Supporto della multilocazione con spazi dei nomi isolati - Amazon QuickSight
Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Supporto della multilocazione con spazi dei nomi isolati

L'edizione Amazon QuickSight Enterprise supporta la multitenancy tramite namespace. Un QuickSight namespace è un contenitore logico che puoi utilizzare per organizzare clienti, filiali, team e così via. Gli spazi dei nomi possono aiutarti a raggiungere i seguenti obiettivi:

  • Puoi consentire agli utenti del tuo QuickSight abbonamento di scoprire contenuti condivisi e condividerli con altri utenti. Allo stesso tempo, puoi essere certo che gli utenti di uno spazio dei nomi non possano vedere o interagire con gli utenti in un altro spazio dei nomi.

  • Puoi isolare in modo sicuro i dati e supportare anche diversi carichi di lavoro senza aggiungere account aggiuntivi. AWS L'accesso ai dati è ancora strettamente controllato dalle AWS funzionalità di sicurezza. Gli utenti possono visualizzare le risorse (come dati e pannelli di controllo) solo se dispongono delle autorizzazioni corrette per le risorse. Inoltre, gli utenti che dispongono delle autorizzazioni non possono esporre inavvertitamente i contenuti a persone che non appartengono al loro spazio dei nomi. Per ulteriori informazioni, consulta AWS sicurezza in Amazon QuickSight.

  • Puoi monitorare i flussi di dati e i report sull'utilizzo, suddivisi in modo ordinato per spazio dei nomi. La categorizzazione di dati e report per spazio dei nomi può aiutare a semplificare l'analisi dei costi e della sicurezza.

  • Dopo aver registrato gli utenti nel tuo spazio dei nomi, non ci sono ulteriori sovraccarichi o costi amministrativi.

  • I namespace sono progettati per estendersi Regioni AWS, quindi il contenimento dell'uso non cambia anche se una persona accede a un altro. Regione AWS

Gli spazi dei nomi presentano attualmente le seguenti limitazioni:

  • I namespace personalizzati, quelli che non sono lo spazio dei nomi predefinito, sono accessibili solo agli utenti Federated Single-Sign On. IAM

  • Utilizza gli spazi dei nomi predefiniti anziché quelli personalizzati se devi supportare quanto segue:

  • Non è possibile trasferire gli utenti direttamente da uno spazio dei nomi a un altro. Puoi scegliere di eseguire alcune o tutte queste operazioni a livello di codice. Per ulteriori informazioni, consulta la pagina di QuickSight APIriferimento di Amazon. Nella parte inferiore della pagina di ogni API operazione, c'è un elenco di collegamenti alla stessa operazione nelle SDKs altre lingue. Per vedere quali strumenti SDKs sono disponibili, consulta SDKsi toolkit disponibili nel centro risorse per AWS iniziare.

Se non ne hai uno esistente Account AWS o devi registrarti QuickSight, leggi le seguenti linee guida, quindi segui le istruzioni applicabili in: Iscrizione a un QuickSight abbonamento Amazon

Se ti sei già registrato per l'edizione Standard, puoi facilmente aggiornare il tuo abbonamento all'edizione Enterprise. La persona che esegue l'aggiornamento deve essere un QuickSight utente con privilegi di amministratore. Per ulteriori informazioni, consulta Aggiornamento del tuo QuickSight abbonamento Amazon dall'edizione Standard all'edizione Enterprise.

Se disponi di un abbonamento all'edizione Enterprise che utilizzi da qualche tempo, è anche possibile migrare gli utenti negli spazi dei nomi. Quando ti registri QuickSight e aggiungi utenti, tutti risiedono nel namespace predefinito. Tutti gli utenti possono interagire direttamente tra loro e condividere dati e pannelli di controllo l'uno con l'altro. Per isolare gli utenti gli uni dagli altri, è possibile creare uno o più spazi dei nomi aggiuntivi.

Importante

QuickSight gli asset e le risorse, inclusi set di dati, fonti di dati, dashboard, analisi e così via, esistono al di fuori di qualsiasi namespace. Sono visibili solo agli utenti a cui sono state concesse le autorizzazioni relative alle risorse.

Per implementare i namespace, si utilizzano le seguenti operazioni: QuickSight API

I namespace non sono supportati nelle regioni elencate di seguito:

  • af-south-1Africa (Città del Capo)

  • ap-southeast-3Asia Pacifico (Giacarta)

  • eu-south-1Europa (Milano)

  • eu-central-2Europa (Zurigo)

Nota

Se è necessario installare il AWS CLI, vedere Installazione della AWS CLI versione 2 nella Guida per l'AWS Command Line Interface utente.

