Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan keamanan tingkat baris di Amazon Quick
<a name="row-level-security"></a>


|  | 
| --- |
|  Berlaku untuk: Enterprise Edition  | 

Di Amazon Quick edisi Enterprise, Anda dapat membatasi akses ke kumpulan data dengan mengonfigurasi keamanan tingkat baris (RLS) di dalamnya. Anda dapat melakukan ini sebelum atau setelah Anda membagikan kumpulan data. Saat Anda berbagi kumpulan data dengan RLS dengan pemilik kumpulan data, mereka masih dapat melihat semua data. Namun, ketika Anda membagikannya dengan pembaca, mereka hanya dapat melihat data yang dibatasi oleh aturan kumpulan data izin.

Selain itu, saat Anda menyematkan dasbor Amazon Quick di aplikasi Anda untuk pengguna Quick yang tidak terdaftar, Anda dapat menggunakan keamanan tingkat baris (RLS) ke data dengan tag. filter/restrict Tag adalah string yang ditentukan pengguna yang mengidentifikasi sesi dalam aplikasi Anda. Anda dapat menggunakan tag untuk mengimplementasikan kontrol RLS untuk kumpulan data Anda. Dengan mengonfigurasi pembatasan berbasis RLS dalam kumpulan data, Quick memfilter data berdasarkan tag sesi yang terkait dengan identitas/sesi pengguna.

Anda dapat membatasi akses ke kumpulan data menggunakan nama pengguna atau aturan berbasis grup, aturan berbasis tag, atau keduanya.

Pilih aturan berbasis pengguna jika Anda ingin mengamankan data untuk pengguna atau grup yang disediakan (terdaftar) di Quick. Untuk melakukannya, pilih kumpulan data izin yang berisi aturan yang ditetapkan oleh kolom untuk setiap pengguna atau grup yang mengakses data. Hanya pengguna atau grup yang diidentifikasi dalam aturan yang memiliki akses ke data.

Pilih aturan berbasis tag hanya jika Anda menggunakan dasbor tertanam dan ingin mengamankan data untuk pengguna yang tidak disediakan (pengguna tidak terdaftar) di Quick. Untuk melakukannya, tentukan tag pada kolom untuk mengamankan data. Nilai ke tag harus diteruskan saat menyematkan dasbor.

**Topics**
+ [Menggunakan keamanan tingkat baris dengan aturan berbasis pengguna untuk membatasi akses ke kumpulan data](restrict-access-to-a-data-set-using-row-level-security.md)
+ [Menggunakan keamanan tingkat baris dengan aturan berbasis tag untuk membatasi akses ke kumpulan data saat menyematkan dasbor untuk pengguna anonim](quicksight-dev-rls-tags.md)

# Menggunakan keamanan tingkat baris dengan aturan berbasis pengguna untuk membatasi akses ke kumpulan data
<a name="restrict-access-to-a-data-set-using-row-level-security"></a>


|  | 
| --- |
|  Berlaku untuk: Enterprise Edition  | 

Di Amazon Quick edisi Enterprise, Anda dapat membatasi akses ke kumpulan data dengan mengonfigurasi keamanan tingkat baris (RLS) di dalamnya. Anda dapat melakukan ini sebelum atau setelah Anda membagikan kumpulan data. Saat Anda berbagi kumpulan data dengan RLS dengan pemilik kumpulan data, mereka masih dapat melihat semua data. Namun, ketika Anda membagikannya dengan pembaca, mereka hanya dapat melihat data yang dibatasi oleh aturan kumpulan data izin. Dengan menambahkan keamanan tingkat baris, Anda dapat lebih mengontrol akses mereka.

**catatan**  
Saat menerapkan kumpulan data SPICE ke keamanan tingkat baris, setiap bidang dalam kumpulan data dapat berisi hingga 2.047 karakter Unicode. Bidang yang berisi lebih dari kuota ini dipotong selama konsumsi. Untuk mempelajari lebih lanjut tentang kuota data SPICE, lihat[SPICEkuota untuk data yang diimpor](data-source-limits.md#spice-limits).

Untuk melakukan ini, Anda membuat kueri atau file dengan satu kolom untuk identifikasi pengguna atau grup. Anda dapat menggunakan salah satu `UserName` dan`GroupName`, atau sebagai alternatif `UserARN` dan`GroupARN`. Anda dapat menganggap ini sebagai *menambahkan aturan* untuk pengguna atau grup itu. Kemudian Anda dapat menambahkan satu kolom ke kueri atau file untuk setiap bidang yang ingin Anda berikan atau batasi aksesnya. Untuk setiap nama pengguna atau grup yang Anda tambahkan, Anda menambahkan nilai untuk setiap bidang. Anda dapat menggunakan NULL (tidak ada nilai) berarti semua nilai. Untuk melihat contoh aturan kumpulan data, lihat[Membuat aturan kumpulan data untuk keamanan tingkat baris](#create-data-set-rules-for-row-level-security).

