本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon QuickSight 企业版通过命名空间支持多租户。 QuickSight命名空间是一个逻辑容器,可用于组织客户、子公司、团队等。命名空间可以帮助您实现以下目标:
-
您可以允许 QuickSight 订阅用户发现共享内容并与其他用户共享。同时,您可以确保一个命名空间中的用户无法看到另一个命名空间中的用户或与之交互。
-
您可以安全地隔离数据并支持各种工作负载,而无需添加其他 AWS 帐户。对数据的访问仍然受到 AWS 安全功能的严格控制。只有当用户拥有正确的资源权限时,他们才能看到资产(如数据和控制面板)。此外,拥有权限的用户不能无意中向其命名空间之外的人公开内容。有关更多信息,请参阅 AWS Amazon 的安全 QuickSight。
-
您可以监控按命名空间整齐划分的数据流和使用情况报告。按命名空间对数据和报告进行分类有助于简化成本和安全分析。
-
将用户注册到命名空间后,就不会有额外的管理复杂性或开销。
-
命名空间被设计为跨越命名空间 AWS 区域,因此即使有人登录了不同的命名空间,其使用限制也不会改变。 AWS 区域
命名空间当前具有以下限制:
-
自定义命名空间(不是默认命名空间的命名空间)只有 IAM 联合身份验证单点登录用户可以访问。
-
如果您需要支持以下内容,请使用默认命名空间而不是自定义命名空间:
-
将您的 QuickSight 账户与 IAM 身份中心集成。有关将您的 QuickSight 账户与 IAM 身份中心集成的更多信息,请参阅使用 IAM 身份中心配置您的亚马逊 QuickSight 账户。
-
基于密码的登录。
-
基于凭证的 Active Directory 登录。
-
-
您不能将用户从一个命名空间直接转移到另一个命名空间。您可以选择以编程方式完成部分或全部工作。有关更多信息,请参阅 Amazon QuickSight API 参考。在每个 API 操作的页面底部,都有指向其他语言的相同操作 SDKs 的链接列表。要查看可 SDKs 用的内容,请参阅AWS 入门资源中心中的SDKs 和工具包。
-
命名空间对于隔离用户和权限很有用,但不能用于共享资产。仪表板、数据集和分析可以与不同命名空间中的用户共享。默认情况下,用户无法访问同一个命名空间中存在的项目,但是在与他们共享资源时可以访问特定资产。
如果您没有现有, AWS 账户 或者需要注册,请阅读以下指南 QuickSight,然后按照中的适用说明进行操作注册 QuickSight 订阅 Amazon:
-
注册企业版。
-
当系统询问您要使用哪种方法连接时,请选择基于角色的联合身份验证(IAM)。目前,命名空间仅支持使用 AWS Identity and Access Management (IAM) 角色和 Web 联合身份验证的客户。有关更多信息,请参阅针对第三方身份提供程序创建角色(联合)。
-
完成注册流程。
-
使用 QuickSight CreateNamespaceAPI 操作创建一个或多个命名空间。
-
要开始添加用户,请先按照 使用 IAM 设置 IdP 联合身份验证和 QuickSight 中的说明进行操作。然后使用 RegisterUserAPI 操作将用户添加到相应的命名空间。
如果您已经注册了标准版,则可以轻松地将订阅升级到企业版。执行升级的人员必须是具有管理员权限的 QuickSight 用户。有关更多信息,请参阅 将您的 Amazon QuickSight 订阅从标准版升级到企业版。
如果您已经使用了一段时间的企业版订阅,也可以将用户迁移到命名空间。当您注册 QuickSight 并添加用户时,所有用户都位于默认命名空间中。所有用户都可以直接交互,彼此共享数据和控制面板。要将用户彼此隔离,您可以创建一个或多个其他命名空间。
重要
QuickSight 资产和资源(包括数据集、数据源、仪表板、分析等)存在于任何命名空间之外。只有被授予资源权限的用户才能看到它们。
要实现命名空间,您可以使用以下 QuickSight API 操作:
下面列出的区域不支持命名空间:
-
af-south-1非洲(开普敦) -
ap-southeast-3亚太地区(雅加达) -
