격리된 네임스페이스를 사용한 멀티테넌시 지원 - Amazon QuickSight

격리된 네임스페이스를 사용한 멀티테넌시 지원

Amazon QuickSight 엔터프라이즈 에디션은 네임스페이스를 통한 멀티테넌시를 지원합니다. QuickSight 네임스페이스는 클라이언트, 자회사, 팀 등을 구성하는 데 사용할 수 있는 논리적 컨테이너입니다. 네임스페이스는 다음과 같은 목표를 달성하는 데 도움이 될 수 있습니다.

  • QuickSight 구독 사용자가 공유 콘텐츠를 검색하고 다른 사용자와 공유하도록 허용할 수 있습니다. 동시에 한 네임스페이스의 사용자가 다른 네임스페이스의 사용자를 보거나 상호 작용할 수 없도록 할 수 있습니다.

  • AWS 계정을 추가하지 않고도 데이터를 안전하게 분리하고 다양한 워크로드를 지원할 수 있습니다. 데이터 액세스는 여전히 AWS 보안 기능에 의해 엄격하게 통제됩니다. 사용자는 올바른 리소스 권한이 있는 경우에만 자산(예: 데이터 및 대시보드)을 볼 수 있습니다. 또한 권한이 있는 사용자는 자신의 네임스페이스 외부에 있는 사람에게 실수로 콘텐츠를 노출할 수 없습니다. 자세한 내용은 Amazon QuickSight의 AWS 보안 단원을 참조하십시오.

  • 네임스페이스별로 깔끔하게 구분된 데이터 흐름과 사용 보고서를 모니터링할 수 있습니다. 네임스페이스별로 데이터와 보고서를 분류하면 비용 및 보안 분석을 간소화하는 데 도움이 될 수 있습니다.

  • 네임스페이스에 사용자를 등록한 후에는 추가적인 관리 복잡성이나 간접 비용이 발생하지 않습니다.

  • 네임스페이스는 AWS 리전에 분산되도록 설계되었으므로 사용자가 다른 AWS 리전에 로그인해도 사용 제한이 변경되지 않습니다.

네임스페이스에는 현재 다음과 같은 제한 사항이 있습니다.

  • 기본 네임스페이스가 아닌 사용자 지정 네임스페이스는 IAM Federated Single Sign On 사용자만 액세스할 수 있습니다.

  • 다음을 지원해야 하는 경우 사용자 지정 네임스페이스 대신 기본 네임스페이스를 사용하십시오.

  • 한 네임스페이스에서 다른 네임스페이스로 사용자를 직접 이전할 수는 없습니다. 이 작업의 일부 또는 전부를 프로그래밍 방식으로 수행하도록 선택할 수 있습니다. 자세한 내용은 Amazon QuickSight API 참조를 확인하세요. 각 API 작업 페이지의 하단에는 다른 언어용 SDK의 동일한 작업에 대한 링크 목록이 있습니다. 어떤 SDK를 사용할 수 있는지 알아보려면 AWS 시작하기 리소스 센터SDK 및 툴킷을 참조하세요.

기존 AWS 계정이(가) 없거나 QuickSight에 등록해야 하는 경우, 다음 지침을 읽은 후 Amazon QuickSight 구독 신청하기의 해당 지침을 따르십시오.

  • 엔터프라이즈 에디션에 가입하십시오.

  • 어떤 방법을 사용할지 묻는 메시지가 표시되면 역할 기반 페더레이션(IAM)을 선택합니다. 현재 네임스페이스는 웹 아이덴티 페더레이션과 함께 AWS Identity and Access Management (IAM) 역할을 사용하는 고객만 지원합니다. 자세한 내용은 타사 자격 증명 공급자의 역할 생성(페더레이션)을 참조하십시오.

  • 가입 프로세스를 완료합니다.

  • QuickSight CreateNamespace API 작업을 사용하여 네임스페이스를 하나 이상 만들 수 있습니다.

  • 사용자 추가를 시작하려면 먼저 IAM과 QuickSight를 사용하여 IdP 페더레이션 설정의 지침을 따르십시오. 그런 다음 RegisterUser API 작업을 사용하여 적절한 네임스페이스에 사용자를 추가합니다.

이미 스탠다드 에디션에 가입한 경우 엔터프라이즈 에디션으로 쉽게 업그레이드할 수 있습니다. 업그레이드를 수행하는 사람은 관리자 권한이 있는 QuickSight 사용자여야 합니다. 자세한 내용은 Amazon QuickSight 구독을 스탠다드 에디션에서 엔터프라이즈 에디션으로 업그레이드 단원을 참조하십시오.

한동안 사용하던 엔터프라이즈 에디션 구독이 있는 경우 사용자를 네임스페이스로 이동할 수도 있습니다. QuickSight에 가입하고 사용자를 추가하면 모든 사용자가 기본 네임스페이스에 위치합니다. 모든 사용자는 서로 직접 상호 작용하고 데이터 및 대시보드를 서로 공유할 수 있습니다. 사용자를 격리하기 위해 네임스페이스를 하나 이상 추가로 생성할 수 있습니다.

중요

데이터 세트, 데이터 소스, 대시보드, 분석 등을 포함한 QuickSight 자산 및 리소스는 네임스페이스 외부에 존재합니다. 리소스 권한이 부여된 사용자만 볼 수 있습니다.

네임스페이스를 구현하려면 다음과 같은 QuickSight API 작업을 사용합니다.

아래 나열된 리전에서는 네임스페이스가 지원되지 않습니다.

