンシーのサポート
Amazon Quick Enterprise Edition は、名前空間を介したマルチテナンシーをサポートしています。Amazon Quick 名前空間は、クライアント、子会社、チームなどを整理するために使用できる論理コンテナです。名前空間は次の目標達成に役立ちます。
-
Amazon Quick サブスクリプションのユーザーが共有コンテンツを検出し、他のユーザーと共有することを許可できます。同時に、ある名前空間のユーザーが別の名前空間のユーザーを表示したり操作したりできないようにすることもできます。
-
AWS アカウントを追加することなく、データを安全に分離し、さまざまなワークロードをサポートできます。データへのアクセスは、 AWS のセキュリティ機能によって厳重に制御されています。ユーザーは、リソースに対する適切なアクセス許可を持っている場合にのみ、アセット (データやダッシュボードなど) を表示できます。また、アクセス許可を持つユーザーが、名前空間以外のユーザーにコンテンツを誤って公開することもありません。詳細については、「分離された名前空間によるマルチテナンシーのサポート」を参照してください。
-
データフローおよび使用状況レポートを、名前空間ごとに整理してモニタリングできます。データとレポートを名前空間別に分類することで、コストとセキュリティ分析を簡素化できます。
-
ユーザーを名前空間に登録した後で、管理上の複雑さやオーバーヘッドが増加することはありません。
-
名前空間は にまたがるように設計されているため AWS リージョン、ユーザーが別の にサインインしても、使用の封じ込めは変更されません AWS リージョン。
現在、名前空間には以下の制限事項があります。
-
カスタム名前空間 (デフォルトの名前空間ではないもの) は、IAM フェデレーテッドシングルサインオンユーザーのみがアクセスできます。
-
以下をサポートする必要がある場合は、カスタム名前空間の代わりにデフォルトの名前空間を使用します。
-
Amazon Quick アカウントと IAM Identity Center の統合。Amazon Quick アカウントと IAM Identity Center の統合の詳細については、AWS 「Amazon Quick のセキュリティ」を参照してください。
-
パスワードベースのログイン
-
認証情報ベースのアクティブディレクトリログイン
-
-
ある名前空間から別の名前空間にユーザーを直接転送することはできません。この操作の一部またはすべてをプログラムで実行することができます。詳細については、クイック API リファレンスを参照してください。各 API 操作ページの下部には、他言語の SDK による同じオペレーションへのリンクのリストがあります。利用可能な SDK を確認するには、「AWS ご利用開始のためのリソースセンター」の「SDK およびツールキット」を参照してください。
-
名前空間はユーザーとアクセス許可を分離するのに役立ちますが、アセットの共有には役立ちません。ダッシュボード、データセット、分析は、別の名前空間のユーザーと共有できます。デフォルトでは、ユーザーは同じ名前空間に存在する項目にアクセスできませんが、アセットが共有されるとそのアセットにアクセスできます。
既存の がない場合、 AWS アカウント または Amazon Quick にサインアップする必要がある場合は、次のガイドラインを読み、「Amazon Quick サブスクリプションにサインアップする」の該当する手順に従ってください。
-
Enterprise Edition にサインアップします。
-
接続方法を求められたら、[ロールベースのフェデレーション (IAM)] を選択します。現在、名前空間は、ウェブ ID フェデレーションで AWS Identity and Access Management (IAM) ロールを使用するお客様のみをサポートしています。詳細については、「サードパーティーの ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
-
サインアップのプロセスを完了します。
-
Amazon Quick CreateNamespace API オペレーションを使用して、1 つ以上の名前空間を作成します。
-
ユーザーの追加を開始するには、まず「IAM と Amazon Quick を使用した IdP フェデレーションの設定」の手順に従います。次に、RegisterUser API オペレーションを使用して、適切な名前空間にユーザーを追加します。
すでに Standard Edition にサインアップしている場合は、サブスクリプションを Enterprise Edition に簡単にアップグレードできます。アップグレードを実行するユーザーは、管理者権限を持つ Amazon Quick ユーザーである必要があります。詳細については、「Amazon Quick サブスクリプションのアップグレード」を参照してください。
Enterprise Edition のサブスクリプションを一定期間使用している場合は、ユーザーを名前空間に移行することもできます。Amazon Quick にサインアップしてユーザーを追加すると、それらはすべてデフォルトの名前空間に存在します。すべてのユーザーは、互いに直接対話し、互いにデータとダッシュボードを共有することができます。ユーザーを互いに分離するには、1 つ以上の追加の名前空間を作成します。
重要
データセット、データソース、ダッシュボード、分析などの Amazon Quick アセットとリソースは、任意の名前空間の外部に存在します。これらは、リソースのアクセス許可が付与されているユーザーのみに表示されます。
名前空間を実装するには、次の Amazon Quick API オペレーションを使用します。
名前空間は、以下のリージョンではサポートされていません。
-
af-south-1アフリカ (ケープタウン) -
ap-southeast-3アジアパシフィック (ジャカルタ) -
eu-south-1欧州 (ミラノ) -
eu-central-2欧州 (チューリッヒ)
注記
