Amazon Web Services ブログ
Amazon WorkSpaces Secure Browser による Amazon QuickSight へのセキュアなアクセス
本ブログは、2024/07/08 に公開された Secure access to Amazon QuickSight with Amazon WorkSpaces Secure Browser を翻訳したものです。
はじめに
データ主導の意思決定に Amazon QuickSight を使用する組織が増える中、Amazon WorkSpaces Secure Browser は、機密情報を含むダッシュボードへのセキュアなアクセスをエンドユーザーに提供します。WorkSpaces Secure Browser を使用することで、管理者はダッシュボードの作成者と閲覧者に保護されたブラウザ環境を提供すると同時に、機密データをエンドユーザのデバイスに残さないようにすることができます。
このブログのポストでは、WorkSpaces Secure Browser、Virtual Private Cloud(VPC)エンドポイント(AWS PrivateLink による)、および AWS IAM Identity Center を活用して、QuickSight へのセキュアで一元的なアクセスを提供するソリューションについて説明します。加えて、組織全体でセキュアなデータの可視化と分析を可能にするための実装ステップ、ベストプラクティス、および主な考慮事項について説明します。
本ブログのアーキテクチャの目標は以下のとおりです。
- エンドユーザーデバイスからのデータ流出を防ぎ、セキュリティ体制を強化する。
- VPC内のセキュアなブラウザ環境からの QuickSight アクセスを強制する。
- 高感度ダッシュボードを安全に構築するためのユーザーフレンドリーなエクスペリエンスを提供する。
次のアーキテクチャ図は、VPC エンドポイントから QuickSight ダッシュボードへのトラフィックを制限する方法を示しています。VPC 内の WorkSpaces Secure Browser は、作成者と読者が QuickSight ダッシュボードにアクセスするためのセキュアな Web 環境を提供します。
(訳者注)Amazon QuickSight の静的コンテンツを取得するために、WorkSpaces Secure Browser のインターネット接続が必須です。前述の静的コンテンツとは、Amazon QuickSight を構成する画像や JavaScript のことであり、ユーザーデータは含まれません。
前提条件
- AWS Console とCLI(AWS CloudShell 経由)にアクセスできるIAMユーザー
- ユーザーとグループによる IAM Identity Center
- IAM Identity Center を設定したことがない場合は、IAM Identity Center の前提条件を確認することを推奨します。
- 2 つのプライベートサブネットを持つ VPC – AWS Labs の既存のサンプルテンプレートの利用を推奨します。(訳者注)ご自身で最低 2 つのプライベートサブネットおよび NAT Gateway を持つ VPC を構築できる場合もしくは構築済みの場合は、この限りではありません。
注意
このブログでは、IAM Identity Center と統合された QuickSight と WorkSpaces Secure Browser の両方のアプリケーションを取り上げます。QuickSight IP および VPC エンドポイント制限機能は、組織が使用する認証方法に関係なく機能します。また、このブログでは US-West-2(オレゴン)を使用しています。異なる AWS リージョンを使用する場合は、エンドポイント名を変更してください。
AWS IAM Identity Center でのユーザーとグループの作成
このブログでは、1 つのユーザーと 1 つのグループのみが必要です。簡単にするために、管理ユーザー John Smith と QuickSight Administrators という名前のグループを作成します。
注意
組織ですでに Identity Center をデプロイしている場合は、これらの手順は必要ありません。既にユーザとグループがある場合は、「QuickSight の設定」まで読み飛ばしてください。
次に、AWS CLI を使用して、AWS IAM Identity Center 内にグループを作成します。または、既存の ID プロバイダを活用し、Identity Center インスタンスをサポートされている IDP と同期することもできます。グループは、AWS IAM Identity Center と統合する際に QuickSight 内で割り当てに使用されます。
AWS IAM Identity Center 内でグループを作成するには、CloudShell を起動し、コマンドを実行します。
