Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit auf Zeilenebene in Amazon Quick verwenden
<a name="row-level-security"></a>


|  | 
| --- |
|  Gilt für: Enterprise Edition  | 

In der Enterprise Edition von Amazon Quick können Sie den Zugriff auf einen Datensatz einschränken, indem Sie die Sicherheit auf Zeilenebene (RLS) für ihn konfigurieren. Sie können diese Konfiguration vor oder nach dem Freigeben des Datasets vornehmen. Wenn Sie einen Datensatz mit RLS für Datensatzbesitzer teilen, können diese trotzdem alle Daten sehen. Wenn Sie ihn mit Lesern teilen, können diese jedoch nur die Daten sehen, die durch die Regeln für den Berechtigungsdatensatz eingeschränkt sind.

Wenn Sie Amazon Quick-Dashboards für nicht registrierte Benutzer von Quick in Ihre Anwendung einbetten, können Sie außerdem Sicherheit auf Zeilenebene (RLS) für Daten mit Tags verwenden. filter/restrict Ein Tag ist eine benutzerdefinierte Zeichenfolge, die eine Sitzung in Ihrer Anwendung identifiziert. Sie können Tags verwenden, um RLS-Steuerelemente für Ihre Datensätze zu implementieren. Durch die Konfiguration von RLS-basierten Einschränkungen in Datensätzen filtert Quick die Daten anhand der Sitzungs-Tags, die mit der Benutzeridentität/Sitzung verknüpft sind.

Sie können den Zugriff auf einen Datensatz mithilfe von benutzernamen- oder gruppenbasierten Regeln, tagbasierten Regeln oder beidem einschränken.

Wählen Sie benutzerbasierte Regeln, wenn Sie Daten für Benutzer oder Gruppen sichern möchten, die in Quick bereitgestellt (registriert) wurden. Wählen Sie dazu einen Berechtigungsdatensatz aus, der Regeln enthält, die in Spalten für jeden Benutzer oder jede Gruppe, die auf die Daten zugreift, festgelegt sind. Nur Benutzer oder Gruppen, die in den Regeln identifiziert wurden, haben Zugriff auf Daten.

Wählen Sie tagbasierte Regeln nur, wenn Sie eingebettete Dashboards verwenden und Daten für Benutzer sichern möchten, denen in Quick keine Berechtigungen zugewiesen wurden (nicht registrierte Benutzer). Definieren Sie dazu Tags in Spalten, um Daten zu schützen. Beim Einbetten von Dashboards müssen Werte an Tags übergeben werden.

**Topics**
+ [Verwenden von Sicherheit auf Zeilenebene mit benutzerbasierten Regeln zum Beschränken des Zugriffs auf einen Datensatz](restrict-access-to-a-data-set-using-row-level-security.md)
+ [Verwenden von Sicherheit auf Zeilenebene mit tagbasierten Regeln, um den Zugriff auf einen Datensatz beim Einbetten von Dashboards für anonyme Benutzer einzuschränken](quicksight-dev-rls-tags.md)

# Verwenden von Sicherheit auf Zeilenebene mit benutzerbasierten Regeln zum Beschränken des Zugriffs auf einen Datensatz
<a name="restrict-access-to-a-data-set-using-row-level-security"></a>


|  | 
| --- |
|  Gilt für: Enterprise Edition  | 

In der Enterprise Edition von Amazon Quick können Sie den Zugriff auf einen Datensatz einschränken, indem Sie die Sicherheit auf Zeilenebene (RLS) für ihn konfigurieren. Sie können diese Konfiguration vor oder nach dem Freigeben des Datasets vornehmen. Wenn Sie einen Datensatz mit RLS für Datensatzbesitzer teilen, können diese trotzdem alle Daten sehen. Wenn Sie ihn mit Lesern teilen, können diese jedoch nur die Daten sehen, die durch die Regeln für den Berechtigungsdatensatz eingeschränkt sind. Durch Hinzufügen der Sicherheit auf Zeilenebene können Sie deren Zugriff genauer steuern.

**Anmerkung**  
Bei der Anwendung von SPICE-Datensätzen auf die Sicherheit auf Zeilenebene kann jedes Feld im Datensatz bis zu 2.047 Unicode-Zeichen enthalten. Felder, die mehr als dieses Kontingent enthalten, werden bei der Aufnahme gekürzt. Weitere Informationen zu SPICE-Datenkontingenten finden Sie unter [SPICE-Kontingente für importierte Daten](data-source-limits.md#spice-limits).

Dazu erstellen Sie eine Abfrage oder Datei mit einer Spalte zur Benutzer- oder Gruppenidentifikation. Sie können entweder `UserName` und oder `GroupName` alternativ `UserARN` und verwenden`GroupARN`. Dies entspricht weitgehend dem *Hinzufügen einer Regel* zu diesem Benutzer oder dieser Gruppe. Anschließend können Sie der Abfrage oder der Datei eine Spalte für jedes Feld hinzufügen, für das Sie den Zugriff erteilen oder verhindern wollen. Für jeden Benutzer- oder Gruppennamen, den Sie hinzufügen, fügen Sie die Werte für jedes Feld hinzu. Sie können NULL (kein Wert) verwenden, was "alle Werte" bedeutet. Beispiele für Dataset-Regeln finden Sie unter [Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene](#create-data-set-rules-for-row-level-security).

