Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces

Die Amazon QuickSight Enterprise Edition unterstützt Mehrmandantenfähigkeit über Namespaces. Ein QuickSight Namespace ist ein logischer Container, den Sie verwenden können, um Kunden, Tochtergesellschaften, Teams usw. zu organisieren. Namespaces können Ihnen helfen, die folgenden Ziele zu erreichen:

  • Sie können den Benutzern Ihres QuickSight Abonnements ermöglichen, geteilte Inhalte zu entdecken und diese mit anderen Benutzern zu teilen. Gleichzeitig können Sie sicher sein, dass Benutzer in einem Namespace keine Benutzer in einem anderen Namespace sehen oder mit ihnen interagieren können.

  • Sie können Daten sicher isolieren und auch verschiedene Workloads unterstützen, ohne zusätzliche AWS Konten hinzufügen zu müssen. Der Zugriff auf Daten wird immer noch streng durch AWS Sicherheitsfunktionen kontrolliert. Benutzer können Komponenten (wie Daten und Dashboards) nur sehen, wenn sie über die richtigen Ressourcenberechtigungen verfügen. Außerdem können Benutzer, die über Berechtigungen verfügen, Inhalte nicht versehentlich Personen zugänglich machen, die sich außerhalb ihres Namespaces befinden. Weitere Informationen finden Sie unter AWS Sicherheit bei Amazon QuickSight.

  • Sie können Datenflüsse und Nutzungsberichte überwachen, die übersichtlich nach Namespaces unterteilt sind. Die Kategorisierung von Daten und Berichten nach Namespace kann dazu beitragen, die Kosten- und Sicherheitsanalyse zu vereinfachen.

  • Nachdem Sie Benutzer in Ihrem Namespace registriert haben, entsteht kein zusätzlicher Verwaltungsaufwand oder Mehraufwand.

  • Namespaces sind so konzipiert, dass sie sich über mehrere AWS-Regionen Bereiche erstrecken, sodass sich die Nutzungsbeschränkungen auch dann nicht ändern, wenn sich eine Person bei einer anderen Person anmeldet. AWS-Region

Namespaces haben derzeit die folgenden Einschränkungen:

  • Benutzerdefinierte Namespaces — also solche, bei denen es sich nicht um den Standard-Namespace handelt — sind nur für Benutzer von Federated Single Sign On zugänglich. IAM

  • Verwenden Sie Standard-Namespaces anstelle von benutzerdefinierten Namespaces, wenn Sie Folgendes unterstützen müssen:

  • Sie können Benutzer nicht direkt von einem Namespace in einen anderen übertragen. Sie können wählen, ob Sie diese Arbeit teilweise oder vollständig programmgesteuert erledigen möchten. Weitere Informationen finden Sie in der QuickSight APIAmazon-Referenz. Unten auf der Seite jeder API Operation befindet sich eine Liste mit Links zu derselben Operation in den vier SDKs anderen Sprachen. Welche Tools verfügbar SDKs sind, finden Sie unter SDKsund in den Toolkits im Ressourcencenter „AWS Erste Schritte“.

Wenn Sie noch kein vorhandenes haben AWS-Konto oder für das Sie sich registrieren müssen QuickSight, lesen Sie die folgenden Richtlinien und folgen Sie dann den entsprechenden Anweisungen unterMelden Sie sich für ein QuickSight Amazon-Abonnement an:

  • Melden Sie sich für die Enterprise Edition an.

  • Wenn Sie gefragt werden, mit welcher Methode Sie eine Verbindung herstellen möchten, wählen Sie Role Based Federation (IAM). Derzeit unterstützen Namespaces nur Kunden, die eine AWS Identity and Access Management (IAM) -Rolle mit einem Web-Identitätsverbund verwenden. Weitere Informationen finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund)

  • Schließen Sie den Anmeldevorgang ab.

  • Verwenden Sie den QuickSight CreateNamespaceAPIVorgang, um einen oder mehrere Namespaces zu erstellen.