Untuk menerapkan aturan kumpulan data, Anda menambahkan aturan sebagai kumpulan data izin ke kumpulan data Anda. Perlu diingat poin-poin berikut:
+ Dataset izin tidak dapat berisi nilai duplikat. Duplikat diabaikan saat mengevaluasi cara menerapkan aturan.
+ Setiap pengguna atau grup yang ditentukan hanya dapat melihat baris yang *cocok dengan* nilai bidang dalam aturan kumpulan data. 
+ Jika Anda menambahkan aturan untuk pengguna atau grup dan membiarkan semua kolom lain tanpa nilai (NULL), Anda memberi mereka akses ke semua data. 
+ Jika Anda tidak menambahkan aturan untuk pengguna atau grup, pengguna atau grup tersebut tidak dapat melihat data apa pun. 
+ Set lengkap catatan aturan yang diterapkan per pengguna tidak boleh melebihi 999. Batasan ini berlaku untuk jumlah total aturan yang secara langsung ditetapkan ke nama pengguna, ditambah aturan apa pun yang ditetapkan kepada pengguna melalui nama grup. 
+ Jika bidang menyertakan koma (,) Amazon Quick memperlakukan setiap kata yang dipisahkan dari yang lain dengan koma sebagai nilai individual dalam filter. Misalnya, di`('AWS', 'INC')`, `AWS,INC` dianggap sebagai dua string: `AWS` dan`INC`. Untuk memfilter`AWS,INC`, bungkus string dengan tanda kutip ganda dalam dataset izin. 

  Jika kumpulan data terbatas adalah kumpulan SPICE data, jumlah nilai filter yang diterapkan per pengguna tidak dapat melebihi 192.000 untuk setiap bidang terbatas. Ini berlaku untuk jumlah total nilai filter yang langsung ditetapkan ke nama pengguna, ditambah nilai filter apa pun yang ditetapkan ke pengguna melalui nama grup.

  Jika kumpulan data terbatas adalah kumpulan data kueri langsung, jumlah nilai filter yang diterapkan per pengguna bervariasi dari sumber data.

  Melebihi batas nilai filter dapat menyebabkan rendering visual gagal. Sebaiknya tambahkan kolom tambahan ke kumpulan data terbatas Anda untuk membagi baris menjadi grup berdasarkan kolom terbatas asli sehingga daftar filter dapat dipersingkat.

Amazon Quick memperlakukan spasi sebagai nilai literal. Jika Anda memiliki spasi di bidang yang Anda batasi, aturan kumpulan data berlaku untuk baris tersebut. Amazon Quick memperlakukan keduanya NULLs dan kosong (string kosong “”) sebagai “tidak ada nilai”. NULL adalah nilai bidang kosong. 

Bergantung pada sumber data dari mana dataset Anda berasal, Anda dapat mengonfigurasi kueri langsung untuk mengakses tabel izin. Istilah dengan spasi di dalamnya tidak perlu dibatasi dengan tanda kutip. Jika Anda menggunakan kueri langsung, Anda dapat dengan mudah mengubah kueri di sumber data asli. 

Atau Anda dapat mengunggah aturan kumpulan data dari file teks atau spreadsheet. Jika Anda menggunakan file nilai dipisahkan koma (CSV), jangan sertakan spasi apa pun pada baris yang diberikan. Istilah dengan spasi di dalamnya perlu dibatasi dengan tanda kutip. Jika Anda menggunakan aturan kumpulan data yang berbasis file, terapkan perubahan apa pun dengan menimpa aturan yang ada di setelan izin kumpulan data.

Kumpulan data yang dibatasi ditandai dengan kata **DIBATASI** di **Data** layar.

Kumpulan data anak yang dibuat dari kumpulan data induk yang memiliki aturan RLS aktif mempertahankan aturan RLS yang sama dengan yang dimiliki kumpulan data induk. Anda dapat menambahkan lebih banyak aturan RLS ke kumpulan data turunan, tetapi Anda tidak dapat menghapus aturan RLS yang diwarisi kumpulan data dari kumpulan data induk. 

Dataset anak yang dibuat dari dataset induk yang memiliki aturan RLS aktif hanya dapat dibuat dengan Direct Query. Kumpulan data anak yang mewarisi aturan RLS kumpulan data induk tidak didukung di SPICE.

Keamanan tingkat baris hanya berfungsi untuk bidang yang berisi data tekstual (string, char, varchar, dan sebagainya). Saat ini tidak berfungsi untuk tanggal atau bidang numerik. Deteksi anomali tidak didukung untuk kumpulan data yang menggunakan keamanan tingkat baris (RLS).

## Membuat aturan kumpulan data untuk keamanan tingkat baris
<a name="create-data-set-rules-for-row-level-security"></a>

Gunakan prosedur berikut untuk membuat file izin atau kueri untuk digunakan sebagai aturan kumpulan data.

**Untuk membuat file izin atau kueri untuk digunakan sebagai aturan dataset**

1. Buat file atau kueri yang berisi aturan kumpulan data (izin) untuk keamanan tingkat baris. 

   Tidak peduli apa urutan bidangnya. Namun, semua bidang peka huruf besar/kecil. Pastikan bahwa mereka benar-benar cocok dengan nama bidang dan nilai. 

