Amazon QuickSight で発生する AWS リソースのアクセス許可に関するエラーをトラブルシューティングする方法を教えてください。

所要時間2分
0

AWS リソースに対する Amazon QuickSight のアクセス許可を編集しようとしたところ、エラーが発生します。

簡単な説明

Amazon QuickSight のアクセス許可を編集すると、次のエラーのいずれかが表示されることがあります。

  • 「The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight.」
  • 「We were unable to update QuickSight permissions for AWS resources.Either you are not authorized to edit QuickSight permissions on AWS resources, or the QuickSight permissions were changed using the IAM console and are therefore no longer updateable through QuickSight.」
  • 「We cannot update the IAM Role」
  • 「QuickSight has detected unknown policies attached to following roles please detach them and retry」
  • 「Something went wrong For more information see Set IAM policy」

これらのエラーは、AWS Identity and Access Management (IAM) コンソールから、AWS リソースに対する QuickSight のアクセス許可を編集したときに発生します。

注: ベストプラクティスは、IAM コンソールではなく Amazon QuickSight コンソールを使用して AWS リソースに対する QuickSight のアクセス許可を編集することです。

解決策

QuickSight が他の AWS サービスとやり取りするときに引き受ける aws-quicksight-service-role-v0 サービスロールと aws-quicksight-s3-consumers-role-v0 サービスロールを削除します。次に、aws-quicksight-service-role-v0 サービスロールと aws-quicksight-s3-consumers-role-v0 サービスロールに QuickSight がアタッチする管理ポリシーを削除します。最後に、AWS サービスへの QuickSight のアクセスを復元します。

重要: ポリシーの削除を開始する前に、必ず IdiAM ポリシーのバックアップがあることを確認してください。バックアップを作成することで、以前にアクセスしていた Amazon Simple Storage Service (Amazon S3) アカウントのリソースを参照しやすくなります。

IAM QuickSight と IAM のアクセス許可を確認してからサービスロールとポリシーを削除する

  1. 指示に従って QuickSight のユーザーアカウントを表示します。ADMIN ロールを持つユーザーがいることを確認します。

  2. IAM コンソールを開きます。

  3. (オプション) まだ作成していない場合は、IAM ユーザー管理者を作成する手順に従います。

  4. 以下のような QuickSight サービスとロールの作成および削除が、IAM ポリシーにより許可されていることを確認します。

    {  
      "Version": "2012-10-17",
      "Statement": [
        {
          "Sid": "VisualEditor0",
          "Effect": "Allow",
          "Action": [
            "iam:GetRole",
            "iam:DetachRolePolicy",
            "iam:DeleteRole",
            "iam:AttachRolePolicy",
            "iam:CreateRole"
          ],
          "Resource":[
             "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-service-role-v0"
             "arn:aws:iam::<Account-id>:role/service-role/aws-quicksight-s3-consumers-role-v0"
          ]
        },
        {
          "Sid": "VisualEditor1",
          "Effect": "Allow",
          "Action": [
            "iam:ListPolicies",
            "iam:GetPolicyVersion",
            "iam:GetRole",
            "iam:GetPolicy",
            "iam:ListPolicyVersions",
            "iam:ListAttachedRolePolicies",
            "iam:GenerateServiceLastAccessedDetails",
            "iam:ListEntitiesForPolicy",
            "iam:ListPoliciesGrantingServiceAccess",
            "iam:ListRoles",
            "iam:GetServiceLastAccessedDetails",
            "iam:ListAccountAliases",
            "iam:ListRolePolicies",
            "s3:ListAllMyBuckets"
          ],
          "Resource": "*"
        },
        {
          "Sid": "VisualEditor2",
          "Effect": "Allow",
          "Action": [
            "iam:DeletePolicy",
            "iam:CreatePolicy",
            "iam:CreatePolicyVersion",
            "iam:DeletePolicyVersion"
          ],
          "Resource": [
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightIAMPolicy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRDSPolicy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3Policy",
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightRedshiftPolicy"
            "arn:aws:iam::<Account-id>:policy/service-role/AWSQuickSightS3ConsumersPolicy"
          ]
        }
      ]
    }
  5. ナビゲーションペインで、[ロール] を選択します。

  6. ロールの検索ペインで、次の IAM ロールを検索して削除します。aws-quicksight-service-role-v0 aws-quicksight-s3-consumers-role-v0 注: これらのサービスロールは、QuickSight でのアクセス許可の設定時に、QuickSight により自動的に作成されます。

  7. ナビゲーションペインで、[ポリシー] を選択します。

  8. ポリシーの検索ペインで、次のカスタマー管理 IAM ポリシーを検索して削除します
    AWSQuickSightRedshiftPolicy
    AWSQuickSightRDSPolicy
    AWSQuickSightIAMPolicy
    AWSQuickSightS3Policy
    AWSQuickSightS3ConsumersPolicy

注: AWS リソースへのアクセスが許可されている QuickSight では、AWS 管理ポリシーが使用されます。例えば、AWSQuicksightAthenaAccess ポリシーは、特定の AWS リソースへのアクセスを制御します。AWS 管理ポリシーは削除できません。

AWS サービスへの QuickSight のアクセスを復元する

  1. Amazon QuickSight コンソールを開きます。
  2. ナビゲーションバーで、[ユーザー名] ドロップダウンリストを選択し、[QuickSight の管理] を選択します。
  3. ナビゲーションペインで [セキュリティとアクセス権限] を選択します。
  4. [QuickSight の AWS のサービスへのアクセス] で、[管理] を選択します。
  5. [これらのリソースへのアクセスと自動検出を許可する] で、復元する AWS サービスを選択します。
  6. [保存] を選択します。

QuickSight の他の AWS サービスへのアクセスを設定する方法の詳細については、「Accessing data sources」を参照してください。

関連情報

IAM policy examples for Amazon QuickSight

AWS managed policies for Amazon QuickSight

AWS公式
AWS公式更新しました 6ヶ月前
コメントはありません

関連するコンテンツ