Suporte a multilocação com namespaces isolados - Amazon QuickSight

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Suporte a multilocação com namespaces isolados

A edição Amazon QuickSight Enterprise oferece suporte à multilocação por meio de namespaces. Um QuickSight namespace é um contêiner lógico que você pode usar para organizar clientes, subsidiárias, equipes e assim por diante. Os namespaces podem ajudar você a atingir as seguintes metas:

  • Você pode permitir que os usuários da sua QuickSight assinatura descubram conteúdo compartilhado e compartilhem com outros usuários. Ao mesmo tempo, você pode ter certeza de que os usuários em um namespace não podem ver ou interagir com os usuários em outro namespace.

  • Você pode isolar dados com segurança e também oferecer suporte a diversas cargas de trabalho sem adicionar contas adicionais. AWS O acesso aos dados ainda é estritamente controlado por recursos AWS de segurança. Os usuários só podem ver ativos (como dados e painéis) se tiverem as permissões de recursos corretas. Além disso, os usuários que têm permissões não podem expor conteúdo inadvertidamente a pessoas que estão fora do seu namespace. Para obter mais informações, consulte AWS segurança na Amazon QuickSight.

  • Você pode monitorar fluxos de dados e relatórios de uso, ordenadamente particionados por namespace. A categorização de dados e relatórios por namespace pode ajudar a simplificar a análise de custos e de segurança.

  • Depois de registrar usuários no namespace, não há qualquer complexidade administrativa ou sobrecarga adicional.

  • Os namespaces são projetados para abranger Regiões da AWS, portanto, a contenção de uso não muda, mesmo que uma pessoa faça login em outra. Região da AWS

No momento, namespaces têm as seguintes limitações:

  • Os namespaces personalizados — aqueles que não são o namespace padrão — só podem ser acessados por usuários de login único federado. IAM

  • Use namespaces padrão em vez de namespaces personalizados se precisar oferecer suporte ao seguinte:

  • Você não pode transferir usuários diretamente de um namespace para outro. Você pode optar por fazer todo ou parte desse trabalho programaticamente. Para obter mais informações, consulte a QuickSight APIreferência da Amazon. Na parte inferior da página de cada API operação, há uma lista de links para a mesma operação em outros idiomas. SDKs Para ver o que SDKs está disponível, consulte SDKsos kits de ferramentas no centro de recursos de AWS introdução.

Se você não tem uma existente Conta da AWS ou precisa se inscrever QuickSight, leia as diretrizes a seguir e siga as instruções aplicáveis emInscrever-se para uma QuickSight assinatura da Amazon:

Caso já tenha se inscrito na Standard Edition, você pode facilmente atualizar sua assinatura para a Enterprise Edition. A pessoa que executa a atualização deve ser um QuickSight usuário com privilégios de administrador. Para obter mais informações, consulte Atualizando sua QuickSight assinatura da Amazon da edição Standard para a edição Enterprise.

Se você tem uma assinatura da Enterprise Edition há algum tempo, também é possível migrar seus usuários para namespaces. Quando você se inscreve QuickSight e adiciona usuários, todos eles residem no namespace padrão. Todos os usuários podem interagir diretamente e compartilhar dados e painéis uns com os outros. Para isolar seus usuários uns dos outros, você pode criar um ou mais namespaces.

Importante

QuickSight ativos e recursos, incluindo conjuntos de dados, fontes de dados, painéis, análises etc., existem fora de qualquer namespace. Eles são visíveis somente para usuários que têm permissões de recursos concedidas a eles.

Para implementar namespaces, você usa as seguintes operações: QuickSight API

Não há suporte para namespaces nas regiões listadas abaixo:

  • af-south-1África (Cidade do Cabo)

  • ap-southeast-3Ásia-Pacífico (Jacarta)

  • eu-south-1Europa (Milão)

  • eu-central-2Europa (Zurique)

nota

Se você precisar instalar o AWS CLI, consulte Instalando a AWS CLI versão 2 no Guia do AWS Command Line Interface usuário.