   Strukturnya harus terlihat mirip dengan salah satu dari berikut ini. Pastikan Anda memiliki setidaknya satu bidang yang mengidentifikasi pengguna atau grup. Anda dapat memasukkan keduanya, tetapi hanya satu yang diperlukan, dan hanya satu yang digunakan pada satu waktu. Bidang yang Anda gunakan untuk pengguna atau grup dapat memiliki nama apa pun yang Anda pilih.
**catatan**  
Jika Anda menentukan grup, gunakan hanya grup Amazon Quick atau grup iklan Microsoft. 

   Contoh berikut menunjukkan tabel dengan grup.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Contoh berikut menunjukkan tabel dengan nama pengguna.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Contoh berikut menunjukkan tabel dengan pengguna dan grup Amazon Resource Names (ARNs).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Atau jika Anda menggunakan file.csv, strukturnya akan terlihat mirip dengan salah satu dari berikut ini.

   ```
   UserName,SalesRegion,Segment
   AlejandroRosalez,EMEA,"Enterprise,SMB,Startup"
   MarthaRivera,US,Enterprise
   NikhilJayashankars,US,SMB
   PauloSantos,US,Startup
   SaanviSarkar,APAC,"SMB,Startup"
   sales-tps@example.com,"",""
   ZhangWei,APAC-Sales,"Enterprise,Startup"
   ```

   ```
   GroupName,SalesRegion,Segment
   EMEA-Sales,EMEA,"Enterprise,SMB,Startup"
   US-Sales,US,Enterprise
   US-Sales,US,SMB
   US-Sales,US,Startup
   APAC-Sales,APAC,"SMB,Startup"
   Corporate-Reporting,"",""
   APAC-Sales,APAC,"Enterprise,Startup"
   ```

   ```
   UserARN,GroupARN,SalesRegion
   arn:aws:quicksight:us-east-1:123456789012:user/Bob,arn:aws:quicksight:us-east-1:123456789012:group/group-1,APAC
   arn:aws:quicksight:us-east-1:123456789012:user/Sam,arn:aws:quicksight:us-east-1:123456789012:group/group-2,US
   ```

   Berikut ini adalah contoh SQL.

   ```
   /* for users*/
   	select User as UserName, SalesRegion, Segment
   	from tps-permissions;
   
   	/* for groups*/
   	select Group as GroupName, SalesRegion, Segment
   	from tps-permissions;
   ```

1. Buat kumpulan data untuk aturan kumpulan data. Untuk memastikan bahwa Anda dapat dengan mudah menemukannya, berikan nama yang bermakna, misalnya**Permissions-Sales-Pipeline**.

## Aturan Penandaan Dataset untuk keamanan tingkat baris
<a name="rules-dataset-flagging-for-row-level-security"></a>

Gunakan prosedur berikut untuk menandai kumpulan data dengan tepat sebagai kumpulan data aturan.

Rules Dataset adalah tanda yang membedakan kumpulan data izin yang digunakan untuk keamanan tingkat baris dari kumpulan data biasa. **Jika kumpulan data izin diterapkan ke kumpulan data reguler sebelum 31 Maret 2025, itu akan memiliki flag Rules Dataset di halaman arahan Dataset.** 

Jika kumpulan data izin tidak diterapkan ke kumpulan data reguler pada 31 Maret 2025, itu akan dikategorikan sebagai kumpulan data reguler. Untuk menggunakannya sebagai kumpulan data aturan, duplikat dataset izin dan tandai sebagai kumpulan data aturan di konsol saat membuat kumpulan data. Pilih EDIT DATASET dan di bawah opsi, pilih DUPLICATE AS RULES DATASET. 

Agar berhasil menduplikasinya sebagai kumpulan data aturan, pastikan kumpulan data asli memiliki: 1. Diperlukan metadata pengguna atau kolom metadata grup dan 2. Hanya kolom tipe string.

Untuk membuat kumpulan data aturan baru di konsol, pilih DATASET ATURAN BARU di bawah tarik-turun DATASET BARU. [Saat membuat kumpulan data aturan secara terprogram, tambahkan parameter berikut:: UseAs RLS\$1RULES.](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSet.html#API_CreateDataSet_RequestSyntax) Ini adalah parameter opsional yang hanya digunakan untuk membuat kumpulan data aturan. Setelah kumpulan data dibuat, baik melalui konsol atau secara terprogram, dan ditandai sebagai kumpulan data aturan atau kumpulan data reguler, itu tidak dapat diubah.

Setelah kumpulan data ditandai sebagai kumpulan data aturan, Amazon Quick akan menerapkan aturan konsumsi SPICE yang ketat pada mereka. Untuk memastikan integritas data, konsumsi SPICE untuk kumpulan data aturan akan gagal jika ada baris atau sel yang tidak valid melebihi batas panjang. Anda harus memperbaiki masalah konsumsi untuk memulai kembali konsumsi yang berhasil. Aturan konsumsi yang ketat hanya berlaku untuk kumpulan data aturan. Kumpulan data reguler tidak akan mengalami kegagalan konsumsi kumpulan data saat ada baris yang dilewati atau pemotongan string. 