  • Um mit dem Hinzufügen von Benutzern zu beginnen, folgen Sie zunächst den Anweisungen unter Einrichtung eines IdP-Verbunds mit IAM und QuickSight. Verwenden Sie dann den RegisterUserAPIVorgang, um Benutzer zum entsprechenden Namespace hinzuzufügen.

Wenn Sie sich bereits für die Standard Edition angemeldet haben, können Sie Ihr Abonnement problemlos auf die Enterprise Edition aktualisieren. Die Person, die das Upgrade durchführt, muss ein QuickSight Benutzer mit Administratorrechten sein. Weitere Informationen finden Sie unter Aktualisieren Sie Ihr QuickSight Amazon-Abonnement von der Standard Edition auf die Enterprise Edition.

Wenn Sie ein Enterprise Edition-Abonnement haben, das Sie schon länger verwenden, ist es auch möglich, Ihre Benutzer in Namespaces zu migrieren. Wenn Sie sich für Benutzer registrieren QuickSight und diese hinzufügen, befinden sich alle Benutzer im Standard-Namespace. Alle Benutzer können direkt miteinander interagieren und Daten und Dashboards miteinander teilen. Um Ihre Benutzer voneinander zu isolieren, können Sie einen oder mehrere zusätzliche Namespaces erstellen.

Wichtig

QuickSight Vermögenswerte und Ressourcen, einschließlich Datensätzen, Datenquellen, Dashboards, Analysen usw., existieren außerhalb eines beliebigen Namespaces. Sie sind nur für Benutzer sichtbar, denen Ressourcenberechtigungen erteilt wurden.

Um Namespaces zu implementieren, verwenden Sie die folgenden Operationen: QuickSight API

Namespaces werden in den unten aufgeführten Regionen nicht unterstützt:

  • af-south-1Afrika (Kapstadt)

  • ap-southeast-3Asien-Pazifik (Jakarta)

  • eu-south-1Europa (Mailand)

  • eu-central-2Europa (Zürich)

Anmerkung

Wenn Sie das installieren müssen AWS CLI, finden Sie weitere Informationen unter Installation der AWS CLI Version 2 im AWS Command Line Interface Benutzerhandbuch.

Um Benutzer zu einem Namespace hinzuzufügen, verwenden Sie den RegisterUserAPIVorgang. Jeder Namespace hat eine völlig unabhängige Gruppe von Benutzern. Der Benutzer fügt ARNs den Namespace-Qualifier hinzu, um sie zu unterscheiden, wie in den folgenden Beispielen gezeigt:

  • QuickSight betrachtet diese beiden Entitäten als unterschiedliche Personen:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight betrachtet diese beiden Einheiten als dieselbe Person:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Wenn Sie verwenden RegisterUser, wählen Sie für jeden Benutzer eine Zugriffsebene aus. Nachdem der Benutzername einer Person einer der Sicherheitskohorten zugewiesen wurde, API wird ihr Zugriff auf die Konsole eingeschränkt. Benutzer QuickSight können über eine einzige Zugriffsebene verfügen, und zwar wie folgt:

  • Leserzugriff für Subscriber eines Dashboards mit Lesezugriff

  • Autorenzugriff für Analysten und Dashboard-Designer

  • Admin-Zugang, für QuickSight Administratoren

Zur Migration bestehender Benutzer von einem Namespace in einen anderen Namespace

Gehen Sie wie folgt vor, um bestehende Benutzer von einem Namespace in einen anderen Namespace zu migrieren.

  1. Identifizieren Sie mithilfe der Benutzer- und Gruppenoperationen die QuickSight Benutzer, die Sie in einen anderen Namespace übertragen möchten. API Weitere Informationen finden Sie in der QuickSight APIAmazon-Referenz unter APIOperationen zur Zugriffskontrolle.