Um die Dataset-Regeln anzuwenden, fügen Sie diese dem Dataset als Berechtigungsdaten hinzu. Beachten Sie folgende Punkte:
+ Das Datenset mit den Berechtigungen darf keine Duplikatwerte enthalten. Duplikate werden ignoriert, wenn evaluiert wird, wie die Regeln anzuwenden sind.
+ Jeder angegebene Benutzer oder jede angegebene Gruppen nur die Zeilen, die mit den Feldwerten in den Datenset-Regeln *übereinstimmen*. 
+ Wenn Sie einem Benutzer oder einer Gruppe eine Regel hinzufügen und alle anderen Spalten ohne Wert (NULL) beibehalten, gewähren Sie Zugriff auf alle Daten. 
+ Wenn Sie keine Regel für einen Benutzer oder eine Gruppe hinzufügen, sieht dieser Benutzer oder diese Gruppe keine Daten. 
+ Der vollständige Satz von Regeldatensätzen, die pro Benutzer angewendet werden, darf 999 nicht überschreiten. Diese Beschränkung gilt für die Gesamtzahl der Regeln, die einem Benutzernamen direkt zugewiesen sind, plus alle Regeln, die dem Benutzer über Gruppennamen zugewiesen werden. 
+ Wenn ein Feld ein Komma (,) enthält, behandelt Amazon Quick jedes Wort, das durch ein Komma voneinander getrennt ist, als individuellen Wert im Filter. Beispielsweise wird in `('AWS', 'INC')`, `AWS,INC` als zwei Zeichenfolgen betrachtet: `AWS` und `INC`. Um nach `AWS,INC` zu filtern, setzen Sie die Zeichenfolge im Berechtigungsdatensatz in doppelte Anführungszeichen. 

  Wenn es sich bei dem eingeschränkten Datensatz um einen SPICE-Datensatz handelt, darf die Anzahl der pro Benutzer angewendeten Filterwerte 192.000 für jedes eingeschränkte Feld nicht überschreiten. Dies gilt für die Gesamtzahl der Filterwerte, die einem Benutzernamen direkt zugewiesen sind, plus alle Filterwerte, die dem Benutzer über Gruppennamen zugewiesen werden.

  Wenn es sich bei dem eingeschränkten Datensatz um einen Datensatz mit Direktabfrage handelt, variiert die Anzahl der pro Benutzer angewendeten Filterwerte je nach Datenquelle.

  Eine Überschreitung des Grenzwerts für den Filterwert kann dazu führen, dass das visuelle Rendern fehlschlägt. Wir empfehlen, Ihrem eingeschränkten Datensatz eine zusätzliche Spalte hinzuzufügen, um die Zeilen auf der Grundlage der ursprünglichen eingeschränkten Spalte in Gruppen zu unterteilen, sodass die Filterliste gekürzt werden kann.

Amazon Quick behandelt Leerzeichen als Literalwerte. Wenn Sie ein Leerzeichen in einem Feld haben, für das Sie den Zugriff einschränken, gilt die Dataset-Regel für diese Zeilen. Amazon Quick behandelt beides NULLs und Leerzeichen (leere Zeichenketten „“) als „keinen Wert“. Eine NULL ist ein leerer Feldwert. 

Je nach verwendeter Datenquelle kann eine direkte Abfrage für den Zugriff auf eine Tabelle von Berechtigungen konfiguriert werden. Begriffe, die Leerzeichen enthalten, müssen nicht in Anführungszeichen eingeschlossen werden. Wenn Sie eine direkte Abfrage verwenden, können Sie die Abfrage einfach in der ursprünglichen Datenquelle ändern. 

Sie können auch Dataset-Regeln aus einer Textdatei oder einem Arbeitsblatt importieren. Wenn Sie eine CSV-Datei (Datei mit Kommas als Trennzeichen zwischen Werten) verwenden, dürfen Sie keine Leerzeichen in die gegebene Zeile einfügen. Begriffe, die Leerzeichen enthalten, müssen in Anführungszeichen eingeschlossen werden. Wenn Sie dateibasierte Datenset-Regeln verwenden, müssen Sie Änderungen vornehmen, indem Sie die vorhandenen Regeln in den Berechtigungseinstellungen des Datensets überschreiben.

Eingeschränkte Datensätze sind auf dem **Datenbildschirm** mit dem Wort **RESTRICTED** gekennzeichnet.

Untergeordnete Datensätze, die aus einem übergeordneten Datensatz mit aktiven RLS-Regeln erstellt wurden, behalten dieselben RLS-Regeln wie der übergeordnete Datensatz. Sie können dem untergeordneten Datensatz weitere RLS-Regeln hinzufügen, aber Sie können die RLS-Regeln, die der Datensatz vom übergeordneten Datensatz erbt, nicht entfernen. 

Untergeordnete Datenmengen, die aus einer übergeordneten Datenmenge mit aktiven RLS-Regeln erstellt wurden, können nur mit einer Direkten Abfrage erstellt werden. Untergeordnete Datensätze, die die RLS-Regeln der übergeordneten Datenmenge erben, werden in SPICE nicht unterstützt.

Sicherheit auf Zeilenebene ist nur bei Feldern mit Textdaten (string, char, varchar usw.) möglich. Sie kann derzeit nicht für Datums- oder numerische Felder verwendet werden. Die Erkennung von Anomalien wird für Datensätze, die Sicherheit auf Zeilenebene (RLS) verwenden, nicht unterstützt.

## Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene
<a name="create-data-set-rules-for-row-level-security"></a>

Führen Sie die folgenden Schritte durch, um eine Berechtigungsdatei oder Abfrage mit Dataset-Regeln zu erstellen.

**So erstellen Sie eine Berechtigungsdatei oder Abfrage mit Dataset-Regeln**

1. Erstellen Sie eine Datei oder eine Abfrage, die die Dataset-Regeln (Berechtigungen) für die Sicherheit auf Zeilenebene enthält. 

   Die Reihenfolge der Felder spielt keine Rolle. Allerdings wird bei allen Feldern die Groß-/Kleinschreibung berücksichtigt. Stellen Sie sicher, dass sie genau mit den Feldnamen und Werten übereinstimmen. 