## Menerapkan keamanan tingkat baris
<a name="apply-row-level-security"></a>

Gunakan prosedur berikut untuk menerapkan keamanan tingkat baris (RLS) dengan menggunakan file atau kueri sebagai kumpulan data yang berisi aturan untuk izin. 

**Untuk menerapkan keamanan tingkat baris dengan menggunakan file atau kueri**

1. Konfirmasikan bahwa Anda telah menambahkan aturan sebagai kumpulan data baru. Jika Anda menambahkannya, tetapi tidak melihatnya di bawah daftar kumpulan data, segarkan layar.

1. Pada halaman **Data**, pilih kumpulan data

1. **Pada halaman detail kumpulan data yang terbuka, untuk **keamanan tingkat Baris**, pilih Siapkan.**

1. Pada halaman **Mengatur keamanan tingkat baris** yang terbuka, pilih Aturan berbasis **pengguna**.

1. Dari daftar kumpulan data yang muncul, pilih dataset izin Anda. 

   Jika kumpulan data izin Anda tidak muncul di layar ini, kembali ke kumpulan data Anda, dan segarkan halaman.

1. Untuk **kebijakan Izin** pilih **Berikan akses ke kumpulan data**. Setiap dataset hanya memiliki satu dataset izin aktif. Jika Anda mencoba menambahkan dataset izin kedua, itu menimpa yang sudah ada.
**penting**  
Beberapa batasan berlaku untuk nilai NULL dan string kosong saat bekerja dengan keamanan tingkat baris:  
Jika kumpulan data Anda memiliki nilai NULL atau string kosong (“”) di bidang terbatas, baris ini akan diabaikan saat pembatasan diterapkan. 
Di dalam dataset izin, nilai NULL dan string kosong diperlakukan sama. Untuk informasi lebih lanjut, lihat tabel di bawah ini.
Untuk mencegah pengungkapan informasi sensitif secara tidak sengaja, Amazon Quick melewatkan aturan RLS kosong yang memberikan akses ke semua orang. *Aturan RLS kosong* terjadi ketika semua kolom baris tidak memiliki nilai. RLS cepat memperlakukan NULL, string kosong (“”), atau string kosong yang dipisahkan koma (misalnya “,,,”) sebagai tidak ada nilai.  
Setelah melewatkan aturan kosong, aturan RLS nonempty lainnya masih berlaku.
Jika kumpulan data izin hanya memiliki aturan kosong dan semuanya dilewati, tidak ada yang akan memiliki akses ke data apa pun yang dibatasi oleh kumpulan data izin ini.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Siapa pun yang Anda bagikan dasbor dapat melihat semua data di dalamnya, kecuali kumpulan data dibatasi oleh aturan kumpulan data. 

1. Pilih **Terapkan kumpulan data** untuk menyimpan perubahan Anda. Lalu, pada **Simpan aturan set data?** halaman, pilih **Terapkan dan aktifkan**. Perubahan izin langsung berlaku untuk pengguna yang ada. 

1. (Opsional) Untuk menghapus izin, pertama-tama hapus aturan kumpulan data dari kumpulan data. 

   Pastikan bahwa aturan dataset dihapus. Kemudian, pilih dataset izin dan pilih **Hapus kumpulan data**.

   Untuk menimpa izin, pilih dataset izin baru dan terapkan. Anda dapat menggunakan kembali nama dataset yang sama. Namun, pastikan untuk menerapkan izin baru di layar Izin untuk membuat **izin** ini aktif. Kueri SQL diperbarui secara dinamis, sehingga ini dapat dikelola di luar Amazon Quick. Untuk kueri, izin diperbarui saat cache kueri langsung disegarkan secara otomatis.

Jika Anda menghapus kumpulan data izin berbasis file sebelum menghapusnya dari kumpulan data target, pengguna yang dibatasi tidak dapat mengakses kumpulan data. Sementara dataset dalam keadaan ini, tetap ditandai sebagai **DIBATASI**. Namun, saat Anda melihat **Izin** untuk kumpulan data tersebut, Anda dapat melihat bahwa ia tidak memiliki aturan kumpulan data yang dipilih. 

Untuk memperbaikinya, tentukan aturan dataset baru. Membuat kumpulan data dengan nama yang sama tidak cukup untuk memperbaikinya. Anda harus memilih kumpulan data izin baru di layar **Izin**. Pembatasan ini tidak berlaku untuk kueri SQL langsung.

# Menggunakan keamanan tingkat baris dengan aturan berbasis tag untuk membatasi akses ke kumpulan data saat menyematkan dasbor untuk pengguna anonim
<a name="quicksight-dev-rls-tags"></a>


|  | 
| --- |
|  Berlaku untuk: Enterprise Edition  | 


|  | 
| --- |
|    Pemirsa yang dituju: Administrator Cepat Amazon dan pengembang Amazon Quick  | 

Saat menyematkan dasbor Amazon Quick di aplikasi untuk pengguna yang tidak disediakan (terdaftar) di Quick, Anda dapat menggunakan keamanan tingkat baris (RLS) ke data dengan tag. filter/restrict Tag adalah string yang ditentukan pengguna yang mengidentifikasi sesi dalam aplikasi Anda. Anda dapat menggunakan tag untuk mengimplementasikan kontrol RLS untuk kumpulan data Anda. Dengan mengonfigurasi pembatasan berbasis RLS dalam kumpulan data, Quick memfilter data berdasarkan tag sesi yang terkait dengan identitas/sesi pengguna.

