Suporte a multilocação com namespaces isolados

A edição Amazon QuickSight Enterprise oferece suporte à multilocação por meio de namespaces. Um QuickSight namespace é um contêiner lógico que você pode usar para organizar clientes, subsidiárias, equipes e assim por diante. Os namespaces podem ajudar você a atingir as seguintes metas:

Você pode permitir que os usuários da sua QuickSight assinatura descubram conteúdo compartilhado e compartilhem com outros usuários. Ao mesmo tempo, você pode ter certeza de que os usuários em um namespace não podem ver ou interagir com os usuários em outro namespace.
Você pode isolar dados com segurança e também oferecer suporte a diversas cargas de trabalho sem adicionar contas adicionais. AWS O acesso aos dados ainda é estritamente controlado por recursos AWS de segurança. Os usuários só podem ver ativos (como dados e painéis) se tiverem as permissões de recursos corretas. Além disso, os usuários que têm permissões não podem expor conteúdo inadvertidamente a pessoas que estão fora do seu namespace. Para ter mais informações, consulte AWS segurança na Amazon QuickSight.
Você pode monitorar fluxos de dados e relatórios de uso, ordenadamente particionados por namespace. A categorização de dados e relatórios por namespace pode ajudar a simplificar a análise de custos e de segurança.
Depois de registrar usuários no namespace, não há qualquer complexidade administrativa ou sobrecarga adicional.
Os namespaces são projetados para abranger Regiões da AWS, portanto, a contenção de uso não muda, mesmo que uma pessoa faça login em outra. Região da AWS

No momento, namespaces têm as seguintes limitações:

Os namespaces personalizados, aqueles que não são o namespace padrão, só podem ser acessados por usuários do logon único federado do IAM.
Use namespaces padrão em vez de namespaces personalizados se precisar oferecer suporte ao seguinte:
- Integrando sua QuickSight conta com o IAM Identity Center. Para obter mais informações sobre como integrar sua QuickSight conta com o IAM Identity Center, consulteConfigure sua QuickSight conta da Amazon com o IAM Identity Center.
- Logins baseados em senha.
- Logins do Active Directory baseados em credenciais.
Você não pode transferir usuários diretamente de um namespace para outro. Você pode optar por fazer todo ou parte desse trabalho programaticamente. Para obter mais informações, consulte a referência da QuickSight API da Amazon. Na parte inferior da página de cada operação de API, há uma lista de links para a mesma operação nos SDKs para outros idiomas. Para ver quais SDKs estão disponíveis, consulte SDKs e kits de ferramentas no centro de recursos de AWS introdução.

Se você não tem uma existente Conta da AWS ou precisa se inscrever QuickSight, leia as diretrizes a seguir e siga as instruções aplicáveis emInscrever-se para uma QuickSight assinatura da Amazon:

Inscreva-se na Enterprise Edition.
Quando perguntarem com que método você quer se conectar, escolha Federação baseada em perfil (IAM). Atualmente, os namespaces oferecem suporte somente a clientes que usam uma função AWS Identity and Access Management (IAM) com uma federação de identidade da web. Para obter mais informações, consulte Como criar um perfil para um provedor de identidade de terceiros (federação).
Conclua o processo de inscrição.
Use a operação QuickSight CreateNamespaceda API para criar um ou mais namespaces.
Para começar a adicionar usuários, primeiro siga as instruções em Configurando a federação de IdP usando e IAM QuickSight. Em seguida, use a operação RegisterUserda API para adicionar usuários ao namespace apropriado.

Caso já tenha se inscrito na Standard Edition, você pode facilmente atualizar sua assinatura para a Enterprise Edition. A pessoa que executa a atualização deve ser um QuickSight usuário com privilégios de administrador. Para ter mais informações, consulte Atualizando sua QuickSight assinatura da Amazon da edição Standard para a edição Enterprise.

Se você tem uma assinatura da Enterprise Edition há algum tempo, também é possível migrar seus usuários para namespaces. Quando você se inscreve QuickSight e adiciona usuários, todos eles residem no namespace padrão. Todos os usuários podem interagir diretamente e compartilhar dados e painéis uns com os outros. Para isolar seus usuários uns dos outros, você pode criar um ou mais namespaces.

Importante

QuickSight ativos e recursos, incluindo conjuntos de dados, fontes de dados, painéis, análises etc., existem fora de qualquer namespace. Eles são visíveis somente para usuários que têm permissões de recursos concedidas a eles.