   Die Struktur sollte ähnlich einer der folgenden aussehen. Stellen Sie sicher, dass Sie mindestens ein Feld haben, das entweder Benutzer oder Gruppen identifiziert. Sie können beide einbeziehen, aber es wird nur ein einziges benötigt, und es wird jeweils nur eines verwendet. Das Feld, das Sie für Benutzer oder Gruppen verwenden, kann einen beliebigen Namen haben.
**Anmerkung**  
Wenn Sie Gruppen angeben, verwenden Sie nur Amazon Quick-Gruppen oder Microsoft AD-Gruppen. 

   Das folgende Beispiel zeigt eine Tabelle mit Gruppen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Das folgende Beispiel zeigt eine Tabelle mit Benutzernamen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Das folgende Beispiel zeigt eine Tabelle mit Amazon Resource Names (ARNs) für Benutzer und Gruppen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Oder wenn Sie eine CSV-Datei verwenden möchten, sollte die Struktur ähnlich wie bei einer der folgenden aussehen.

   ```
   UserName,SalesRegion,Segment
   AlejandroRosalez,EMEA,"Enterprise,SMB,Startup"
   MarthaRivera,US,Enterprise
   NikhilJayashankars,US,SMB
   PauloSantos,US,Startup
   SaanviSarkar,APAC,"SMB,Startup"
   sales-tps@example.com,"",""
   ZhangWei,APAC-Sales,"Enterprise,Startup"
   ```

   ```
   GroupName,SalesRegion,Segment
   EMEA-Sales,EMEA,"Enterprise,SMB,Startup"
   US-Sales,US,Enterprise
   US-Sales,US,SMB
   US-Sales,US,Startup
   APAC-Sales,APAC,"SMB,Startup"
   Corporate-Reporting,"",""
   APAC-Sales,APAC,"Enterprise,Startup"
   ```

   ```
   UserARN,GroupARN,SalesRegion
   arn:aws:quicksight:us-east-1:123456789012:user/Bob,arn:aws:quicksight:us-east-1:123456789012:group/group-1,APAC
   arn:aws:quicksight:us-east-1:123456789012:user/Sam,arn:aws:quicksight:us-east-1:123456789012:group/group-2,US
   ```

   Es folgt ein SQL-Beispiel.

   ```
   /* for users*/
   	select User as UserName, SalesRegion, Segment
   	from tps-permissions;
   
   	/* for groups*/
   	select Group as GroupName, SalesRegion, Segment
   	from tps-permissions;
   ```

1. Erstellen eines Datensatzes für die Datensatzregeln. Damit Sie dieses später einfacher finden können, vergeben Sie einen aussagekräftigen Namen wie beispielsweise **Permissions-Sales-Pipeline**.

## Erstellen von Datensatzregeln für die Sicherheit auf Zeilenebene
<a name="rules-dataset-flagging-for-row-level-security"></a>

Gehen Sie wie folgt vor, um einen Datensatz als einen Regeldatensatz zu kennzeichnen.

Der Regeldatensatz ist ein Kennzeichen, das Berechtigungsdatensätze, die für die Sicherheit auf Zeilenebene verwendet werden, von regulären Datensätzen unterscheidet. Wenn ein Berechtigungsdatensatz vor dem 31. März 2025 auf einen regulären Datensatz angewendet wurde, wird er auf der Landingpage **Datensatz** mit dem Kennzeichen Regeldatensatz gekennzeichnet. 

Wenn ein Berechtigungsdatensatz bis zum 31. März 2025 nicht auf einen regulären Datensatz angewendet wurde, wird er als regulärer Datensatz eingestuft. Um ihn als Regeldatensatz zu verwenden, duplizieren Sie den Berechtigungsdatensatz und kennzeichnen Sie ihn bei der Erstellung des Datensatzes in der Konsole als Regeldatensatz. Wählen Sie DATENSATZ BEARBEITEN und wählen Sie unter den Optionen die Option ALS REGELDATENSATZ DUPLIZIEREN aus. 

Um ihn erfolgreich als Regeldatensatz zu duplizieren, stellen Sie sicher, dass der ursprüngliche Datensatz Folgendes hat: 1. Erforderliche Spalten für Benutzermetadaten oder Gruppenmetadaten und 2. Nur Spalten vom Typ Zeichenfolge.

Um einen neuen Regeldatensatz auf der Konsole zu erstellen, wählen Sie in der Dropdownliste NEUER DATENSATZ die Option NEUER REGELDATENSATZ aus. Wenn Sie einen Regeldatensatz programmgesteuert erstellen, fügen Sie den folgenden Parameter hinzu [UseAs:](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSet.html#API_CreateDataSet_RequestSyntax) RLS\$1RULES. Dies ist ein optionaler Parameter, der nur zum Erstellen eines Regeldatensatzes verwendet wird. Sobald ein Datensatz entweder über die Konsole oder programmgesteuert erstellt und als Regeldatensatz oder regulärer Datensatz gekennzeichnet wurde, kann er nicht mehr geändert werden.

Sobald Datensätze als Regeldatensätze gekennzeichnet sind, wendet Amazon Quick strenge SPICE-Aufnahmeregeln auf sie an. Um die Datenintegrität zu gewährleisten, schlagen SPICE-Aufnahmen für Regeldatensätze fehl, wenn ungültige Zeilen oder Zellen vorhanden sind, die Längenbeschränkungen überschreiten. Sie müssen die Aufnahmeprobleme beheben, um eine erfolgreiche Aufnahme erneut starten zu können. Strenge Aufnahmeregeln gelten nur für Regeldatensätze. Bei regulären Datensätzen kommt es nicht zu Fehlern bei der Datensatzaufnahme, wenn Zeilen übersprungen oder Zeichenketten gekürzt werden. 