Misalnya, katakanlah Anda adalah perusahaan logistik yang memiliki aplikasi yang menghadap pelanggan untuk berbagai pengecer. Ribuan pengguna dari pengecer ini mengakses aplikasi Anda untuk melihat metrik yang terkait dengan bagaimana pesanan mereka dikirim dari gudang Anda. 

Anda tidak ingin mengelola ribuan pengguna di Quick, jadi Anda menggunakan penyematan anonim untuk menyematkan dasbor yang dipilih di aplikasi Anda yang dapat dilihat oleh pengguna yang diautentikasi dan resmi. Namun, Anda ingin memastikan pengecer hanya melihat data yang untuk bisnis mereka dan bukan untuk orang lain. Anda dapat menggunakan RLS dengan tag untuk memastikan pelanggan Anda hanya melihat data yang relevan dengan mereka.

Untuk melakukannya, selesaikan langkah-langkah berikut:

1. Tambahkan tag RLS ke kumpulan data.

1. Tetapkan nilai ke tag tersebut saat runtime menggunakan operasi `GenerateEmbedUrlForAnonymousUser` API.

   Untuk informasi selengkapnya tentang menyematkan dasbor untuk pengguna anonim yang menggunakan operasi `GenerateEmbedUrlForAnonymousUser` API, lihat. [Menyematkan dasbor Amazon Quick Sight untuk pengguna anonim (tidak terdaftar)](embedded-analytics-dashboards-for-everyone.md)

Sebelum Anda dapat menggunakan RLS dengan tag, ingatlah poin-poin berikut:
+ Menggunakan RLS dengan tag saat ini hanya didukung untuk penyematan anonim, khususnya untuk dasbor tertanam yang menggunakan operasi API. `GenerateEmbedUrlForAnonymousUser`
+ Menggunakan RLS dengan tag tidak didukung untuk dasbor tertanam yang menggunakan operasi `GenerateEmbedURLForRegisteredUser` API atau operasi `GetDashboardEmbedUrl` API lama.
+ Tag RLS tidak didukung dengan AWS Identity and Access Management (IAM) atau tipe identitas Cepat.
+ Saat menerapkan kumpulan data SPICE ke keamanan tingkat baris, setiap bidang dalam kumpulan data dapat berisi hingga 2.047 karakter Unicode. Kolom yang berisi lebih dari kuota ini dipotong selama konsumsi. Untuk mempelajari lebih lanjut tentang kuota data SPICE, lihat[SPICEkuota untuk data yang diimpor](data-source-limits.md#spice-limits).

## Langkah 1: Tambahkan tag RLS ke dataset
<a name="quicksight-dev-rls-tags-add"></a>

Anda dapat menambahkan aturan berbasis tag ke kumpulan data di Amazon Quick. Atau, Anda dapat memanggil operasi `CreateDataSet` atau `UpdateDataSet` API dan menambahkan aturan berbasis tag dengan cara itu. Untuk informasi selengkapnya, lihat [Menambahkan tag RLS ke kumpulan data menggunakan API](#quicksight-dev-rls-tags-add-api).

Gunakan prosedur berikut untuk menambahkan tag RLS ke kumpulan data di Quick.

**Untuk menambahkan tag RLS ke kumpulan data**

1. Dari halaman Mulai cepat, pilih **Data** di sebelah kiri.

1. Pilih kumpulan data yang ingin Anda tambahkan RLS.

1. **Pada halaman detail kumpulan data yang terbuka, untuk **keamanan tingkat Baris**, pilih Siapkan.**

1. Pada halaman **Siapkan keamanan tingkat baris** yang terbuka, pilih aturan berbasis **Tag**.

1. Untuk **Kolom**, pilih kolom yang ingin Anda tambahkan aturan tag.

   Misalnya, dalam kasus untuk perusahaan logistik, `retailer_id` kolom digunakan.

   Hanya kolom dengan tipe data string yang terdaftar.

1. Untuk **Tag**, masukkan kunci tag. Anda dapat memasukkan nama tag apa pun yang Anda inginkan.

   Misalnya, dalam kasus untuk perusahaan logistik, kunci tag `tag_retailer_id` digunakan. Melakukan hal ini menetapkan keamanan tingkat baris berdasarkan pengecer yang mengakses aplikasi.

1. (Opsional) Untuk **Pembatas**, pilih pembatas dari daftar, atau masukkan pembatas Anda sendiri.

   Anda dapat menggunakan pembatas untuk memisahkan string teks saat menetapkan lebih dari satu nilai ke tag. Nilai untuk pembatas bisa 10 karakter, paling banyak.

1. (Opsional) Untuk **Cocokkan semua**, pilih **\$1**, atau masukkan karakter atau karakter Anda sendiri.