Per aggiungere utenti a un namespace, si utilizza l'RegisterUserAPIoperazione. Ogni spazio dei nomi ha un set di utenti completamente indipendente. L'utente ARNs include il qualificatore dello spazio dei nomi per distinguerli, come illustrato negli esempi seguenti:

  • QuickSight considera queste due entità come persone diverse:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight considera queste due entità come la stessa persona:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Quando si utilizza RegisterUser, si seleziona un livello di accesso per ogni utente. Dopo che il nome utente di una persona è stato assegnato a una delle coorti di sicurezza, il suo accesso alla console API è limitato. Gli utenti QuickSight possono avere un unico livello di accesso, come segue:

  • Accesso come lettore, per gli abbonati di sola lettura a un pannello di controllo

  • Accesso come autore, per analisti e progettisti di pannelli di controllo

  • Accesso amministrativo, per QuickSight gli amministratori

Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Segui la procedura seguente per migrare gli utenti esistenti da un namespace a un altro namespace.

  1. Identifica gli utenti che desideri trasferire in un namespace diverso utilizzando le operazioni utente e di gruppo. QuickSight API Per ulteriori informazioni, consulta APIle operazioni per il controllo degli accessi nel QuickSight APIriferimento Amazon.

  2. Crea utenti nel nuovo spazio dei nomi utilizzando l'RegisterUserAPIoperazione. All'interno di uno spazio dei nomi, i nomi utente sono univoci.

    Se un utente dello spazio dei nomi inizia a utilizzare la QuickSight console o API in una nuova console Regione AWS, tale utente è ancora vincolato allo spazio dei nomi a cui lo hai aggiunto. Ogni spazio dei nomi rappresenta una directory utente di un gestore delle identità. In quanto tale, ha origine nel where primario in cui è impostato. Regione AWS QuickSight Tuttavia, poiché la directory utente viene propagata a livello globale nel tuo AWS account, lo spazio dei nomi è accessibile da qualsiasi luogo Regione AWS in cui gli utenti lo utilizzano. QuickSight

  3. Per identificare le autorizzazioni relative a risorse e risorse di cui hanno bisogno gli utenti del nuovo namespace, utilizzate le QuickSight API operazioni associate a ciascun tipo di risorsa (dashboard, set di dati e così via). Per ulteriori informazioni, consulta QuickSightAPIle operazioni di controllo degli asset nel QuickSight APIriferimento Amazon.

    Ad esempio, supponiamo che ti stai concentrando sui pannelli di controllo. Puoi usarla ListDashboards per elencare tutte le dashboard IDs del tuo AWS account. Quindi, per determinare gli utenti o i gruppi che possono accedere a questi pannelli di controllo, puoi utilizzare DescribeDashboardPermissions sul set di risultati generato da ListDashboards. Se devi identificare versioni specifiche di un pannello di controllo, puoi utilizzare ListDashboardVersions. Puoi anche raccogliere informazioni sulla posizione dei dati utilizzati nella dashboard con le API operazioni relative all'origine dei dati e al set di dati. Per ulteriori informazioni, consulta QuickSight APIle operazioni per controllare le risorse di dati nel QuickSight APIriferimento Amazon.

    Per ulteriori informazioni sul filtraggio dell'output delle API risposte, consulta la SDK documentazione relativa alla lingua che stai utilizzando. Per informazioni relative a AWS Command Line Interface (AWS CLI), consultate Controllare l'output dei comandi da o AWS CLI nella Guida per l'AWS Command Line Interface utente.

  4. Per le QuickSight risorse e le risorse, copiate le autorizzazioni di cui dispone l'utente del namespace di origine per ogni risorsa. Utilizza quindi, ad esempio, UpdateDashboardPermissions per applicare le stesse autorizzazioni all'utente dello spazio dei nomi di destinazione. Ogni tipo di risorsa dispone di un proprio set separato di API operazioni per il controllo delle autorizzazioni di cui dispongono gli utenti per utilizzarla. Per ulteriori informazioni, consulta la sezione QuickSight APIOperations for Asset and Resource Permissions nella pagina di QuickSight APIriferimento di Amazon.

  5. Al termine dell'aggiunta di utenti e autorizzazioni, è buona norma concedere del tempo per i test di accettazione da parte degli utenti. In questo modo si garantisce che tutti utilizzino correttamente il nuovo spazio dei nomi. Garantisce inoltre che tutti gli asset e le risorse siano accessibili nel nuovo spazio dei nomi.

    Dopo esserti assicurato di non aver più bisogno dei nomi utente originali, puoi iniziare a rendere obsolete le loro autorizzazioni nello spazio dei nomi originale. Infine, una volta pronti gli utenti, potrai rimuovere il gruppo e i nomi utente non utilizzati nello spazio dei nomi di origine. Esegui questa operazione in tutte le aree Regione AWS in cui i tuoi utenti erano attivi in precedenza.