## Anwenden der Sicherheit auf Zeilenebene
<a name="apply-row-level-security"></a>

Gehen Sie wie folgt vor, um die Sicherheit auf Zeilenebene (RLS) anzuwenden. Verwenden Sie dabei eine Datei oder Abfrage als Dataset, das die Regeln für Berechtigungen enthält. 

**So wenden Sie mithilfe einer Datei oder Abfrage Sicherheit auf Zeilenebene**

1. Vergewissern Sie sich, dass Sie die Regeln als neues Dataset hinzugefügt haben. Wenn die Regeln hinzugefügt wurden, aber nicht in der Liste der Datasets angezeigt werden, aktualisieren Sie den Bildschirm.

1. Wählen Sie auf der **Datenseite den Datensatz** aus

1. Wählen Sie auf der sich öffnenden Datensatz-Detailseite für **Sicherheit auf Zeilenebene** die Option **Einrichten** aus.

1. Wählen Sie auf der daraufhin geöffneten Seite **Sicherheit auf Zeilenebene einrichten** die Option **Benutzerbasierte Regeln** aus.

1. Wählen Sie in der erscheinenden Liste der Datasets das Dataset mit den Berechtigungen aus. 

   Wenn die Berechtigungsdaten nicht in diesem Bildschirm angezeigt werden, kehren Sie zur Seite mit der Dataset-Liste zurück und laden Sie diese erneut.

1. Wählen Sie unter **Berechtigungsrichtlinie** die Option **Zugriff auf Datensatz gewähren** aus. Jedes Dataset kann nur ein aktives Dataset mit Berechtigungen enthalten. Wenn Sie ein zweites Dataset mit Berechtigungen hinzufügen, wird das vorhandene überschrieben.
**Wichtig**  
Beim Konfigurieren von Sicherheit auf Zeilenebene gelten für NULL- und leere Zeichenfolgenwerte bestimmte Einschränkungen:  
Wenn Felder mit beschränktem Zugriff im Dataset NULL-Werte oder leere Zeichenfolgen („“) enthalten, werden die betreffenden Zeilen beim Anwenden der Beschränkungen ignoriert. 
Innerhalb des Datasets mit den Berechtigungen werden NULL-Werte und leere Zeichenfolgen gleich behandelt. Weitere Informationen können Sie der folgenden Tabelle entnehmen.
Um zu verhindern, dass versehentlich vertrauliche Informationen preisgegeben werden, überspringt Amazon Quick leere RLS-Regeln, die allen Zugriff gewähren. Eine *leere RLS-Regel* tritt auf, wenn alle Spalten einer Zeile keinen Wert haben. Quick RLS behandelt NULL, leere Zeichenketten („“) oder leere, durch Kommas getrennte Zeichenketten (zum Beispiel „,,,“) als keinen Wert.  
Nach dem Überspringen leerer Regeln gelten weiterhin andere, nicht leere RLS-Regeln.
Wenn ein Berechtigungsdatensatz nur leere Regeln enthält und alle Regeln übersprungen wurden, hat niemand Zugriff auf Daten, die durch diesen Berechtigungsdatensatz eingeschränkt sind.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Jeder Benutzer, für den Sie Ihr Dashboard freigegeben haben, kann alle darin enthaltenen Daten sehen, sofern der Zugriff auf das Dataset nicht durch Dataset-Regeln beschränkt wird. 

1. Wählen Sie **Apply data set** (Datensatz anwenden), um Ihre Änderungen zu speichern. Wählen Sie dann auf der Seite **Datensatzregel speichern?** **Anwenden und aktivieren** aus. Änderungen an Berechtigungen werden sofort für die vorhandenen Benutzer übernommen. 

1. (Optional) Wenn Sie Berechtigungen entfernen möchten, entfernen Sie zunächst die Dataset-Regeln aus dem Dataset. 

   Vergewissern Sie sich, dass die Dataset-Regeln entfernt wurden. Wählen Sie dann das Dataset mit den Berechtigungen aus und klicken Sie auf **Remove data set** (Datensatz entfernen).

   Um Berechtigungen zu überschreiben, wählen Sie ein neues Dataset mit Berechtigungen aus und wenden Sie dieses an. Sie können denselben Datensatznamen verwenden. Stellen Sie jedoch sicher, dass Sie die neuen Berechtigungen auf dem Bildschirm **Berechtigungen** anwenden, um diese Berechtigungen zu aktivieren. SQL-Abfragen werden dynamisch aktualisiert, sodass sie außerhalb von Amazon Quick verwaltet werden können. Bei Abfragen werden die Berechtigungen aktualisiert, wenn der Cache für direkte Abfragen automatisch aktualisiert wird.

Wenn Sie ein dateibasiertes Dataset mit Berechtigungen löschen, bevor Sie es aus dem Ziel-Dataset entfernt haben, können zugriffsbeschränkte Benutzer nicht mehr auf das Dataset zugreifen. Während sich das Dataset in diesem Zustand befindet, bleibt es als **RESTRICTED** gekennzeichnet. Wenn Sie jedoch den Bildschirm **Permissions** dieses Datasets anzeigen, können Sie sehen, dass keine Dataset-Regeln ausgewählt sind. 

Um dieses Problem zu beheben, legen Sie neue Dataset-Regeln fest. Das Erstellen eines Datasets mit demselben Namen reicht dazu nicht aus. Sie müssen das neue Dataset mit Berechtigungen auf dem Bildschirm **Permissions** auswählen. Diese Einschränkung gilt nicht für direkte SQL-Abfragen.