   Opsi ini dapat berupa karakter apa pun yang ingin Anda gunakan saat Anda ingin memfilter berdasarkan semua nilai di kolom itu di kumpulan data. Alih-alih mencantumkan nilai satu per satu, Anda dapat menggunakan karakter. Jika nilai ini ditentukan, itu bisa setidaknya satu karakter, atau paling banyak 256 karakter.

1. Pilih **Tambahkan**.

   Aturan tag ditambahkan ke kumpulan data dan terdaftar di bagian bawah, tetapi belum diterapkan. Untuk menambahkan aturan tag lain ke kumpulan data, ulangi langkah 5—9. Untuk mengedit aturan tag, pilih ikon pensil yang mengikuti aturan. Untuk menghapus aturan tag, pilih ikon hapus yang mengikuti aturan. Anda dapat menambahkan hingga 50 tag ke kumpulan data.

1. Saat Anda siap menerapkan aturan tag ke kumpulan data, pilih **Terapkan aturan**.

1. Pada **Nyalakan keamanan berbasis tag**? halaman yang terbuka, pilih **Terapkan dan aktifkan**.

   Aturan berbasis tag sekarang aktif. Pada halaman **Mengatur keamanan tingkat baris**, sakelar muncul bagi Anda untuk mengaktifkan dan menonaktifkan aturan tag untuk kumpulan data.

   Untuk menonaktifkan semua aturan berbasis tag untuk kumpulan data, matikan **aturan Berbasis Tag**, lalu masukkan “konfirmasi” di kotak teks yang muncul.

   Pada halaman **Data**, ikon kunci muncul di baris kumpulan data untuk menunjukkan bahwa aturan tag diaktifkan.

   Anda sekarang dapat menggunakan aturan tag untuk menetapkan nilai tag saat runtime, dijelaskan dalam[Langkah 2: Tetapkan nilai ke tag RLS saat runtime](#quicksight-dev-rls-tags-assign-values). Aturan hanya memengaruhi pembaca Cepat saat aktif.
**penting**  
Setelah tag ditetapkan dan diaktifkan pada kumpulan data, pastikan untuk memberikan izin kepada penulis Cepat untuk melihat data apa pun di kumpulan data saat membuat dasbor.   
Untuk memberikan izin kepada penulis Cepat untuk melihat data dalam kumpulan data, buat file izin atau kueri untuk digunakan sebagai aturan kumpulan data. Untuk informasi selengkapnya, lihat [Membuat aturan kumpulan data untuk keamanan tingkat baris](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security).

Setelah Anda membuat aturan berbasis tag, tabel **Kelola aturan** baru akan muncul yang menunjukkan bagaimana aturan berbasis tag Anda terkait satu sama lain. Untuk membuat perubahan pada aturan yang tercantum dalam tabel **Kelola aturan**, pilih ikon pensil yang mengikuti aturan. Kemudian tambahkan atau hapus tag, dan pilih **Perbarui**. Untuk menerapkan aturan yang diperbarui ke kumpulan data, pilih **Terapkan**.

### (Opsional) Tambahkan kondisi OR ke tag RLS
<a name="quicksight-dev-rls-tags-or"></a>

Anda juga dapat menambahkan kondisi OR ke aturan berbasis tag untuk menyesuaikan lebih lanjut cara data disajikan kepada pengguna akun Cepat Anda. Saat Anda menggunakan kondisi OR dengan aturan berbasis tag, visual di Quick akan muncul jika setidaknya satu tag yang ditentukan dalam aturan valid.

**Untuk menambahkan kondisi OR ke aturan berbasis tag**

1. Dalam tabel **Kelola aturan**, pilih **Tambah ATAU kondisi**.

1. Dalam daftar tarik-turun **Pilih tag** yang muncul, pilih tag yang ingin Anda buat kondisi OR. Anda dapat menambahkan hingga 50 kondisi OR ke tabel **Kelola aturan**. Anda dapat menambahkan beberapa tag ke satu kolom dalam kumpulan data, tetapi setidaknya satu tag kolom harus disertakan dalam aturan.

1. Pilih **Perbarui** untuk menambahkan kondisi ke aturan Anda, lalu pilih **Terapkan** untuk menerapkan aturan yang diperbarui ke kumpulan data Anda.

### Menambahkan tag RLS ke kumpulan data menggunakan API
<a name="quicksight-dev-rls-tags-add-api"></a>

Atau, Anda dapat mengonfigurasi dan mengaktifkan keamanan tingkat baris berbasis tag pada kumpulan data Anda dengan memanggil operasi atau API. `CreateDataSet` `UpdateDataSet` Gunakan contoh berikut untuk mempelajari caranya.

**penting**  
Saat mengonfigurasi tag sesi dalam panggilan API,  
Perlakukan tag sesi sebagai kredensyal keamanan. Jangan mengekspos tag sesi ke pengguna akhir atau kode sisi klien.
Menerapkan kontrol sisi server. Pastikan tag sesi disetel secara eksklusif oleh layanan backend tepercaya Anda, bukan oleh parameter yang dapat dimodifikasi oleh pengguna akhir.
Lindungi tag sesi dari enumerasi. Pastikan bahwa pengguna dalam satu penyewa tidak dapat menemukan atau menebak nilai SessionTag milik penyewa lain.
Tinjau arsitektur Anda. Jika pelanggan atau mitra hilir diizinkan untuk memanggil API secara langsung, evaluasi apakah pihak-pihak tersebut dapat menentukan nilai SessionTag untuk penyewa yang tidak boleh mereka akses.