aws identitystore create-group --identity-store-id [Your Identity Store ID] --display-name "QuickSight-Administrators"
注意
CLI オプションは、Identity Center 内の ID ストアを参照する必要があります。これは、Identity Center コンソールの 設定 → アイデンティティソース で確認できます。
デフォルトディレクトリ(コンソール)にユーザを作成するには
- IAM Identity Center を開きます。
- サイドメニューから ユーザー を選択し、ユーザーを追加 を選択します。
- ユーザー名 に john.smith と入力します。
- パスワード には、「パスワードの設定手順が記載された E メールをこのユーザーに送信します。」 を選択します(推奨)。
- E メールアドレス に、アクセス可能なメールアドレスを入力します。
- 名 に John、 姓 に Smith と入力します。
- その他のオプションフィールドは空欄のまま、次へ を選択します。
- グループ で QuickSight-Administrators を選択します。
- 次へを選択します。
- 詳細を確認し、ユーザーを追加 を選択します。
完了したら、John Smith の一般情報とグループメンバーシップを確認します。
QuickSightの設定
ユーザーとグループを作成したら、QuickSight ダッシュボードを作成します。
注意
IAM Identity Center アプリケーションを使用して QuickSight Enterprise Edition アカウントにサインアップするには、適切な権限が必要です。この方法を使用するために必要な権限の詳細については、Amazon QuickSight の IAM アイデンティティベースポリシーを参照してください。
QuickSightアカウントを作成するには(コンソール)
- AWS コンソールから QuickSight を開きます。
- QUICKSIGHT にサインアップを選択します。
- アカウント通知用メールアドレス に、アクセス可能なメールアドレスを入力します。
- 認証方法 は AWS IAM アイデンティティセンターを使用 を選択します。
- QuickSight アカウント名には、ユニークな名前(例えば、{yyyymmdd}-QuickSightDemo-{AWSアカウントID} など) を入力します。
- 設定 を選択します。
- 管理者グループ は、QuickSight-Administrators を検索して選択します。
- IAM ロール で、QuickSight で管理されるロールを使用する (デフォルト) を選択します。
- オプションのアドオンでは、ピクセルパーフェクトレポートを追加 の選択を解除します。
- 完了 を選択します。
QuickSight にリダイレクトされたら、このブログの次のセクションに進みます。
WorkSpaces Secure Browser の導入
WorkSpaces Secure Browser Web ポータル(コンソール)を作成する。
- WorkSpaces Secure Browser コンソールを開きます。
- ポータルを作成 を選択します。
- ネットワーク接続の詳細で、作成した VPC を選択します。
- サブネットで、2つのプライベートサブネットを選択します。
- セキュリティグループでは、デフォルトの VPC セキュリティグループを選択します。
- 次へを選択します。
- ポータルの詳細で、表示名に WorkSpaces Secure Browser ポータルの名前を入力します。
- インスタンスタイプの設定で
- インスタンスタイプで Standard Regular を選択します。
- 最大同時セッション数に 5 を入力します。
ユースケースに基づくWorkSpaces Secure Browserポータルの推奨サイズは、料金ページに記載されています。
- ユーザーアクセスログでは、Kinesis Data Stream Name を空のままにします。
- IP アクセス制御グループの詳細については、IP アクセス制御グループを空のままにします。
- ポリシーの設定
- Startup URL – オプションには、IAM Identity Center コンソールから AWS アクセスポータルの URL を入力します。
- IAM Identity Center コンソール → 設定 → アイデンティティソース から確認できます。
- プライベートブラウジング は、無効 を選択します。
- 履歴の削除は、無効を選択します。
- Startup URL – オプションには、IAM Identity Center コンソールから AWS アクセスポータルの URL を入力します。