Para implementar namespaces, você usa as seguintes operações de QuickSight API:

Não há suporte para namespaces nas regiões listadas abaixo:

af-south-1África (Cidade do Cabo)
ap-southeast-3Ásia-Pacífico (Jacarta)
eu-south-1Europa (Milão)
eu-central-2Europa (Zurique)

nota

Se você precisar instalar o AWS CLI, consulte Instalando a AWS CLI versão 2 no Guia do AWS Command Line Interface usuário.

Para adicionar usuários a um namespace, você usa a operação de RegisterUserAPI. Cada namespace tem um conjunto de usuários completamente independente. Os ARNs do usuário incluem o qualificador de namespace para diferenciá-los, conforme mostrado nos seguintes exemplos:

QuickSight considera que essas duas entidades são pessoas diferentes:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
QuickSight considera que essas duas entidades são a mesma pessoa:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Ao usar RegisterUser, você seleciona um nível de acesso para cada usuário. Depois que o nome de usuário de uma pessoa é atribuído a uma das coortes de segurança, o acesso dessa pessoa ao console e à API é restrito. As pessoas que usam QuickSight podem ter um único nível de acesso, da seguinte forma:

Acesso de leitor, para assinantes somente leitura de um painel
Acesso de autor, para analistas e designers de painéis
Acesso de administrador, para QuickSight administradores

Migrar usuários existentes em um namespace para outro namespace

Identifique os usuários que você deseja transferir para um namespace diferente usando as operações da API de QuickSight usuário e grupo. Para obter mais informações, consulte Operações de API para controlar o acesso na referência de QuickSight API da Amazon.
Crie usuários no novo namespace usando a operação da RegisterUserAPI. Em um namespace, os nomes de usuário são exclusivos.

Se um usuário do namespace começar a usar o QuickSight console ou a API em um novo Região da AWS, esse usuário ainda estará restrito ao namespace ao qual você o adicionou. Cada namespace representa um diretório de usuário de um provedor de identidade. Como tal, ele se origina no Região da AWS local primário onde QuickSight está configurado. No entanto, como o diretório do usuário é propagado globalmente em sua AWS conta, o namespace pode ser acessado de qualquer Região da AWS lugar que seus usuários estejam usando. QuickSight
Para identificar as permissões de ativos e recursos de que os novos usuários do namespace precisam, use as operações de QuickSight API associadas a cada tipo de ativo (painéis, conjuntos de dados etc.). Para obter mais informações, consulte Operações de QuickSight API para controlar ativos na referência de QuickSight API da Amazon.

Por exemplo, digamos que você esteja se concentrando em painéis de controle. Você pode usar ListDashboards para listar todos os IDs do painel em sua AWS conta. Em seguida, para determinar que usuários ou grupos podem acessar esses painéis, você pode usar DescribeDashboardPermissions no conjunto de resultados gerado por ListDashboards. Se você precisar identificar versões específicas de um painel, você pode ListDashboardVersions para isso. Você também pode coletar informações sobre a localização dos dados usados no painel com as operações de APIs da fonte de dados e do conjunto de dados. Para obter mais informações, consulte Operações de QuickSight API para controlar recursos de dados na referência de QuickSight API da Amazon.

Para obter mais informações sobre como filtrar a saída de resposta da API, consulte a documentação do SDK para o idioma que você está usando. Para obter informações relacionadas ao AWS Command Line Interface (AWS CLI), consulte Controlando a saída do comando da AWS CLI no Guia do AWS Command Line Interface usuário.
Para QuickSight ativos e recursos, copie as permissões que o usuário do namespace de origem tem para cada ativo. Em seguida, use, por exemplo, UpdateDashboardPermissions para aplicar as mesmas permissões ao usuário do namespace de destino. Cada tipo de ativo tem seu próprio conjunto separado de operações de API para controlar as permissões que os usuários têm para usá-lo. Para obter mais informações, consulte Operações de QuickSight API para permissões de ativos e recursos na referência de QuickSight API da Amazon.
Quando você terminar de adicionar usuários e permissões, é uma prática recomendável reservar algum tempo para testes de aceitação do usuário. Isso garante que todos estejam usando com êxito o novo namespace. Isso também garante que todos os ativos e recursos estejam acessíveis no novo namespace.

Depois de ter certeza de que não precisa mais dos nomes de usuário originais, você pode começar a descontinuar as permissões deles no namespace original. Por fim, quando os usuários estiverem prontos, você poderá remover os nomes de grupos e de usuários não utilizados no namespace de origem. Faça isso em cada Região da AWS local em que seus usuários estavam ativos anteriormente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Domínios da lista de permissões no runtime

Personalizações da conta