Para adicionar usuários a um namespace, você usa a RegisterUserAPIoperação. Cada namespace tem um conjunto de usuários completamente independente. O usuário ARNs inclui o qualificador de namespace para diferenciá-los, conforme mostrado nos exemplos a seguir:

  • QuickSight considera que essas duas entidades são pessoas diferentes:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight considera que essas duas entidades são a mesma pessoa:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Ao usar RegisterUser, você seleciona um nível de acesso para cada usuário. Depois que o nome de usuário de uma pessoa é atribuído a uma das coortes de segurança, seu acesso ao console API é restrito. As pessoas que usam QuickSight podem ter um único nível de acesso, da seguinte forma:

  • Acesso de leitor, para assinantes somente leitura de um painel

  • Acesso de autor, para analistas e designers de painéis

  • Acesso de administrador, para QuickSight administradores

Migrar usuários existentes em um namespace para outro namespace

Siga o procedimento abaixo para migrar usuários existentes de um namespace para outro namespace.

  1. Identifique os usuários que você deseja transferir para um namespace diferente usando as operações de QuickSight usuário e grupoAPI. Para obter mais informações, consulte APIoperações para controlar o acesso na QuickSight APIreferência da Amazon.

  2. Crie usuários no novo namespace usando a RegisterUserAPIoperação. Em um namespace, os nomes de usuário são exclusivos.

    Se um usuário do namespace começar a usar o QuickSight console ou API em um novo Região da AWS, esse usuário ainda estará restrito ao namespace ao qual você o adicionou. Cada namespace representa um diretório de usuário de um provedor de identidade. Como tal, ele se origina no Região da AWS local primário onde QuickSight está configurado. No entanto, como o diretório do usuário é propagado globalmente em sua AWS conta, o namespace pode ser acessado de qualquer Região da AWS lugar que seus usuários estejam usando. QuickSight

  3. Para identificar as permissões de ativos e recursos de que os novos usuários do namespace precisam, use as QuickSight API operações associadas a cada tipo de ativo (painéis, conjuntos de dados etc.). Para obter mais informações, consulte QuickSightAPIoperações para controlar ativos na QuickSight APIreferência da Amazon.

    Por exemplo, digamos que você esteja se concentrando em painéis de controle. Você pode usar ListDashboards para listar todo o painel IDs da sua AWS conta. Em seguida, para determinar que usuários ou grupos podem acessar esses painéis, você pode usar DescribeDashboardPermissions no conjunto de resultados gerado por ListDashboards. Se você precisar identificar versões específicas de um painel, você pode ListDashboardVersions para isso. Você também pode coletar informações sobre a localização dos dados usados no painel com as API operações da fonte de dados e do conjunto de dados. Para obter mais informações, consulte QuickSight APIoperações para controlar recursos de dados na QuickSight APIreferência da Amazon.

    Para obter mais informações sobre como filtrar a saída de API resposta, consulte a SDK documentação da linguagem que você está usando. Para obter informações relacionadas ao AWS Command Line Interface (AWS CLI), consulte Controlando a saída do comando AWS CLI no Guia do AWS Command Line Interface Usuário.

  4. Para QuickSight ativos e recursos, copie as permissões que o usuário do namespace de origem tem para cada ativo. Em seguida, use, por exemplo, UpdateDashboardPermissions para aplicar as mesmas permissões ao usuário do namespace de destino. Cada tipo de ativo tem seu próprio conjunto separado de API operações para controlar as permissões que os usuários têm para usá-lo. Para obter mais informações, consulte QuickSight APIoperações para permissões de ativos e recursos na QuickSight APIreferência da Amazon.

  5. Quando você terminar de adicionar usuários e permissões, é uma prática recomendável reservar algum tempo para testes de aceitação do usuário. Isso garante que todos estejam usando com êxito o novo namespace. Isso também garante que todos os ativos e recursos estejam acessíveis no novo namespace.

    Depois de ter certeza de que não precisa mais dos nomes de usuário originais, você pode começar a descontinuar as permissões deles no namespace original. Por fim, quando os usuários estiverem prontos, você poderá remover os nomes de grupos e de usuários não utilizados no namespace de origem. Faça isso em cada Região da AWS local em que seus usuários estavam ativos anteriormente.