  2. Erstellen Sie mithilfe der RegisterUserAPIOperation Benutzer im neuen Namespace. Innerhalb eines Namespaces sind Benutzernamen eindeutig.

    Wenn ein Namespace-Benutzer anfängt, die QuickSight Konsole oder API einen neuen zu verwenden AWS-Region, ist dieser Benutzer immer noch auf den Namespace beschränkt, zu dem Sie ihn hinzugefügt haben. Jeder Namespace steht für ein Benutzerverzeichnis eines Identitätsanbieters. Daher stammt er aus dem primären AWS-Region Bereich, in dem er eingerichtet ist. QuickSight Da das Benutzerverzeichnis jedoch global in Ihrem AWS Konto verbreitet wird, ist der Namespace von jedem AWS-Region Ort aus zugänglich, den Ihre Benutzer verwenden. QuickSight

  3. Um die Asset- und Ressourcenberechtigungen zu ermitteln, die die neuen Namespace-Benutzer benötigen, verwenden Sie die QuickSight API Operationen, die mit den einzelnen Asset-Typen (Dashboards, Datensätze usw.) verknüpft sind. Weitere Informationen finden Sie in der QuickSight APIAmazon-Referenz unter QuickSightAPIOperationen zur Kontrolle von Vermögenswerten.

    Angenommen, Sie fokussieren sich auf Dashboards. Sie können ListDashboards damit alle Dashboards IDs in Ihrem AWS Konto auflisten. Um dann zu bestimmen, welche Benutzer oder Gruppen auf diese Dashboards zugreifen können, können Sie DescribeDashboardPermissions anhand der von ListDashboards generierten Ergebnismenge verwenden. Wenn Sie bestimmte Versionen eines Dashboards identifizieren müssen, können Sie ListDashboardVersions hierfür verwenden. Mit den Datenquellen- und API Datensatzoperationen können Sie auch Informationen über den Speicherort der Daten sammeln, die im Dashboard verwendet werden. Weitere Informationen finden Sie in der QuickSight APIAmazon-Referenz unter QuickSight APIOperationen zur Steuerung von Datenressourcen.

    Weitere Informationen zum Filtern der API Antwortausgabe finden Sie in der SDK Dokumentation für die Sprache, die Sie verwenden. Informationen zu AWS Command Line Interface (AWS CLI) finden Sie AWS CLI im AWS Command Line Interface Benutzerhandbuch unter Steuern der Befehlsausgabe von.

  4. Kopieren Sie für QuickSight Assets und Ressourcen die Berechtigungen, die der Quell-Namespace-Benutzer für jedes Asset hat. Verwenden Sie dann beispielsweise UpdateDashboardPermissions, um dem Ziel-Namespace-Benutzer dieselben Berechtigungen zuzuweisen. Jeder Asset-Typ hat seinen eigenen Satz von API Operationen zur Steuerung der Berechtigungen, die Benutzer zur Verwendung des Objekts haben müssen. Weitere Informationen finden Sie in der QuickSight APIAmazon-Referenz unter QuickSight APIOperationen für Asset- und Ressourcenberechtigungen.

  5. Wenn Sie mit dem Hinzufügen von Benutzern und Berechtigungen fertig sind, empfiehlt es sich, etwas Zeit für die Benutzerakzeptanztests einzuplanen. Dadurch wird sichergestellt, dass jeder den neuen Namespace erfolgreich verwendet. Außerdem wird dadurch sichergestellt, dass alle Komponenten und Ressourcen im neuen Namespace zugänglich sind.

    Wenn Sie sicher sind, dass Sie die ursprünglichen Benutzernamen nicht mehr benötigen, können Sie damit beginnen, deren Berechtigungen im ursprünglichen Namespace zu deaktivieren. Wenn die Benutzer bereit sind, können Sie schließlich die unbenutzten Gruppen- und Benutzernamen aus dem Quell-Namespace entfernen. Tun Sie dies in allen Bereichen AWS-Region , in denen Ihre Benutzer zuvor aktiv waren.