------
#### [ CreateDataSet ]

Berikut ini adalah contoh untuk membuat dataset yang menggunakan RLS dengan tag. Ini mengasumsikan skenario perusahaan logistik yang dijelaskan sebelumnya. Tag didefinisikan dalam `row-level-permission-tag-configuration` elemen. Tag ditentukan pada kolom yang ingin Anda amankan datanya. Untuk informasi selengkapnya tentang elemen opsional ini, lihat [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)di *Referensi API Cepat Amazon*.

```
create-data-set
		--aws-account-id <value>
		--data-set-id <value>
		--name <value>
		--physical-table-map <value>
		[--logical-table-map <value>]
		--import-mode <value>
		[--column-groups <value>]
		[--field-folders <value>]
		[--permissions <value>]
		[--row-level-permission-data-set <value>]
		[--column-level-permission-rules <value>]
		[--tags <value>]
		[--cli-input-json <value>]
		[--generate-cli-skeleton <value>]
		[--row-level-permission-tag-configuration 
	'{
		"Status": "ENABLED",
		"TagRules": 
			[
				{
					"TagKey": "tag_retailer_id",
					"ColumnName": "retailer_id",
					"TagMultiValueDelimiter": ",",
					"MatchAllValue": "*"
				},
				{
					"TagKey": "tag_role",
					"ColumnName": "role"
				}
			],
		"TagRuleConfigurations":
			[
				tag_retailer_id
			],
			[
				tag_role
			]
	}'
]
```

Tag dalam contoh ini didefinisikan di `TagRules` bagian elemen. Dalam contoh ini, dua tag didefinisikan berdasarkan dua kolom:
+ Kunci `tag_retailer_id` tag didefinisikan untuk `retailer_id` kolom. Dalam hal ini untuk perusahaan logistik, ini menetapkan keamanan tingkat baris berdasarkan pengecer yang mengakses aplikasi.
+ Kunci `tag_role` tag didefinisikan untuk `role` kolom. Dalam hal ini untuk perusahaan logistik, ini menetapkan lapisan tambahan keamanan tingkat baris berdasarkan peran pengguna yang mengakses aplikasi Anda dari pengecer tertentu. Contohnya adalah `store_supervisor` atau`manager`.

Untuk setiap tag, Anda dapat menentukan `TagMultiValueDelimiter` dan`MatchAllValue`. Ini opsional.
+ `TagMultiValueDelimiter`— Opsi ini dapat berupa string apa pun yang ingin Anda gunakan untuk membatasi nilai saat Anda meneruskannya saat runtime. Nilainya bisa 10 karakter, paling banyak. Dalam hal ini, koma digunakan sebagai nilai pembatas.
+ `MatchAllValue`— Opsi ini dapat berupa karakter apa pun yang ingin Anda gunakan saat Anda ingin memfilter berdasarkan semua nilai di kolom itu di kumpulan data. Alih-alih mencantumkan nilai satu per satu, Anda dapat menggunakan karakter. Jika ditentukan, nilai ini bisa setidaknya satu karakter, atau paling banyak 256 karakter. Dalam hal ini, tanda bintang digunakan sebagai kecocokan semua nilai.

Saat mengonfigurasi tag untuk kolom kumpulan data, aktifkan atau nonaktifkan menggunakan properti wajib. `Status` Untuk mengaktifkan aturan tag, gunakan nilai `ENABLED` untuk properti ini. Dengan mengaktifkan aturan tag, Anda dapat menggunakannya untuk menetapkan nilai tag saat runtime, dijelaskan dalam[Langkah 2: Tetapkan nilai ke tag RLS saat runtime](#quicksight-dev-rls-tags-assign-values).

Berikut ini adalah contoh definisi respons.

```
{
			"Status": 201,
			"Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset",
			"DataSetId": "RLS-Dataset",
			"RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2"
		}
```

------
#### [ UpdateDataSet ]

**UpdateDataSet**

Anda dapat menggunakan operasi `UpdateDataSet` API untuk menambahkan atau memperbarui tag RLS untuk kumpulan data yang ada.