- 次へ を選択します。
- ユーザー設定の詳細
- シングルサインオンにWorkSpaces Secure Browser拡張機能を使用できるようにする で、許可済み を選択します。
- この設定により、ユーザーのローカルブラウザから WorkSpaces Secure Browser 管理ブラウザへのブラウザ Cookie を介したシングルサインオン(SSO)が可能になります。初めて WorkSpaces Secure Browser にログインするとき、ユーザーは拡張機能をローカルの Chrome または Firefox ブラウザに追加します。
- ドメインには awsapps.com を入力します。
- クリップボードの許可 は、リモートセッションにのみ貼り付ける を選択します。
- ファイル転送の許可 で アップロードのみ を選択します。
- ローカルデバイスに出力 は 許可されていません を選択します
- シングルサインオンにWorkSpaces Secure Browser拡張機能を使用できるようにする で、許可済み を選択します。
注意
クリップボードの許可とファイル転送の許可によって、WorkSpaces Secure Browserセッションでユーザーが実行できるアクションが決まります。ユーザーが機密データをローカルデバイスにダウンロードできないようにするには、クリップボードの操作を制限して、ユーザーがセッションにコピーすることのみを許可するようにします。ユーザーがセッションにファイルをアップロードすることは許可できますが、ダウンロードすることはできません。この使用例としては、他のデータセットと一緒に分析するために CSV を QuickSight にアップロードすることが考えられます。
- ユーザーセッションの詳細を参照してください。
- 切断タイムアウト(分)に 60 を入力します。
- アイドル切断タイムアウト(分)には、15 を入力します。
- 次へ を選択します。
- アイデンティティプロバイダーを設定します。
- ID プロバイダ(IdP)の詳細については、AWS IAM アイデンティティセンター(AWS SSO の後継サービス)を選択します。
- IAM アイデンティティセンターで続行 を選択します。
- AWS IAM アイデンティティセンター (AWS SSO の後継サービス) の設定詳細
- ユーザー john.smith または以前に作成したユーザーを選択します。
- 次へ を選択して詳細を確認し、ポータルの起動 を選択します。
WorkSpaces Secure Browser ポータルのデプロイには約 10 分かかります。ステータスは WorkSpaces Secure Browser コンソールで確認できます。ポータルが作成されると、割り当てられたユーザの Identity Center アクセスポータルにアプリケーショ ンタイルが表示されます。
Route53 Aレコードによる VPC インタフェースエンドポイントの登録
QuickSight ダッシュボードへのすべてのアクセスが WorkSpaces Secure Browser から行われるようにするには、VPC インターフェースエンドポイントをデプロイし、Route53 Private Hosted ゾーンを作成し、エンドポイント用の A レコードを作成します。これにより、VPC 内のトラフィックが QuickSight VPC エンドポイントにルーティングされます。その後、VPC エンドポイントは QuickSight の IP/VPC 制限リストに登録されます。
QuickSight 用の VPC インターフェース・エンドポイントを作成する
QuickSight 用の VPC インターフェース・エンドポイントを作成するには(コンソール)
- VPC コンソールを開きます。
- 仮想プライベートクラウド メニューの左側で、エンドポイントを選択します。
- エンドポイントの設定で
- 名前タグ に QuickSightVPCe と入力します。
- サービスカテゴリ で、AWSサービス を選択します。
- サービス で QuickSight を検索し、amazonaws.us-west-2.quicksight-website を選択します。
- VPCで、WorkSpaces Secure BrowserをデプロイしたVPCを選択します。
- サブネットで
- WorkSpaces Secure Browserがデプロイされたすべてのアベイラビリティゾーンを選択します。
- サブネット ID では、各アベイラビリティゾーンのプライベートサブネットを選択します。
- Security Groups(セキュリティグループ)で、デフォルトのセキュリティグループを選択します。
- デフォルトのセキュリティ・グループを使用しない場合は、セキュリティ・グループがこのブログで後ほど作成する QuickSight VPC エンドポイントへのトラフィックを許可していることを確認してください。
