【アップデート】Amazon QuickSightがIAM Identity Centerのアカウントインスタンスをサポートしました

こんばんは。小寺です。
Amazon QuickSightがIAM Identity Centerのアカウントインスタンスをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2024/04/amazon-quicksight-account-instances-iam-identity-center/

アップデート内容

QuickSightの新しいサブスクリプションを作成するときに、IAM Identity Center のアカウントインスタンスがサポートされました。
アカウントインスタンスって言われると聞きなれない方もいますよね。

あと、今までもIAM Identity Center使えていました！2023年8月のアップデートでQuickSightの認証基盤として統合がされております。
昨年のアップデートでは、シングルサインオン設定が不要になったのがメリットですよね。

今回の内容について、概念的な部分を先に解説してみたいと思います。

IAM Identity Centerには2つのインスタンスがある！？

組織インスタンス

AWS OrganizationsからIAM Identity Center を有効にすると、IAM Identity Center の組織インスタンスが作成されます。組織インスタンスは、IAM Identity Center を有効にする場合、推奨とされています。組織インスタンスでは、複数の AWS アカウントとアプリを利用するユーザーを作成または接続します。

アカウントインスタンス

今までIAM Identity Center（旧 AWS SSO）の利用には、AWS Organizations の利用が必要であり、シングルアカウントで利用する環境でも AWS Organizations を有効化する必要がありました。一人Organizationsですね。

昨年、2023年11月17日の公式発表で、単一のアカウントにのみ適用可能な「アカウントインスタンス」の提供がサポートされています。東京リージョンを含む全てのリージョンで利用ができるようになりました。

この発表のメリットは・・・？と思ったのですが、IAM Identity Center の利用前提のアプリケーションの検証用途のようですね。組織全体のアイデンティティセンターインスタンスの設定や接続なしにサービスが利用できます。以下が本コラム執筆時点でオフィシャルドキュメント上、サポートされているAWSサービスです。

Amazon Athena
Amazon CodeCatalyst
Amazon EMR
AWS Lake Formation
Amazon Redshift

組織インスタンスか？アカウントインスタンスか？

QuickSight を IAM Identity Center の組織インスタンスと統合する場合、他のアイデンティティストアを使って、AWS アカウントやアプリケーションにアクセスできます。オフィシャルブログでは、Oktaを例にして、IdPが導入されていれば、組織インスタンスを使い、Organizationsのユーザーとグループを一元管理し、さまざまな AWS および QuickSight アカウントに対する認証を一括して行うことができます。

https://aws.amazon.com/jp/blogs/business-intelligence/manage-access-to-insights-with-an-account-instance-of-aws-iam-identity-center-and-amazon-quicksight/より引用

アカウントインスタンスを活用するメリットってなんだろう

QuickSight をアカウントインスタンスと統合すると、IdP のユーザーとグループがクロスドメイン ID 管理システム (SCIM) によってアカウントインスタンスに自動的に同期されます。同期後はそれぞれ QuickSight ユーザーとグループとして利用できるようになります。

今回のアップデートでアカウントインスタンスと統合できるようになりました。メリットについて、改めて考えてみました。

IdP グループは IAM Identity Centerに同期して使いやすい
テスト利用などで埋め込みアプリケーションをお客様にみてほしいときも個々にアクセス権を付与する必要がない
不要になったらグループから削除するだけでアクセスコントロールがしやすい
QuickSight ダッシュボード、データセットへのアクセスなどのアプリケーションとリソースの承認は、IdP で作成されたユーザーとグループに対して行われるので管理がしやすい

以上、IAM Identity Centerのアカウントインスタンスと統合できるようになった概要でした。サードパーティーのIdPとのアクセスや使い方のプラクティスは改めて試してみたいと思います！

SunnyCloudでは、Amazon QuickSightの「サービスデリバリープログラム」認定を日本国内で初めて取得しました。（こちらの記事をご参照ください）

このサービスデリバリープログラムの認定は、株式会社アイディーエスが提供しているAWS導入支援サービスである「サニークラウド（Sunny Cloud）」において、AWSのデータ分析サービスである「Amazon QuickSight」の導入実績や技術力が評価されたもので、日本のAWSパートナーネットワーク（以下、APN）のコンサルティングパートナーとしては初めての認定取得です。

ぜひ、データ分析に興味のある方はこちらまでお問い合わせください！