  • af-south-1 아프리카(케이프타운)

  • ap-southeast-3 아시아 태평양(자카르타)

  • eu-south-1 유럽(밀라노)

  • eu-central-2 유럽(취리히)

참고

AWS CLI를 설치해야 하는 경우 AWS Command Line Interface 사용자 가이드AWS CLI 설치 버전 2를 참조하세요.

네임스페이스에 사용자를 추가하려면 RegisterUser API 작업을 사용하십시오. 각 네임스페이스에는 완전히 독립적인 사용자 집합이 있습니다. 사용자 ARN에는 다음 예와 같이 사용자 ARN을 구분하기 위한 네임스페이스 한정자가 포함되어 있습니다.

  • QuickSight는 다음 두 엔티티를 서로 다른 사람으로 간주합니다.

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight는 다음 두 엔티티를 동일한 사람으로 간주합니다.

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

RegisterUser를 사용할 때는 각 사용자의 액세스 수준을 선택합니다. 개인의 사용자 이름이 보안 코호트 중 하나에 할당되면 콘솔 및 API에 대한 액세스가 제한됩니다. QuickSight를 사용하는 사용자는 다음과 같이 단일 액세스 수준을 가질 수 있습니다.

  • 대시보드의 읽기 전용 구독자를 위한 독자 액세스

  • 분석가 및 대시보드 디자이너를 위한 작성자 액세스

  • QuickSight 관리자를 위한 관리자 액세스

한 네임스페이스의 기존 사용자를 다른 네임스페이스로 이동하기

아래의 과정에 따라 한 네임스페이스의 기존 사용자를 다른 네임스페이스로 마이그레이션합니다.

  1. QuickSight 사용자 및 그룹 API 작업을 사용하여 다른 네임스페이스로 전송할 사용자를 식별합니다. 자세한 내용은 Amazon QuickSight API 참조에서 액세스 제어를 위한 API 작업을 참조하십시오.

  2. RegisterUser API 작업을 사용하여 새 네임스페이스에서 사용자를 생성합니다. 네임스페이스 내에서 사용자 이름은 고유합니다.

    네임스페이스 사용자가 새로운 AWS 리전에서 QuickSight 콘솔 또는 API를 사용하기 시작하는 경우에도 해당 사용자는 본인이 속하는 네임스페이스로 제한됩니다. 각 네임스페이스는 자격 증명 공급자의 사용자 디렉토리를 나타냅니다. 따라서 QuickSight가 설치된 기본 AWS 리전에서 시작됩니다. 하지만 사용자 디렉토리는 AWS 계정에서 전 세계로 전파되므로 사용자가 QuickSight를 사용하는 모든 AWS 리전에서 네임스페이스에 액세스할 수 있습니다.

  3. 새 네임스페이스 사용자에게 필요한 자산 및 리소스 권한을 식별하려면 각 자산 유형(대시보드, 데이터 세트 등)과 관련된 QuickSight API 작업을 사용하십시오. 자세한 내용은 Amazon QuickSight API 참조에서 자산을 제어하기 위한 QuickSight API 작업을 참조하십시오.

    예를 들어 대시보드에 집중한다고 가정해 보겠습니다. ListDashboards를 사용하여 AWS 계정의 모든 대시보드 ID를 나열할 수 있습니다. 그런 다음 ListDashboards(으)로 생성한 결과 집합에 DescribeDashboardPermissions을(를) 사용하여 이러한 대시보드에 액세스할 수 있는 사용자 또는 그룹을 결정할 수 있습니다. 대시보드의 특정 버전을 식별해야 하는 경우 ListDashboardVersions을(를) 할 수 있습니다. 또한 데이터 소스 및 데이터 세트 API 작업을 통해 대시보드에서 사용되는 데이터의 위치에 대한 정보를 수집할 수 있습니다. 자세한 내용은 Amazon QuickSight API 참조에서 데이터 리소스를 제어하는 QuickSight API 작업을 참조하십시오.

    API 응답 출력을 필터링하는 방법에 대한 자세한 내용은 사용 중인 언어의 SDK 설명서를 참조하십시오. AWS Command Line Interface(AWS CLI) 관련 자세한 내용은 AWS Command Line Interface 사용자 가이드AWS CLI의 명령 출력 제어를 참조하세요.

  4. QuickSight 자산 및 리소스의 경우 원본 네임스페이스 사용자가 각 자산에 대해 가지고 있는 권한을 복사하십시오. 그런 다음 예를 들어 UpdateDashboardPermissions을(를) 통해 대상 네임스페이스 사용자에게 동일한 권한을 적용합니다. 각 자산 유형에는 사용자가 사용해야 하는 권한을 제어하기 위한 별도의 API 작업 세트가 있습니다. 자세한 내용은 Amazon QuickSight API 참조자산 및 리소스 권한에 대한 QuickSight API 작업을 참조하십시오.

  5. 사용자 및 권한 추가를 마쳤으면 사용자 승인 테스트에 시간을 할애하는 것이 좋습니다. 이렇게 하면 모든 사람이 새 네임스페이스를 성공적으로 사용할 수 있습니다. 또한 새 네임스페이스에서 모든 자산과 리소스에 액세스할 수 있습니다.

    원래 사용자 이름이 더 이상 필요하지 않다는 확신이 들면 원래 네임스페이스에서 사용자 권한을 더 이상 사용하지 않아도 됩니다. 마지막으로 사용자가 준비가 되면 원본 네임스페이스에서 사용하지 않는 그룹 및 사용자 이름을 제거할 수 있습니다. 사용자가 이전에 활동했던 각 AWS 리전에서 이 작업을 수행합니다.