Berikut ini adalah contoh memperbarui dataset dengan tag RLS. Ini mengasumsikan skenario perusahaan logistik yang dijelaskan sebelumnya.

```
update-data-set
		--aws-account-id <value>
		--data-set-id <value>
		--name <value>
		--physical-table-map <value>
		[--logical-table-map <value>]
		--import-mode <value>
		[--column-groups <value>
		[--field-folders <value>]
		[--row-level-permission-data-set <value>]
		[--column-level-permission-rules <value>]
		[--cli-input-json <value>]
		[--generate-cli-skeleton <value>]
				[--row-level-permission-tag-configuration 
	'{
		"Status": "ENABLED",
		"TagRules": 
			[
				{
					"TagKey": "tag_retailer_id",
					"ColumnName": "retailer_id",
					"TagMultiValueDelimiter": ",",
					"MatchAllValue": "*"
				},
				{
					"TagKey": "tag_role",
					"ColumnName": "role"
				}
			],
		"TagRuleConfigurations":
			[
				tag_retailer_id
			],
			[
				tag_role
			]
	}'
]
```

Berikut ini adalah contoh definisi respons.

```
{
			"Status": 201,
			"Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset",
			"DataSetId": "RLS-Dataset",
			"RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2"
		}
```

------

**penting**  
Setelah tag ditetapkan dan diaktifkan pada kumpulan data, pastikan untuk memberikan izin kepada penulis Cepat untuk melihat data apa pun di kumpulan data saat membuat dasbor.   
Untuk memberikan izin kepada penulis Cepat untuk melihat data dalam kumpulan data, buat file izin atau kueri untuk digunakan sebagai aturan kumpulan data. Untuk informasi selengkapnya, lihat [Membuat aturan kumpulan data untuk keamanan tingkat baris](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security).

Untuk informasi selengkapnya tentang `RowLevelPermissionTagConfiguration` elemen, lihat [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)di *Referensi API Cepat Amazon*.

## Langkah 2: Tetapkan nilai ke tag RLS saat runtime
<a name="quicksight-dev-rls-tags-assign-values"></a>

Anda dapat menggunakan tag untuk RLS hanya untuk penyematan anonim. Anda dapat menetapkan nilai untuk tag menggunakan operasi `GenerateEmbedUrlForAnonymousUser` API.

**penting**  
Saat mengonfigurasi tag sesi dalam panggilan API,  
Perlakukan tag sesi sebagai kredensyal keamanan. Jangan mengekspos tag sesi ke pengguna akhir atau kode sisi klien.
Menerapkan kontrol sisi server. Pastikan tag sesi disetel secara eksklusif oleh layanan backend tepercaya Anda, bukan oleh parameter yang dapat dimodifikasi oleh pengguna akhir.
Lindungi tag sesi dari enumerasi. Pastikan bahwa pengguna dalam satu penyewa tidak dapat menemukan atau menebak nilai SessionTag milik penyewa lain.
Tinjau arsitektur Anda. Jika pelanggan atau mitra hilir diizinkan untuk memanggil API secara langsung, evaluasi apakah pihak-pihak tersebut dapat menentukan nilai SessionTag untuk penyewa yang tidak boleh mereka akses.

Contoh berikut menunjukkan cara menetapkan nilai untuk tag RLS yang didefinisikan dalam dataset pada langkah sebelumnya.

```
POST /accounts/AwsAccountId/embed-url/anonymous-user
	HTTP/1.1
	Content-type: application/json
	{
		“AwsAccountId”: “string”,
		“SessionLifetimeInMinutes”: integer,
		“Namespace”: “string”, // The namespace to which the anonymous end user virtually belongs
		“SessionTags”:  // Optional: Can be used for row-level security
			[
				{
					“Key”: “tag_retailer_id”,
					“Value”: “West,Central,South”
				}
				{
					“Key”: “tag_role”,
					“Value”: “shift_manager”
				}
			],
		“AuthorizedResourceArns”:
			[
				“string”
			],
		“ExperienceConfiguration”:
			{
				“Dashboard”:
					{
						“InitialDashboardId”: “string”
						// This is the initial dashboard ID the customer wants the user to land on. This ID goes in the output URL.
					}
			}
	}
```

Berikut ini adalah contoh definisi respons.

```
HTTP/1.1 Status
	Content-type: application/json

	{
	"EmbedUrl": "string",
	"RequestId": "string"
	}
```

Dukungan RLS tanpa mendaftarkan pengguna di Quick hanya didukung dalam operasi `GenerateEmbedUrlForAnonymousUser` API. Dalam operasi ini, di bawah`SessionTags`, Anda dapat menentukan nilai untuk tag yang terkait dengan kolom dataset.

Dalam hal ini, tugas berikut didefinisikan:
+ Nilai`West`,`Central`, dan `South` ditetapkan ke `tag_retailer_id` tag saat runtime. Koma digunakan untuk pembatas, yang didefinisikan `TagMultipleValueDelimiter` dalam kumpulan data. Untuk menggunakan nilai panggilan di kolom, Anda dapat mengatur nilai ke *\$1*, yang didefinisikan sebagai `MatchAllValue` saat membuat tag.
+ Nilai `shift_manager` diberikan ke `tag_role` tag.

Pengguna yang menggunakan URL yang dihasilkan hanya dapat melihat baris yang memiliki `shift_manager` nilai di `role` kolom. Pengguna itu hanya dapat melihat nilai`West`,`Central`, atau `South` di `retailer_id` kolom.

Untuk informasi selengkapnya tentang menyematkan dasbor untuk pengguna anonim yang menggunakan operasi `GenerateEmbedUrlForAnonymousUser` API, lihat[Menyematkan dasbor Amazon Quick Sight untuk pengguna anonim (tidak terdaftar)](embedded-analytics-dashboards-for-everyone.md), atau [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)di Referensi API *Cepat Amazon*