をインストールする必要がある場合は AWS CLI、「 ユーザーガイド」の AWS 「 CLI バージョン 2 のインストール」を参照してください。 AWS Command Line Interface
ユーザを名前空間に追加するには、[RegisterUser] API オペレーションを使用します。各名前空間には、完全に独立したユーザーセットがあります。ユーザー ARN には、次の例に示すように、名前空間を区別するための修飾子が含まれています。
-
Amazon Quick は、これら 2 つのエンティティを異なる人物と見なします。
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
-
-
Amazon Quick は、これら 2 つのエンティティを同じ人物と見なします。
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123
-
RegisterUser を使用する際は、各ユーザーのアクセスレベルを選択します。ユーザーのユーザー名がセキュリティコホートのいずれかに割り当てられると、コンソールおよび API へのアクセスが制限されます。Amazon Quick を使用しているユーザーは、次のように単一のアクセスレベルを持つことができます。
-
閲覧者アクセス、ダッシュボード読み込みのみの受信者用
-
作成者アクセス、アナリストおよびダッシュボードデザイナー用
-
Amazon Quick 管理者向けの管理者アクセス
ある名前空間の既存のユーザーを別の名前空間に移行するには
ある名前空間の既存のユーザーを別の名前空間に移行するには、次の手順に従います。
-
Amazon Quick ユーザーおよびグループ API オペレーションを使用して、別の名前空間に転送するユーザーを特定します。詳細については、クイック API リファレンスの「アクセスを制御するための API オペレーション」を参照してください。 https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html
-
RegisterUser API オペレーションを使用して、新しい名前空間にユーザーを作成します。名前空間内では、ユーザー名は一意です。
名前空間ユーザーが新しい で Amazon Quick コンソールまたは API の使用を開始した場合でも AWS リージョン、そのユーザーは追加した名前空間に制限されます。各名前空間は、アイデンティティプロバイダーのユーザーディレクトリを表します。そのため、Amazon Quick がセットアップ AWS リージョン されているプライマリから開始されます。ただし、ユーザーディレクトリはアカウント AWS 内でグローバルに伝播されるため、名前空間にはユーザーが Amazon Quick を使用している任意の AWS リージョン からアクセスできます。
-
新しい名前空間ユーザーが必要とするアセットとリソースのアクセス許可を特定するには、各タイプのアセット (ダッシュボード、データセットなど) に関連付けられた Amazon Quick API オペレーションを使用します。詳細については、クイック API リファレンスの「アセットを制御する QuickSight API オペレーション」を参照してください。 https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html
たとえば、ダッシュボードに焦点を当てているとします。その場合、
ListDashboardsを使用すれば、 AWS アカウント内のすべてのダッシュボード ID をリストできます。次に、これらのダッシュボードにアクセスできるユーザーまたはグループを指定するために、ListDashboardsによって生成された結果セットでDescribeDashboardPermissionsを使用します。ダッシュボードの特定のバージョンを識別する必要がある場合は、ListDashboardVersionsを使用します。また、データソースおよびデータセット API オペレーションを使用して、ダッシュボードで使用されるデータの場所に関する情報を収集することもできます。詳細については、QuickSight API operations to control data resources」を参照してください。 https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.htmlAPI 応答出力のフィルタリングの詳細については、使用言語の SDK ドキュメントを参照してください。 AWS Command Line Interface (AWS CLI) の詳細については、AWS Command Line Interface 「 ユーザーガイド」の「 CLI AWS からのコマンド出力の制御」を参照してください。
-
Amazon Quick アセットとリソースの場合は、ソース名前空間ユーザーがアセットごとに持つアクセス許可をコピーします。次に、
UpdateDashboardPermissionsなどを使用して、ターゲットにする名前空間内のユーザーに同じアクセス許可を適用します。各アセットタイプには、ユーザーが使用する必要のあるアクセス許可を制御するための独自の API オペレーションの個別セットがあります。詳細については、QuickSight API operations for asset and resource permissions」を参照してください。 https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html -
ユーザーとアクセス許可の追加が終了したら、ユーザー受け入れテストにしばらく時間をかけることをお勧めします。これにより、すべてのユーザーが新しい名前空間を正常に使用できるようになります。また、新しい名前空間ですべてのアセットとリソースにアクセスできるようになります。
元のユーザー名が不要になったことを確認したら、元の名前空間でそのユーザーのアクセス許可を非推奨にすることができます。最後に、ユーザーの準備ができたら、ソース名前空間の未使用のグループとユーザー名を削除します。これは、ユーザーが以前にアクティブだった各 AWS リージョン で実行します。