- エンドポイントを作成 を選択します。
作成後、各エンドポイントの IPv4 アドレスと VPC エンドポイント ID をメモします。これらを Route53 のプライベートホストゾーンで参照し、QuickSight VPC エンドポイントにトラフィックを誘導します。
このステップで、各プライベートサブネットに QuickSight 用の VPC エンドポイントが作成されました。これにより、トラフィックはパブリックインターネットではなく、AWS ネットワークバックボーンを経由してルーティングされるようになります。
Route53 プライベートホストゾーン
Route53 内にプライベートホストゾーンを作成します。プライベートホステッドゾーンは、Amazon VPC サービスを使用して作成した 1 つまたは複数の VPC 内のドメインとそのサブドメインの DNS クエリに Amazon Route 53 が応答する方法に関する情報を保持するコンテナです。Route53 プライベートホストゾーンの詳細については、こちらをお読みください。
DNS A レコードは、ドメイン名を Web サーバなどの IPv4 アドレスに解決するために使用されます。QuickSight ドメイン名を特定の QuickSight VPC エンドポイントに解決するために A レコードを作成します。これにより、VPC 内のトラフィックは、パブリック QuickSight エンドポイントではなく、VPC エンドポイントにルーティングされます。
プライベートホスティングゾーンの A レコードには、[region].quicksight.aws.amazon.com というレコード名を入力します。(訳者注ここから)[region] の箇所に適切なリージョンを設定してください。本ブログのデフォルトのリージョンは、us-west-2(オレゴン) となりますので、A レコードには、us-west-2.quicksight.aws.amazon.com というレコード名を設定することになります。(訳者注ここまで)これにより、WorkSpace Secure Browser セッションから QuickSight を起動したときに、トラフィックが VPC エンドポイントに解決されるようになります。A レコードは、QuickSight サービス名を QuickSight VPC エンドポイントにマッピングするために使用されます。
Route53プライベートホストゾーン(PHZ)とAレコードを作成するには(コンソール)
- Route53 コンソールを開きます。
- サイドメニューで、ホストゾーン を選択します。
- ホストゾーンの作成 で
- ドメイン名 に quicksight.aws.amazon.com と入力します。
- タイプ で プライベートホストゾーン を選択します。
- ホストゾーンに関連付ける VPC で
- リージョン には 米国西部 (オレゴン) を選択します。
- VPC ID には、WorkSpaces Secure Browser が配置されている VPC を選択します。
- ホストゾーンの作成を選択します。
- ゾーンが作成されたら、レコードを作成を選択します。
- レコードをクイック作成で
- レコード名 に us-west-2 と入力します。
- レコードタイプ には、「A – IPv4 アドレスと一部の AWS リソースにトラフィックをルーティングします。」を選択します。
- 値 には、前のセクションでQuickSightエンドポイントを作成したときの各エンドポイントの IPv4 アドレスを入力します。
- レコードを作成 を選択します。
A レコードを作成すると、ホストされたゾーンのコンソールに新しいレコードが反映されます。このレコードの追加により、作成した VPC エンドポイントを経由して QuickSight ダッシュボードへのトラフィックが正しくルーティングされます。
WorkSpaces セキュアブラウザ VPC への QuickSight の制限
QuickSight では、管理者が特定の CIDR、VPC エンドポイント、または VPC ID からダッシュボードへのトラフィックを制限することができます。ローカルマシンの CIDR(開発目的)と WorkSpaces Secure Browser VPC の VPC エンドポイントを追加します。これにより、ローカルワークステーションまたは WorkSpaces Secure Browser ポータルのいずれからも発信されていないトラフィックがブロックされます。
QuickSight(コンソール)で IP および VPC エンドポイントの制限を追加するには
- QuickSight を開き、ページ右上のユーザーアイコンを選択します。
- QuickSight を管理を選択します。
- セキュリティとアクセス許可 を選択します
