Suporte a multilocação com namespaces isolados
O Amazon QuickSight Enterprise Edition oferece suporte a multilocação por meio de namespaces. Um namespace do QuickSight é um contêiner lógico que você pode usar para organizar clientes, subsidiárias, equipes etc. Os namespaces podem ajudar você a atingir as seguintes metas:
-
Você pode permitir que os usuários da sua assinatura do QuickSight descubram conteúdo compartilhado e compartilhem com outros usuários. Ao mesmo tempo, você pode ter certeza de que os usuários em um namespace não podem ver ou interagir com os usuários em outro namespace.
-
É possível isolar dados com segurança e, ao mesmo tempo, fornecer suporte para workloads diversas sem a necessidade de adicionar contas adicionais da AWS. O acesso aos dados continua sendo estritamente controlado pelos recursos de segurança da AWS. Os usuários só podem ver ativos (como dados e painéis) se tiverem as permissões de recursos corretas. Além disso, os usuários que têm permissões não podem expor conteúdo inadvertidamente a pessoas que estão fora do seu namespace. Para ter mais informações, consulte Segurança da AWS no Amazon QuickSight.
-
Você pode monitorar fluxos de dados e relatórios de uso, ordenadamente particionados por namespace. A categorização de dados e relatórios por namespace pode ajudar a simplificar a análise de custos e de segurança.
-
Depois de registrar usuários no namespace, não há qualquer complexidade administrativa ou sobrecarga adicional.
-
Os namespaces são projetados param a abranger as Regiões da AWS. Portanto, a contenção de uso não muda, mesmo que uma pessoa faça login em outra Região da AWS.
No momento, namespaces têm as seguintes limitações:
-
Os namespaces personalizados, aqueles que não são o namespace padrão, só podem ser acessados por usuários do logon único federado do IAM.
-
Use namespaces padrão em vez de namespaces personalizados se precisar oferecer suporte ao seguinte:
-
Integrar sua conta do QuickSight no IAM Identity Center. Para obter mais informações sobre a integração da sua conta do QuickSight no IAM Identity Center, consulte Configurar sua conta do Amazon QuickSight com o Centro de Identidade do IAM.
-
Logins baseados em senha.
-
Logins do Active Directory baseados em credenciais.
-
-
Você não pode transferir usuários diretamente de um namespace para outro. Você pode optar por fazer todo ou parte desse trabalho programaticamente. Para obter mais informações, consulte a referência de APIs do Amazon QuickSight. Na parte inferior da página de cada operação de API, há uma lista de links para a mesma operação nos SDKs para outros idiomas. Para conferir quais SDKs estão disponíveis, consulte SDKs and toolkits no Centro de recursos de conceitos básicos da AWS.
Se você não tiver uma Conta da AWS existente ou precisar se inscrever no QuickSight, leia as diretrizes a seguir e siga as instruções aplicáveis em Inscrição para uma assinatura do Amazon QuickSight:
-
Inscreva-se na Enterprise Edition.
-
Quando perguntarem com que método você quer se conectar, escolha Federação baseada em perfil (IAM). No momento, os namespaces só oferecem suporte a clientes que usam um perfil do AWS Identity and Access Management (IAM) com uma federação de identidades da Web. Para obter mais informações, consulte Como criar um perfil para um provedor de identidade de terceiros (federação).
-
Conclua o processo de inscrição.
-
Use a operação da API CreateNamespace do QuickSight para criar um ou mais namespaces.
-
Para começar a adicionar usuários, primeiro siga as instruções em Configurar a federação de IdP usando o IAM e o QuickSight. Em seguida, use a operação da API RegisterUser para adicionar usuários ao namespace apropriado.
Caso já tenha se inscrito na Standard Edition, você pode facilmente atualizar sua assinatura para a Enterprise Edition. A pessoa que executa a atualização deve ser um usuário do QuickSight com privilégios de administrador. Para ter mais informações, consulte Atualizar a assinatura do Amazon QuickSight de Standard Edition para Enterprise Edition.
Se você tem uma assinatura da Enterprise Edition há algum tempo, também é possível migrar seus usuários para namespaces. Quando você se inscreve no QuickSight e adiciona usuários, todos eles residem no namespace padrão. Todos os usuários podem interagir diretamente e compartilhar dados e painéis uns com os outros. Para isolar seus usuários uns dos outros, você pode criar um ou mais namespaces.
Importante
Os ativos e recursos do QuickSight, incluindo conjuntos de dados, fontes de dados, painéis, análises etc., existem fora de qualquer namespace. Eles são visíveis somente para os usuários que têm permissões de recursos concedidas a eles.
