SSE-KMSで暗号化したS3バケットからQSにデータ連携する方法

SSE-KMSで暗号化したS3バケットからQSにデータ連携する方法:

はじめに

投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。

暗号化キーの準備

マネージメントコンソールにログイン

IAMを選択し、暗号化キーをクリック

S3バケットを作成するリージョンを選択してから、キー作成をクリック

エイリアス(暗号化キーの名称)を入力

タグを入力(Optional)

キー管理アクセス許可の定義で「aws-quicksight-service-role-v0」を選択する

キーの使用アクセス許可の定義「aws-quicksight-service-role-v0」を選択する

※「aws-quicksight-service-role-v0」はQSが自動作成したIAMロール

自動作成されたIAMポリシーを手動で編集してはいけない。QSから編集したIAMポリシーが変更できなくなる。

This policy used by QuickSight for AWS resource access was modified outside of Quicksight, so you can no longer edit this policy to provide AWS resource permission to QuickSight. To edit this policy permissions, go to IAM console and delete this policy permission with policy arn - arn:aws:iam::793493288704:policy/service-role/AWSQuickSightS3Policy.

新規にIAMポリシーをAttachした場合、すべてのIAMポリシーがQSから操作不可になる。

The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight.

s3の設定

バケット作成

プロパティのデフォルト暗号化でAWS-KMSを選択し、先程作成した暗号化キーを指定

テスト用のデータをUpload

QS設定

QSにログインし、右上のユーザアイコンをクリックしManage QuickSightを選択

Account settingsからManage QuickSight Permissionをクリック

対象のS3のチェックボックにチェックを入れアクセス許可を付与

前述した、aws-quicksight-service-role-v0のAWSQuickSightS3Policyに対象のs3が追加される

QSにS3からデータを取り込む

データ元となるS3と対象ファイルを記述したマニュフェストファイルを準備

{ 
   "fileLocations": [ 
          {"URIPrefixes": 
              [ 
              "https://s3.amazonaws.com/<バケット名>/ファイル名" 
               ] 
          } 
     ], 
     "globalUploadSettings": { 
       "format": "CSV", 
       "textqualifier": "\"", 
       "delimiter": "," 
   } 
} 

QSでNew analysis>New Datasetをクリック

データソースとしてs3を選択する

データソース名を入力

マニフェストファイルを指定する

データがロードされる