はじめに
QuickSightの分析を別アカウントへ移行することがあったのですが、今後また使う機会がありそうだなと思うので備忘録として書いておきます!
Enterprise Editionでないと実行できない呼び出しも含みます。
基本的にCLIでの作業となります。
以下が必要となりますので、ご準備ください。
- AWS CLIバージョン2
- 移行先・移行元のQuickSightへのアクセス権限があるIAMユーザの「アクセスキーID」、「シークレットアクセスキー」
- 移行先に移行元と同じデータセットの元データを配置(QuickSightのデータセットからみられるとok。)
やりたいこと
AWSアカウント「AccountA」に立ち上げているQuickSight「QuicksightA」
↓ 分析の移行
AWSアカウント「AccountB」に立ち上げているQuickSight「QuicksightB」
手順
AccountAで作業
1. データセットを作成する(移行元なので作成してあると思うので省略)
2. コンソールなどでCLIにログイン
$ aws configure
3. QuicksightAのデータセットARNを取得
$ aws quicksight list-data-sets --aws-account-id [AccountID(Account A)]
> arn:aws:quicksight:[Region]:[AccountID]:dataset/XXXXXXXXX
4. データセットから分析を作成(こちらも移行元で作成してあるため省略)
5. QuicksightAの分析ARNを取得
$ aws quicksight list-analyses --aws-account-id [AccountID(Account A)]
> ... [arn:aws:quicksight:[Region]:[AccountID]:analysis/XXXXXXXX] ...
6. QuicksightAの分析アクセス権限があるユーザのARNを取得
分析への閲覧権限「READER」だとテンプレートが作成できないかもしれません。試していませんが...
$ aws quicksight list-users --aws-account-id [AccountID(Account A)] --namespace default
> ... [arn:aws:quicksight:[Region]:[AccountID]:user/default/[ユーザ名]] ...
7.テンプレートファイルを作成(quicksight-template.json)
{
"AwsAccountId": "<AccountId(Account A)>",
"TemplateId": "<任意>",
"Name": "<任意>",
"Permissions": [ {
"Principal": "<(6) で取得した Arn>",
"Actions": [
"quicksight:UpdateTemplatePermissions",
"quicksight:DescribeTemplate"
]
}, {
"Principal": "arn:aws:iam::<AccountID(Account B ※注意)>:root",
"Actions": [
"quicksight:DescribeTemplate"
]
}
],
"SourceEntity": {
"SourceAnalysis": {
"Arn": "<(5) で取得した Arn>",
"DataSetReferences": [ {
"DataSetPlaceholder": "<任意(DS1など)>",
"DataSetArn": "<(3) で取得した Arn>"
}
]
}
}
}
8. aws quicksight create-template コマンドでテンプレートを作成。
$ aws quicksight create-template --cli-input-json file://quicksight-template.json
>[ここで出力されるARNは後程必要となるため控えておきます。]
AccountBで作業
9.データセットを作成
AccountBでAWS マネージドコンソールにログインしQuickSightを立ち上げます。
立ち上げたら、先に準備していた元データからQuicksightAにあるものと同じ、移行したい分析の元データセットを作成します。
参考:https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/example-prepared-data-set.html
作成したらCLIに戻ります。
10. AccountBのCLIにログイン
$ aws configure
QuickSightにアクセス権限があるIAMユーザのアクセスキーIDとシークレットアクセスキーでログイン
11. (9)で作成したデータセットのARNを取得
$ aws quicksight list-data-sets --aws-account-id [AccountID]
> ... arn:aws:quicksight:[Region]:[AccountID]:dataset/XXXXXXXXX ...
12.QuicksightBの(分析を保持する)ユーザARNを取得
おそらく「ADMIN」権限を持っている人がいいと思います
$ aws quicksight list-users --aws-account-id [AccountID(AccountB)] --namespace default
> ... [arn:aws:quicksight:[Region]:[AccountID]:user/default/[ユーザ名]] ...
13. 分析テンプレートファイルを作成(quicksight-analysis.json)
{
"AwsAccountId": "<Account Id(AccountB)>",
"AnalysisId": "<任意>",
"Name": "<任意(分析の名前になります)>",
"Permissions": [ {
"Principal": "<(12) で取得した Arn>",
"Actions": [
"quicksight:QueryAnalysis",
"quicksight:DescribeAnalysis",
"quicksight:UpdateAnalysis",
"quicksight:DeleteAnalysis",
"quicksight:RestoreAnalysis",
"quicksight:DescribeAnalysisPermissions",
"quicksight:UpdateAnalysisPermissions"
]
}
],
"SourceEntity": {
"SourceTemplate": {
"DataSetReferences": [ {
"DataSetPlaceholder": "<quicksight-template.jsonのものと同じもの>",
"DataSetArn": "<(9) で取得した Arn>"
}
],
"Arn": "<(8) で取得した Arn>"
}
}
}
14. 分析を作成
$ aws quicksight create-analysis --cli-input-json file://quicksight-analysis.json
マネジメントコンソールでQuickSightをみて分析が作成されていたら成功です。
作成されていない場合、以下の手順を行ってください。
15. 分析のPermissionを変更するファイルを作成(quicksight-analysis-permissions.json)
{
"AwsAccountId": "<Account Id(AccountB)>",
"AnalysisId": "<(13) で指定した AnalysisId>",
"GrantPermissions": [ {
"Principal": "<(12) で取得した Arn>",
"Actions": [
"quicksight:QueryAnalysis",
"quicksight:DescribeAnalysis",
"quicksight:UpdateAnalysis",
"quicksight:DeleteAnalysis",
"quicksight:RestoreAnalysis",
"quicksight:DescribeAnalysisPermissions",
"quicksight:UpdateAnalysisPermissions"
]
}
]
}
16. 分析のPermissionを変更
$ aws quicksight update-analysis-permissions --cli-input-json file://quicksight-analysis-permissions.json
これでもう一度マネジメントコンソールからQuickSightをみて作成できていれば成功です。