Para implementar namespaces, use as seguintes operações da API do QuickSight:
Não há suporte para namespaces nas regiões listadas abaixo:
-
af-south-1
África (Cidade do Cabo) -
ap-southeast-3
Ásia-Pacífico (Jacarta) -
eu-south-1
Europa (Milão) -
eu-central-2
Europa (Zurique)
nota
Se for necessário instalar a AWS CLI, consulte a documentação Installing the AWS CLI version 2 no Guia do usuário da AWS Command Line Interface.
Para adicionar usuários a um namespace, use a operação da API RegisterUser. Cada namespace tem um conjunto de usuários completamente independente. Os ARNs do usuário incluem o qualificador de namespace para diferenciá-los, conforme mostrado nos seguintes exemplos:
-
O QuickSight considera estas duas entidades como pessoas diferentes:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
-
-
O QuickSight considera que estas duas entidades como a mesma pessoa:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
-
arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123
-
Ao usar RegisterUser, você seleciona um nível de acesso para cada usuário. Depois que o nome de usuário de uma pessoa é atribuído a uma das coortes de segurança, o acesso dessa pessoa ao console e à API é restrito. As pessoas que usam o QuickSight podem ter um único nível de acesso, como mostrado abaixo:
-
Acesso de leitor, para assinantes somente leitura de um painel
-
Acesso de autor, para analistas e designers de painéis
-
Acesso de administrador, para administradores do QuickSight
Migrar usuários existentes em um namespace para outro namespace
Siga o procedimento apresentado abaixo para migrar usuários existentes de um namespace para um namespace diferente.
-
Identifique os usuários que você deseja transferir para outro namespace usando as operações da API de usuário e de grupo do QuickSight. Para obter mais informações, consulte as operações de APIs para controlar o acesso na referência de APIs do Amazon QuickSight.
-
Crie usuários no novo namespace usando a operação da API RegisterUser. Em um namespace, os nomes de usuário são exclusivos.
Se um usuário do namespace começar a usar o console ou a API do QuickSight em uma nova Região da AWS, esse usuário ainda estará restrito ao namespace ao qual você o adicionou. Cada namespace representa um diretório de usuário de um provedor de identidade. Dessa forma, ele se origina na Região da AWS primária em que o QuickSight está configurado. No entanto, como o diretório do usuário é propagado globalmente na sua conta da AWS, o namespace pode ser acessado de qualquer Região da AWS na qual seus usuários estejam usando o QuickSight.
-
Para identificar as permissões de ativos e recursos de que os novos usuários de namespace precisam, use as operações da API QuickSight associadas a cada tipo de ativo (painéis, conjuntos de dados etc.). Para obter mais informações, consulte as operações de APIs do QuickSight para controlar ativos na referência de APIs do Amazon QuickSight.
Por exemplo, digamos que você esteja se concentrando em painéis de controle. É possível usar
ListDashboards
para listar todos os IDs de painel na sua conta da AWS. Em seguida, para determinar que usuários ou grupos podem acessar esses painéis, você pode usarDescribeDashboardPermissions
no conjunto de resultados gerado porListDashboards
. Se você precisar identificar versões específicas de um painel, você podeListDashboardVersions
para isso. Você também pode coletar informações sobre a localização dos dados usados no painel com as operações de APIs da fonte de dados e do conjunto de dados. Para obter mais informações, consulte as operações de APIs do QuickSight para controlar recursos de dados na referência de APIs do Amazon QuickSight.Para obter mais informações sobre como filtrar a saída de resposta da API, consulte a documentação do SDK para o idioma que você está usando. Para obter informações relacionadas à AWS Command Line Interface (AWS CLI), consulte Controlling command output from the AWS CLI no Guia do usuário da AWS Command Line Interface.
-
Para ativos e recursos do QuickSight, copie as permissões que o usuário do namespace de origem tem para cada ativo. Em seguida, use, por exemplo,
UpdateDashboardPermissions
para aplicar as mesmas permissões ao usuário do namespace de destino. Cada tipo de ativo tem seu próprio conjunto separado de operações de API para controlar as permissões que os usuários têm para usá-lo. Para obter mais informações, consulte as operações de APIs do QuickSight para permissões de ativos e recursos na referência de APIs do Amazon QuickSight. -
Quando você terminar de adicionar usuários e permissões, é uma prática recomendável reservar algum tempo para testes de aceitação do usuário. Isso garante que todos estejam usando com êxito o novo namespace. Isso também garante que todos os ativos e recursos estejam acessíveis no novo namespace.
Depois de ter certeza de que não precisa mais dos nomes de usuário originais, você pode começar a descontinuar as permissões deles no namespace original. Por fim, quando os usuários estiverem prontos, você poderá remover os nomes de grupos e de usuários não utilizados no namespace de origem. Faça isso em cada Região da AWS em que os usuários estavam ativos anteriormente.