# Verwenden von Sicherheit auf Zeilenebene mit tagbasierten Regeln, um den Zugriff auf einen Datensatz beim Einbetten von Dashboards für anonyme Benutzer einzuschränken
<a name="quicksight-dev-rls-tags"></a>


|  | 
| --- |
|  Gilt für: Enterprise Edition  | 


|  | 
| --- |
|    Zielgruppe: Amazon Quick-Administratoren und Amazon Quick-Entwickler  | 

Wenn Sie Amazon Quick-Dashboards in Ihre Anwendung für Benutzer einbetten, die nicht in Quick bereitgestellt (registriert) sind, können Sie Sicherheit auf Zeilenebene (RLS) für Daten mit Tags verwenden. filter/restrict Ein Tag ist eine benutzerdefinierte Zeichenfolge, die eine Sitzung in Ihrer Anwendung identifiziert. Sie können Tags verwenden, um RLS-Steuerelemente für Ihre Datensätze zu implementieren. Durch die Konfiguration von RLS-basierten Einschränkungen in Datensätzen filtert Quick die Daten anhand der Sitzungs-Tags, die mit der Benutzeridentität/Sitzung verknüpft sind.

Nehmen wir zum Beispiel an, Sie sind ein Logistikunternehmen, das eine kundenorientierte Anwendung für verschiedene Einzelhändler anbietet. Tausende von Benutzern dieser Einzelhändler greifen auf Ihre Anwendung zu, um Statistiken darüber zu erhalten, wie ihre Bestellungen aus Ihrem Lager versendet werden. 

Da Sie nicht Tausende von Benutzern in Quick verwalten möchten, verwenden Sie anonyme Einbettung, um die ausgewählten Dashboards in Ihre Anwendung einzubetten, sodass Ihre authentifizierten und autorisierten Benutzer sie sehen können. Sie möchten jedoch sicherstellen, dass Einzelhändler nur Daten sehen, die für ihr Unternehmen und nicht für andere bestimmt sind. Sie können RLS mit Tags verwenden, um sicherzustellen, dass Ihre Kunden nur Daten sehen, die für sie relevant sind.

Führen Sie dazu die folgenden Schritte aus:

1. Fügen Sie einem Datensatz RLS-Tags hinzu.

1. Weisen Sie diesen Tags zur Laufzeit mithilfe der `GenerateEmbedUrlForAnonymousUser`-API-Operation Werte zu.

   Weitere Informationen zum Einbetten von Dashboards für anonyme Benutzer mithilfe der `GenerateEmbedUrlForAnonymousUser`-API-Operation finden Sie unter [Einbetten von Amazon Quick Sight-Dashboards für anonyme (nicht registrierte) Benutzer](embedded-analytics-dashboards-for-everyone.md).

Beachten Sie die folgenden Punkte, bevor Sie RLS mit Tags verwenden:
+ Die Verwendung von RLS mit Tags wird derzeit nur für anonymes Einbetten unterstützt, insbesondere für eingebettete Dashboards, die die `GenerateEmbedUrlForAnonymousUser`-API-Operation verwenden.
+ Die Verwendung von RLS mit Tags wird für eingebettete Dashboards, die den `GenerateEmbedURLForRegisteredUser`-API-Operation oder den alten `GetDashboardEmbedUrl`-API-Operation verwenden, nicht unterstützt.
+ RLS-Tags werden mit AWS Identity and Access Management (IAM) oder dem Identitätstyp Quick nicht unterstützt.
+ Bei der Anwendung von SPICE-Datensätzen auf die Sicherheit auf Zeilenebene kann jedes Feld im Datensatz bis zu 2.047 Unicode-Zeichen enthalten. Felder, die mehr als dieses Kontingent enthalten, werden bei der Aufnahme gekürzt. Weitere Informationen zu SPICE-Datenkontingenten finden Sie unter [SPICE-Kontingente für importierte Daten](data-source-limits.md#spice-limits).

## Schritt 1: Hinzufügen von RLS-Tags zu einem Datensatz
<a name="quicksight-dev-rls-tags-add"></a>

Sie können tagbasierte Regeln zu einem Datensatz in Amazon Quick hinzufügen. Alternativ können Sie die `CreateDataSet`- oder `UpdateDataSet`-API-Operation aufrufen und auf diese Weise tagbasierte Regeln hinzufügen. Weitere Informationen finden Sie unter [Fügen Sie mithilfe der API RLS-Tags zu einem Datensatz hinzu](#quicksight-dev-rls-tags-add-api).

Gehen Sie wie folgt vor, um einem Datensatz in Quick RLS-Tags hinzuzufügen.

**So fügen Sie einem Datensatz RLS-Tags hinzu**

1. Wählen Sie auf der Schnellstartseite links **Daten** aus.

1. Wählen Sie den Datensatz aus, dem Sie RLS hinzufügen möchten.

1. Wählen Sie auf der sich öffnenden Datensatz-Detailseite für **Sicherheit auf Zeilenebene** die Option **Einrichten** aus.

1. Wählen Sie auf der daraufhin geöffneten Seite **Sicherheit auf Zeilenebene einrichten** die Option **Tag-basierte Regeln** aus.

1. Wählen Sie unter **Spalte** eine Spalte aus, der Sie Tag-Regeln hinzufügen möchten.

   Im Fall des Logistikunternehmens wird die `retailer_id`-Spalte beispielsweise verwendet.

   Es werden nur Spalten mit einem Zeichenfolgendatentyp aufgeführt.

1. Geben Sie für **Tag** einen Tag-Schlüssel ein. Sie können einen beliebigen Tagnamen eingeben.

   Im Fall des Logistikunternehmens wird beispielsweise der Tag-Schlüssel `tag_retailer_id` verwendet. Dadurch wird die Sicherheit auf Zeilenebene auf der Grundlage des Einzelhändlers festgelegt, der auf die Anwendung zugreift.

1. (Optional) Wählen Sie unter **Trennzeichen** ein Trennzeichen aus der Liste aus, oder geben Sie ein eigenes ein.

