Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mendukung multitenancy dengan ruang nama terisolasi
Edisi Amazon QuickSight Enterprise mendukung multitenancy melalui ruang nama. QuickSightNamespace adalah wadah logis yang dapat Anda gunakan untuk mengatur klien, anak perusahaan, tim, dan sebagainya. Ruang nama dapat membantu Anda mencapai tujuan berikut:
-
Anda dapat mengizinkan pengguna QuickSight langganan Anda untuk menemukan konten bersama dan berbagi dengan pengguna lain. Pada saat yang sama, Anda dapat yakin bahwa pengguna di satu namespace tidak dapat melihat atau berinteraksi dengan pengguna di namespace lain.
-
Anda dapat mengisolasi data dengan aman dan juga mendukung beragam beban kerja tanpa menambahkan akun tambahan. AWS Akses ke data masih dikontrol secara ketat oleh fitur AWS keamanan. Pengguna dapat melihat aset (seperti data dan dasbor) hanya jika mereka memiliki izin sumber daya yang benar. Selain itu, pengguna yang memiliki izin tidak dapat secara tidak sengaja mengekspos konten kepada orang-orang yang berada di luar namespace mereka. Untuk informasi selengkapnya, lihat AWS keamanan di Amazon QuickSight.
-
Anda dapat memantau aliran data dan laporan penggunaan, dipartisi dengan rapi oleh namespace. Mengkategorikan data dan laporan berdasarkan namespace dapat membantu menyederhanakan analisis biaya dan keamanan.
-
Setelah Anda mendaftarkan pengguna ke namespace Anda, tidak ada kompleksitas administratif atau overhead tambahan.
-
Ruang nama dirancang untuk menjangkau Wilayah AWS, sehingga penahanan penggunaan tidak berubah meskipun seseorang masuk ke yang berbeda. Wilayah AWS
Ruang nama saat ini memiliki batasan berikut:
-
Ruang nama kustom—yang bukan merupakan ruang nama default—hanya dapat diakses oleh pengguna Federated Single-Sign On. IAM
-
Gunakan ruang nama default alih-alih ruang nama khusus jika Anda perlu mendukung yang berikut ini:
-
Mengintegrasikan QuickSight akun Anda dengan Pusat IAM Identitas. Untuk informasi selengkapnya tentang mengintegrasikan QuickSight akun Anda dengan Pusat IAM Identitas, lihatKonfigurasikan QuickSight akun Amazon Anda dengan Pusat IAM Identitas.
-
Login berbasis kata sandi.
-
Login Active Directory berbasis kredensil.
-
-
Anda tidak dapat mentransfer pengguna langsung dari satu namespace ke namespace lainnya. Anda dapat memilih untuk melakukan beberapa atau semua pekerjaan ini secara terprogram. Untuk informasi lebih lanjut, lihat QuickSight APIreferensi Amazon. Di bagian bawah halaman setiap API operasi, ada daftar tautan ke operasi yang sama di SDKs untuk bahasa lain. Untuk melihat apa SDKs yang tersedia, lihat SDKsdan toolkit di pusat sumber daya AWS memulai.
Jika Anda belum memiliki Akun AWS atau Anda perlu mendaftar QuickSight, baca panduan berikut, lalu ikuti petunjuk yang berlaku diMendaftar untuk QuickSight berlangganan Amazon:
-
Mendaftar untuk edisi Enterprise.
-
Saat ditanya metode mana yang ingin Anda hubungkan, pilih Federasi Berbasis Peran (IAM). Saat ini, ruang nama hanya mendukung pelanggan yang menggunakan peran AWS Identity and Access Management (IAM) dengan federasi identitas web. Untuk informasi selengkapnya, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi)
-
Selesaikan proses pendaftaran.
-
Gunakan QuickSight CreateNamespaceAPIoperasi untuk membuat satu atau beberapa ruang nama.
-
Untuk mulai menambahkan pengguna, pertama-tama ikuti instruksi diMenyiapkan federasi IDP menggunakan dan IAM QuickSight. Kemudian gunakan RegisterUserAPIoperasi untuk menambahkan pengguna ke namespace yang sesuai.
Jika Anda sudah mendaftar untuk edisi Standar, Anda dapat dengan mudah meningkatkan langganan Anda ke edisi Enterprise. Orang yang melakukan upgrade harus QuickSight pengguna dengan hak administrator. Untuk informasi selengkapnya, lihat Memutakhirkan QuickSight langganan Amazon Anda dari edisi Standar ke edisi Enterprise.
Jika Anda memiliki langganan edisi Enterprise yang telah Anda gunakan selama beberapa waktu, Anda juga dapat memigrasikan pengguna ke ruang nama. Saat Anda mendaftar QuickSight dan menambahkan pengguna, semuanya berada di namespace default. Semua pengguna dapat berinteraksi langsung satu sama lain dan berbagi data dan dasbor satu sama lain. Untuk mengisolasi pengguna satu sama lain, Anda dapat membuat satu atau lebih ruang nama tambahan.
penting
QuickSight aset dan sumber daya, termasuk kumpulan data, sumber data, dasbor, analisis, dan sebagainya, ada di luar namespace apa pun. Mereka hanya dapat dilihat oleh pengguna yang memiliki izin sumber daya yang diberikan kepada mereka.
