Amazon QuickSight で AWS リソースに対するアクセス許可エラーをトラブルシューティングする方法を教えてください。

最終更新日: 2020 年 9 月 18 日

AWS リソースへの Amazon QuickSight アクセス許可を編集しようとすると、エラーが発生します。どうすればこの問題を解決できますか?

簡単な説明

Amazon QuickSight のアクセス許可を編集すると、次のいずれかのエラーが発生することがあります。

"The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight."
"We were unable to update QuickSight permissions for AWS resources. Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight."

これらのエラーは、AWS Identity and Access Management (IAM) コンソールから AWS リソースへの QuickSight アクセス許可を編集するときに発生します。このエラーを解決するには、他の AWS のサービスとインタラクションするときに QuickSight が引き受ける aws-quicksight-service-role-v0 サービスロールを削除します。さらに、QuickSight が aws-quicksight-service-role-v0 サービスロールにアタッチする管理ポリシーを削除します。

注意: これらのエラーを回避するには、Amazon QuickSight コンソール内から AWS リソースに対する QuickSight アクセス許可を編集してください。

解決方法

QuickSight が AWS リソースにアクセスしようとしたときにアクセス許可エラーが発生した場合は、次の手順を実行します。

注意: IAM コンソールから IAM ロールとポリシーをすでに削除している場合は、ステップ 8 に進みます。

1.    IAM ユーザーが管理者であるか、QuickSight で ADMIN アクセス権を持っていることを確認します。詳細については、Amazon QuickSight 内でのユーザーアクセスの管理を参照してください。

2.    IAM ポリシーで削除が許可されていることを確認します。次に、IAM ポリシーで QuickSight サービスロールおよび対応するカスタマー管理ポリシーである AWSQuickSightIAMPolicy、AWSQuickSightS3Policy、AWSQuickSightRDSPolicy、AWSQuickSightRedshiftPolicy を削除して、再作成できることを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:DetachRolePolicy",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:CreateRole"
            ],
            "Resource": "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "iam:ListPolicies",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "iam:GetPolicy",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies",
                "iam:GenerateServiceLastAccessedDetails",
                "iam:ListEntitiesForPolicy",
                "iam:ListPoliciesGrantingServiceAccess",
                "iam:ListRoles",
                "iam:GetServiceLastAccessedDetails",
                "iam:ListAccountAliases",
                "iam:ListRolePolicies",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": [
                "iam:DeletePolicy",
                "iam:CreatePolicy",
                "iam:CreatePolicyVersion",
                "iam:DeletePolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
                "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
                "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
                "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
            ]
        }
    ]
}

3.    IAM コンソールの左にあるナビゲーションペインで [Roles (ロール)] を選択します。

4.    aws-quicksight-service-role-v0 を検索し、ロール名の横にあるチェックボックスをオンにします。このサービスロールは、QuickSight を使用するときに自動的に作成されます。

5.    [Delete role (ロールの削除)] を選択します。

6.    左のナビゲーションペインで [Policies (ポリシー)] を選択します。

7.    以下のカスタマー管理 IAM ポリシーを検索して削除します。
AWSQuickSightIAMPolicy
AWSQuickSightRedshiftPolicy
AWSQuickSightS3Policy
AWSQuickSightRDSPolicy

注意: QuickSight は、AWS リソースへのアクセスを許可されている場合、AWS 管理ポリシーを使用します。たとえば、AWSQuicksightAthenaAccess ポリシーを使用して、特定の AWS リソースへのアクセスを制御します。AWS 管理ポリシーは削除できません。

8.    Amazon QuickSight コンソールを開きます。

9.    AWS のサービスへの QuickSight アクセスを復元します。その後、QuickSight は自動的にサービスロールを再作成し、アクセス許可のエラーを解決します。Amazon QuickSight がアクセスできる AWS のサービスの有効化の詳細については、他の AWS サービスの使用: アクセスの範囲を制限するを参照してください。


この記事は役に立ちましたか?


請求に関するサポートまたは技術的なサポートが必要ですか?