   Sie können Trennzeichen verwenden, um Textzeichenfolgen zu trennen, wenn Sie einem Tag mehr als einen Wert zuweisen. Der Wert für ein Trennzeichen kann maximal 10 Zeichen lang sein.

1. (Optional) Wählen Sie für **Match all** (Alle übereinstimmen) das Sternchen **\$1** aus, oder geben Sie ein oder mehrere eigene Zeichen ein.

   Bei dieser Option kann es sich um ein beliebiges Zeichen handeln, das Sie verwenden möchten, wenn Sie nach allen Werten in dieser Spalte im Datensatz filtern möchten. Anstatt die Werte einzeln aufzulisten, können Sie das Zeichen verwenden. Wenn dieser Wert angegeben ist, kann er mindestens ein Zeichen oder höchstens 256 Zeichen lang sein.

1. Wählen Sie **Hinzufügen** aus.

   Die Tag-Regel wird dem Datensatz hinzugefügt und unten aufgeführt, aber sie wurde noch nicht angewendet. Um dem Datensatz eine weitere Tag-Regel hinzuzufügen, wiederholen Sie die Schritte 5 - 9. Um eine Tag-Regel zu bearbeiten, wählen Sie das Stiftsymbol, das der Regel folgt. Um eine Tagregel zu löschen, wählen Sie das Löschsymbol, das der Regel folgt. Sie können einem Datensatz bis zu 50 Tags hinzufügen.

1. Wenn Sie bereit sind, die Tag-Regeln auf den Datensatz anzuwenden, wählen Sie **Regeln anwenden** aus.

1. Auf der Seite **Tag-basierte Sicherheit aktivieren?** auf der sich öffnenden Seite wählen Sie **Anwenden und aktivieren** aus.

   Die tagbasierten Regeln sind jetzt aktiv. Auf der Seite **Sicherheit auf Zeilenebene einrichten** wird ein Schalter angezeigt, mit dem Sie Tag-Regeln für den Datensatz ein- und ausschalten können.

   Um alle tagbasierten Regeln für den Datensatz zu deaktivieren, schalten Sie den Schalter **Tag-basierte Regeln** aus und geben Sie dann „Bestätigen“ in das angezeigte Textfeld ein.

   Auf der **Datenseite** wird in der Datensatzzeile ein Schlosssymbol angezeigt, das darauf hinweist, dass Tag-Regeln aktiviert sind.

   Sie können jetzt Tag-Regeln verwenden, um Tag-Werte zur Laufzeit festzulegen, wie unter [Schritt 2: Weisen Sie RLS-Tags zur Laufzeit Werte zu](#quicksight-dev-rls-tags-assign-values) beschrieben. Die Regeln wirken sich nur auf Schnelllesegeräte aus, wenn sie aktiv sind.
**Wichtig**  
Nachdem Tags für den Datensatz zugewiesen und aktiviert wurden, sollten Sie Quick Authors beim Erstellen eines Dashboards die Berechtigung zum Anzeigen aller Daten im Datensatz gewähren.   
Um Schnellautoren die Erlaubnis zu erteilen, Daten im Datensatz zu sehen, erstellen Sie eine Berechtigungsdatei oder Abfrage, die als Datensatzregeln verwendet werden soll. Weitere Informationen finden Sie unter [Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security).

Nachdem Sie eine tagbasierte Regel erstellt haben, wird eine neue Tabelle **Regeln verwalten** angezeigt, die zeigt, wie Ihre tagbasierten Regeln zueinander in Beziehung stehen. Um Änderungen an den in der Tabelle **Regeln verwalten** aufgelisteten Regeln vorzunehmen, wählen Sie das Stiftsymbol, das der Regel folgt. Fügen Sie dann Tags hinzu oder entfernen Sie sie und wählen Sie **Aktualisieren**. Um Ihre aktualisierte Regel auf den Datensatz anzuwenden, wählen Sie **Anwenden** aus.

### (Optional) Fügen Sie die ODER-Bedingung zu RLS-Tags hinzu
<a name="quicksight-dev-rls-tags-or"></a>

Sie können Ihren tagbasierten Regeln auch die OR-Bedingung hinzufügen, um die Art und Weise, wie Daten den Benutzern Ihres Quick-Kontos präsentiert werden, weiter anzupassen. Wenn Sie die OR-Bedingung mit Ihren tagbasierten Regeln verwenden, werden visuelle Elemente in Quick angezeigt, wenn mindestens ein in der Regel definiertes Tag gültig ist.

**So fügen Sie die ODER-Bedingung zu Ihren tagbasierten Regeln hinzu**

1. Wählen Sie in der Tabelle **Regeln verwalten** die Option **ODER-Bedingung hinzufügen** aus.

1. Wählen Sie in der daraufhin angezeigten Dropdownliste **Tag auswählen** das Tag aus, für das Sie eine ODER-Bedingung erstellen möchten. Sie können der Tabelle **Regeln verwalten** bis zu 50 ODER-Bedingungen hinzufügen. Sie können einer einzelnen Spalte in einem Datensatz mehrere Tags hinzufügen, aber mindestens ein Spalten-Tag muss in einer Regel enthalten sein.

1. Wählen Sie **Aktualisieren**, um die Bedingung zu Ihrer Regel hinzuzufügen, und wählen Sie dann **Anwenden**, um die aktualisierte Regel auf Ihren Datensatz anzuwenden.

### Fügen Sie mithilfe der API RLS-Tags zu einem Datensatz hinzu
<a name="quicksight-dev-rls-tags-add-api"></a>

Alternativ können Sie die tagbasierte Sicherheit auf Zeilenebene für Ihren Datensatz konfigurieren und aktivieren, indem Sie die `CreateDataSet`- oder `UpdateDataSet`-API-Operation aufrufen. Im folgenden Beispiel wird es erläutert.