Untuk mengimplementasikan ruang nama, Anda menggunakan operasi berikut: QuickSight API
Ruang nama tidak didukung di Wilayah yang tercantum di bawah ini:
-
af-south-1
Afrika (Cape Town) -
ap-southeast-3
Asia Pasifik (Jakarta) -
eu-south-1
Eropa (Milan) -
eu-central-2
Eropa (Zürich)
catatan
Jika Anda perlu menginstal AWS CLI, lihat Menginstal AWS CLI versi 2 di Panduan AWS Command Line Interface Pengguna.
Untuk menambahkan pengguna ke namespace, Anda menggunakan operasi. RegisterUserAPI Setiap namespace memiliki kumpulan pengguna yang sepenuhnya independen. Pengguna ARNs menyertakan qualifier namespace untuk membedakannya, seperti yang ditunjukkan pada contoh berikut:
-
QuickSight menganggap kedua entitas ini sebagai orang yang berbeda:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
-
-
QuickSight menganggap kedua entitas ini sebagai orang yang sama:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
-
arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123
-
Saat Anda menggunakan RegisterUser, Anda memilih tingkat akses untuk setiap pengguna. Setelah nama pengguna seseorang ditetapkan ke salah satu kelompok keamanan, akses mereka ke konsol dan API dibatasi. Orang yang menggunakan QuickSight dapat memiliki tingkat akses tunggal, sebagai berikut:
-
Akses pembaca, untuk pelanggan dasbor hanya-baca
-
Akses penulis, untuk analis dan desainer dasbor
-
Akses admin, untuk QuickSight administrator
Untuk memigrasikan pengguna yang ada dalam satu namespace ke namespace yang berbeda
Ikuti prosedur di bawah ini untuk memigrasikan pengguna yang ada dari satu namespace ke namespace yang berbeda.
-
Identifikasi pengguna yang ingin Anda transfer ke namespace yang berbeda dengan menggunakan operasi QuickSight pengguna dan grupAPI. Untuk informasi selengkapnya, lihat APIoperasi untuk mengontrol akses di QuickSight APIreferensi Amazon.
-
Buat pengguna di namespace baru dengan menggunakan operasi. RegisterUserAPI Dalam namespace, nama pengguna unik.
Jika pengguna namespace mulai menggunakan QuickSight konsol atau API baru Wilayah AWS, pengguna tersebut masih dibatasi ke namespace tempat Anda menambahkannya. Setiap namespace mewakili direktori pengguna dari penyedia identitas. Dengan demikian, itu berasal dari Wilayah AWS tempat utama QuickSight diatur. Namun, karena direktori pengguna disebarkan secara global di AWS akun Anda, namespace dapat diakses dari Wilayah AWS mana pun yang digunakan pengguna Anda. QuickSight
-
Untuk mengidentifikasi izin aset dan sumber daya yang dibutuhkan pengguna namespace baru, gunakan QuickSight API operasi yang terkait dengan setiap jenis aset (dasbor, kumpulan data, dan sebagainya). Untuk informasi selengkapnya, lihat QuickSightAPIoperasi untuk mengontrol aset di QuickSight APIreferensi Amazon.
Misalnya, katakanlah Anda berfokus pada dasbor. Anda dapat menggunakan
ListDashboards
untuk membuat daftar semua dasbor IDs di AWS akun Anda. Kemudian, untuk menentukan pengguna atau grup mana yang dapat mengakses dasbor ini, Anda dapat menggunakanDescribeDashboardPermissions
pada kumpulan hasil yang dihasilkan olehListDashboards
. Jika Anda perlu mengidentifikasi versi dasbor tertentu, Anda bisaListDashboardVersions
melakukannya. Anda juga dapat mengumpulkan informasi tentang lokasi data yang digunakan di dasbor dengan sumber data dan API operasi dataset. Untuk informasi selengkapnya, lihat QuickSight APIoperasi untuk mengontrol sumber daya data di QuickSight APIreferensi Amazon.Untuk informasi selengkapnya tentang memfilter keluaran API respons, lihat SDK dokumentasi untuk bahasa yang Anda gunakan. Untuk informasi yang berkaitan dengan AWS Command Line Interface (AWS CLI), lihat Mengontrol output perintah dari AWS CLI dalam Panduan AWS Command Line Interface Pengguna.
-
Untuk QuickSight aset dan sumber daya, salin izin yang dimiliki pengguna namespace sumber untuk setiap aset. Kemudian gunakan, misalnya,
UpdateDashboardPermissions
untuk menerapkan izin yang sama ke pengguna namespace target. Setiap jenis aset memiliki serangkaian API operasi tersendiri untuk mengontrol izin yang harus digunakan pengguna. Untuk informasi selengkapnya, lihat QuickSight APIoperasi untuk izin aset dan sumber daya di QuickSight APIreferensi Amazon. -
Ketika Anda selesai menambahkan pengguna dan izin, itu adalah praktik yang baik untuk memberikan beberapa waktu untuk pengujian penerimaan pengguna. Melakukan hal ini memastikan bahwa setiap orang berhasil menggunakan namespace baru. Ini juga memastikan bahwa semua aset dan sumber daya dapat diakses di namespace baru.
Setelah Anda yakin bahwa Anda tidak lagi memerlukan nama pengguna asli, Anda dapat mulai menghentikan izin mereka di namespace asli. Terakhir, ketika pengguna siap, Anda dapat menghapus grup dan nama pengguna yang tidak digunakan di namespace sumber. Lakukan ini di setiap Wilayah AWS tempat pengguna Anda sebelumnya aktif.