- IP と VPC エンドポイントの制限までスクロールダウンし、管理を選択します。
- 制限リストに 2 つのエントリを入力します。
- 制限に、/32 が付加された自分の IP アドレスを入力します。(訳者注:自身のIPアドレスは、画面に「ご利用の IP アドレスは 123.123.123.123 です」というように表示されています。)
- Local Laptop などの説明を入力します。
- 追加 を選択します。
- 制限に、作成した VPC エンドポイント ID を入力します。
- WorkSpaces Secure Browser VPC Endpoint などの説明を入力します。
- 追加 を選択します。
- 変更を保存 を選択します。
- 制限を強制 フィールドをオンに切り替えます。
- 制限を強制 を切り替えると、これらのソースから発信されたトラフィックのみが QuickSight ダッシュボードにアクセスできるようになります。
注意
ローカル・デバイスの CIDR を追加しないと、QuickSight へのアクセスが拒否されます。IP/VPC エンドポイントの制限をプログラムで変更するには、AWS CLI コマンドで制限リストを無効にします。
aws quicksight update-ip-restriction --account-id [YOUR AWS ACCOUNT ID] --enabled FALSE
制限リストが適用されると、次の手順で QuickSight ダッシュボードにアクセスできるようになります。
- AWS IAM Identity Center アプリケーションランチャーに移動します。
- WorkSpaces Secure Browser を起動します。
- 初回起動時は 1 分程度かかります。
- WorkSpaces Secure Browser セッションで、IAM Identity Center アプリケーションタブから QuickSight を起動します。
さらに、別のデバイスを使用して、以下の手順に従って制限リストをテストすることができます。
- AWS IAM Identity Center アプリケーションランチャーに移動します。
- QuickSight を起動します。
ユーザーエクスペリエンスのウォークスルー
- ユーザー John Smith が組織の Identity Center AWS アクセスポータルに認証されました。
- John は、アクセス権を付与されたアプリケーションを表示し、QuickSight を起動します。
- QuickSight は、IP/VPC 制限を使用してダッシュボードへのアクセスを拒否します。
- John は WorkSpaces Secure Browser を起動する。
- John の管理者は、Identity Center AWS アクセスポータルをデフォルトのホームページとして設定し、シングル サインオンを設定している。John のローカルブラウザの Cookie が
- WorkSpaces Secure Browser セッションに同期されます。
- John が WorkSpaces Secure Browser セッション内から QuickSight Dashboard を起動することができ、QuickSight の IP/VPC 制限によってブロックされません。
予想される動作を以下に示します。John Smith はローカルブラウザから QuickSight ダッシュボードにアクセスできませんが、WorkSpaces Secure Browser から起動するとアクセスできます。
その他の留意事項
VPCエンドポイントポリシー
このブログでは、VPC エンドポイントポリシーを取り上げませんでしたが、本番ワークロードでは評価することをお勧めします。エンドポイントポリシーをアタッチすることで、特定の QuickSight アカウントまたは特定の AWS 組織配下のアカウントに利用を制限することができます。QuickSight の VPC エンドポイントポリシーの詳細については、こちらを参照してください。
まとめ
このブログでは、QuickSight ダッシュボードへのアクセスを特定のVPCに制限する方法について説明しました。その VPC にWorkSpaces Secure Browser を導入し、秘匿性や機密性の高いデータを扱うダッシュボードにアクセスする際にユーザーが実行できるファイル転送アクション/クリップボードコマンドを制限しました。実装されたコントロールにより、ユーザーは WorkSpaces Secure Browser セッションからローカルワークステーションにデータをダウンロードしたり、コピー/ペーストしたりできなくなります。その他のWorkSpaces Secure Browser の使用例については、サービスの詳細ページをご覧ください。
クリーンアップ
このブログで作成したリソースを削除するには、各サービスの関連ドキュメントを参照してください。