**Wichtig**  
Bei der Konfiguration von Sitzungs-Tags im API-Aufruf  
Behandeln Sie Sitzungs-Tags als Sicherheitsanmeldedaten. Geben Sie Sitzungs-Tags nicht Endbenutzern oder clientseitigem Code preis.
Implementieren Sie serverseitige Steuerelemente. Stellen Sie sicher, dass Sitzungs-Tags ausschließlich von Ihren vertrauenswürdigen Back-End-Diensten festgelegt werden und nicht von Parametern, die Endbenutzer ändern können.
Schützen Sie Sitzungs-Tags vor Aufzählung. Stellen Sie sicher, dass Benutzer in einem Mandanten die SessionTag-Werte anderer Mandanten nicht erkennen oder erraten können.
Überprüfen Sie Ihre Architektur. Wenn nachgelagerte Kunden oder Partner die API direkt aufrufen dürfen, prüfen Sie, ob diese Parteien sessionTag-Werte für Mandanten angeben könnten, auf die sie nicht zugreifen sollten.

------
#### [ CreateDataSet ]

Im Folgenden finden Sie ein Beispiel für die Erstellung eines Datensatzes, der RLS mit Tags verwendet. Es geht von dem zuvor beschriebenen Szenario des Logistikunternehmens aus. Die Tags sind im `row-level-permission-tag-configuration`-Element definiert. Die Tags sind in den Spalten definiert, für die Sie die Daten sichern möchten. Weitere Informationen zu diesem optionalen Element finden Sie [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)in der *Amazon Quick API Reference*.

```
create-data-set
		--aws-account-id <value>
		--data-set-id <value>
		--name <value>
		--physical-table-map <value>
		[--logical-table-map <value>]
		--import-mode <value>
		[--column-groups <value>]
		[--field-folders <value>]
		[--permissions <value>]
		[--row-level-permission-data-set <value>]
		[--column-level-permission-rules <value>]
		[--tags <value>]
		[--cli-input-json <value>]
		[--generate-cli-skeleton <value>]
		[--row-level-permission-tag-configuration 
	'{
		"Status": "ENABLED",
		"TagRules": 
			[
				{
					"TagKey": "tag_retailer_id",
					"ColumnName": "retailer_id",
					"TagMultiValueDelimiter": ",",
					"MatchAllValue": "*"
				},
				{
					"TagKey": "tag_role",
					"ColumnName": "role"
				}
			],
		"TagRuleConfigurations":
			[
				tag_retailer_id
			],
			[
				tag_role
			]
	}'
]
```

Die Tags in diesem Beispiel sind im `TagRules`-Teil des Elements definiert. In diesem Beispiel werden zwei Tags auf der Grundlage von zwei Spalten definiert:
+ Der `tag_retailer_id`-Tag-Schlüssel ist für die `retailer_id`-Spalte definiert. In diesem Fall wird für das Logistikunternehmen die Sicherheit auf Zeilenebene auf der Grundlage des Einzelhändlers festgelegt, der auf die Anwendung zugreift.
+ Der `tag_role`-Tag-Schlüssel ist für die `role`-Spalte definiert. In diesem Fall wird für das Logistikunternehmen eine zusätzliche Sicherheitsebene auf Zeilenebene eingerichtet, die auf der Rolle des Benutzers basiert, der von einem bestimmten Einzelhändler aus auf Ihre Anwendung zugreift. Ein Beispiel ist `store_supervisor` oder `manager`.

Für jedes Tag können Sie `TagMultiValueDelimiter` und `MatchAllValue` definieren. Sie sind optional.
+ `TagMultiValueDelimiter` – Bei dieser Option kann es sich um eine beliebige Zeichenfolge handeln, mit der Sie die Werte abgrenzen möchten, wenn Sie sie zur Laufzeit übergeben. Der Wert kann bis zu 10 Zeichen lang sein. In diesem Fall wird ein Komma als Trennzeichen verwendet.
+ `MatchAllValue` – Bei dieser Option kann es sich um ein beliebiges Zeichen handeln, das Sie verwenden möchten, wenn Sie nach allen Werten in dieser Spalte im Datensatz filtern möchten. Anstatt die Werte einzeln aufzulisten, können Sie das Zeichen verwenden. Falls angegeben, kann dieser Wert mindestens ein Zeichen oder höchstens 256 Zeichen lang sein. In diesem Fall wird ein Sternchen als Match-All-Wert verwendet.

Wenn Sie die Tags für Datensatzspalten konfigurieren, schalten Sie sie mithilfe der obligatorischen Eigenschaft `Status` ein oder aus. Verwenden Sie den Wert `ENABLED` für diese Eigenschaft, um die Tag-Regeln zu aktivieren. Wenn Sie Tag-Regeln aktivieren, können Sie sie verwenden, um Tag-Werte zur Laufzeit festzulegen, wie unter [Schritt 2: Weisen Sie RLS-Tags zur Laufzeit Werte zu](#quicksight-dev-rls-tags-assign-values) beschrieben.

Im Folgenden sehen Sie ein Beispiel für die Antwortdefinition.

```
{
			"Status": 201,
			"Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset",
			"DataSetId": "RLS-Dataset",
			"RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2"
		}
```

------
#### [ UpdateDataSet ]

**UpdateDataSet**

Sie können die `UpdateDataSet`-API-Operation verwenden, um RLS-Tags für einen vorhandenen Datensatz hinzuzufügen oder zu aktualisieren.

Im Folgenden finden Sie ein Beispiel für die Aktualisierung eines Datensatzes mit RLS-Tags. Es geht von dem zuvor beschriebenen Szenario des Logistikunternehmens aus.

```
update-data-set
		--aws-account-id <value>
		--data-set-id <value>
		--name <value>
		--physical-table-map <value>
		[--logical-table-map <value>]
		--import-mode <value>
		[--column-groups <value>
		[--field-folders <value>]
		[--row-level-permission-data-set <value>]
		[--column-level-permission-rules <value>]
		[--cli-input-json <value>]
		[--generate-cli-skeleton <value>]
				[--row-level-permission-tag-configuration 
	'{
		"Status": "ENABLED",
		"TagRules": 
			[
				{
					"TagKey": "tag_retailer_id",
					"ColumnName": "retailer_id",
					"TagMultiValueDelimiter": ",",
					"MatchAllValue": "*"
				},
				{
					"TagKey": "tag_role",
					"ColumnName": "role"
				}
			],
		"TagRuleConfigurations":
			[
				tag_retailer_id
			],
			[
				tag_role
			]
	}'
]
```

Im Folgenden sehen Sie ein Beispiel für die Antwortdefinition.

```
{
			"Status": 201,
			"Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset",
			"DataSetId": "RLS-Dataset",
			"RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2"
		}
```

------

**Wichtig**  
Nachdem Tags für den Datensatz zugewiesen und aktiviert wurden, sollten Sie Quick Authors bei der Erstellung eines Dashboards die Erlaubnis erteilen, alle Daten im Datensatz zu sehen.   
Um Schnellautoren die Erlaubnis zu erteilen, Daten im Datensatz zu sehen, erstellen Sie eine Berechtigungsdatei oder Abfrage, die als Datensatzregeln verwendet werden soll. Weitere Informationen finden Sie unter [Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security).

Weitere Informationen zu dem `RowLevelPermissionTagConfiguration` Element finden Sie [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)in der *Amazon Quick API Reference*.

## Schritt 2: Weisen Sie RLS-Tags zur Laufzeit Werte zu
<a name="quicksight-dev-rls-tags-assign-values"></a>

Sie können Tags für RLS nur zum anonymen Einbetten verwenden. Mithilfe der `GenerateEmbedUrlForAnonymousUser`-API-Operation können Sie Werte für Tags festlegen.

**Wichtig**  
Bei der Konfiguration von Sitzungs-Tags im API-Aufruf  
Behandeln Sie Sitzungs-Tags als Sicherheitsanmeldedaten. Geben Sie Sitzungs-Tags nicht Endbenutzern oder clientseitigem Code preis.
Implementieren Sie serverseitige Steuerelemente. Stellen Sie sicher, dass Sitzungs-Tags ausschließlich von Ihren vertrauenswürdigen Back-End-Diensten festgelegt werden und nicht von Parametern, die Endbenutzer ändern können.
Schützen Sie Sitzungs-Tags vor Aufzählung. Stellen Sie sicher, dass Benutzer in einem Mandanten die SessionTag-Werte anderer Mandanten nicht erkennen oder erraten können.
Überprüfen Sie Ihre Architektur. Wenn nachgelagerte Kunden oder Partner die API direkt aufrufen dürfen, prüfen Sie, ob diese Parteien sessionTag-Werte für Mandanten angeben könnten, auf die sie nicht zugreifen sollten.

Das folgende Beispiel zeigt, wie RLS-Tags, die im vorherigen Schritt im Datensatz definiert wurden, Werte zugewiesen werden.

```
POST /accounts/AwsAccountId/embed-url/anonymous-user
	HTTP/1.1
	Content-type: application/json
	{
		“AwsAccountId”: “string”,
		“SessionLifetimeInMinutes”: integer,
		“Namespace”: “string”, // The namespace to which the anonymous end user virtually belongs
		“SessionTags”:  // Optional: Can be used for row-level security
			[
				{
					“Key”: “tag_retailer_id”,
					“Value”: “West,Central,South”
				}
				{
					“Key”: “tag_role”,
					“Value”: “shift_manager”
				}
			],
		“AuthorizedResourceArns”:
			[
				“string”
			],
		“ExperienceConfiguration”:
			{
				“Dashboard”:
					{
						“InitialDashboardId”: “string”
						// This is the initial dashboard ID the customer wants the user to land on. This ID goes in the output URL.
					}
			}
	}
```

Im Folgenden sehen Sie ein Beispiel für die Antwortdefinition.

```
HTTP/1.1 Status
	Content-type: application/json

	{
	"EmbedUrl": "string",
	"RequestId": "string"
	}
```

RLS-Unterstützung ohne Registrierung von Benutzern in Quick wird nur im `GenerateEmbedUrlForAnonymousUser` API-Betrieb unterstützt. In dieser Operation können Sie unter `SessionTags` die Werte für die Tags definieren, die den Datensatzspalten zugeordnet sind.

In diesem Fall werden die folgenden Zuweisungen definiert:
+ Die Werte `West`, `Central` und `South` werden dem `tag_retailer_id`-Tag zur Laufzeit zugewiesen. Für das Trennzeichen, das in `TagMultipleValueDelimiter` im Datensatz definiert wurde, wird ein Komma verwendet. Um Aufrufwerte in der Spalte zu verwenden, können Sie den Wert auf *\$1* setzen, der bei der Erstellung des Tags als `MatchAllValue` definiert wurde.
+ Der Wert `shift_manager` wird dem `tag_role`-Tag zugewiesen.

Der Benutzer, der die generierte URL verwendet, kann nur die Zeilen anzeigen, die den `shift_manager`-Wert in der `role`-Spalte enthalten. Dieser Benutzer kann nur den Wert `West`, `Central` oder `South` in der `retailer_id`-Spalte sehen.

Weitere Informationen zum Einbetten von Dashboards für anonyme Benutzer mithilfe der `GenerateEmbedUrlForAnonymousUser` API-Operation finden Sie unter [Einbetten von Amazon Quick Sight-Dashboards für anonyme (nicht registrierte) Benutzer](embedded-analytics-dashboards-for-everyone.md) oder [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)in der *Amazon Quick* API Reference