eu-south-1欧洲地区(米兰) -
eu-central-2欧洲(苏黎世)
注意
如果需要安装 AWS CLI,请参阅AWS Command Line Interface 用户指南中的安装 AWS CLI 版本 2。
要向命名空间添加用户,可以使用 RegisterUserAPI 操作。每个命名空间都有一组完全独立的用户。用户使用 ARNs 命名空间限定符来区分他们,如以下示例所示:
-
QuickSight 认为这两个实体是不同的人:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
-
-
QuickSight 认为这两个实体是同一个人:
-
arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123 -
arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123
-
使用时 RegisterUser,您可以为每个用户选择访问级别。将某人的用户名分配给其中一个安全群组后,他们对控制台和 API 的访问权限就会受到限制。使用者 QuickSight 可以拥有单一访问级别,如下所示:
-
读者访问权限,适用于控制面板的只读订阅用户
-
作者访问权限,适用于分析师和控制面板设计师
-
管理员权限,适用于 QuickSight 管理员
将一个命名空间中的现有用户迁移到其他命名空间
按照以下过程将现有用户从一个命名空间迁移到另一个命名空间。
-
使用用户和群组 API 操作确定要转移到其他命名空间的 QuickSight 用户。有关更多信息,请参阅 Amazon API 参考中的用于控制访问 QuickSight 的 API 操作。
-
使用 RegisterUserAPI 操作在新命名空间中创建用户。在一个命名空间中,用户名是唯一的。
如果命名空间用户开始在新版本中使用 QuickSight 控制台或 API AWS 区域,则该用户仍仅限于您向其添加的命名空间。每个命名空间代表身份提供者的用户目录。因此,它起源 QuickSight 于设置的主要 AWS 区域 位置。但是,由于用户目录在您的 AWS 账户中全球传播,因此用户可以从任何 AWS 区域 地方访问该命名空间。 QuickSight
-
要确定新命名空间用户所需的资产和资源权限,请使用与每种类型的资产(仪表板、数据集等)关联的 QuickSight API 操作。有关更多信息,请参阅 Amazon QuickSight API 参考中的控制资产 QuickSight 的 API 操作。
例如,假设您专注于控制面板。您可以使用列
ListDashboards出您 AWS 账户 IDs 中的所有控制面板。然后,要确定哪些用户或组可以访问这些控制面板,可以在ListDashboards生成的结果集中使用DescribeDashboardPermissions。如果您需要识别控制面板的特定版本,则可以对其执行ListDashboardVersions。您还可以通过数据来源和数据集 API 操作收集有关控制面板中使用的数据位置的信息。有关更多信息,请参阅 Amazon QuickSight API 参考中的控制数据资源 QuickSight 的 API 操作。有关筛选 API 响应输出的更多信息,请参阅所用语言对应的 SDK 文档。有关 AWS Command Line Interface (AWS CLI) 的信息,请参阅《AWS Command Line Interface 用户指南》中的 “控制来自 AWS CLI 的命令输出”。
-
对于 QuickSight 资产和资源,复制源命名空间用户对每项资产的权限。然后,例如,
UpdateDashboardPermissions将相同的权限应用于目标命名空间用户。每种资产类型都有自己的一组单独的 API 操作,用于控制用户必须使用该资产的权限。有关更多信息,请参阅 Amazon QuickSight API 参考中的资产和资源权限 QuickSight 的 API 操作。 -
添加完用户和权限后,最好留出一些时间进行用户验收测试。这样做可以确保每个人都能成功使用新的命名空间。还确保所有资产和资源都可以在新的命名空间中访问。
确定不再需要原始用户名后,就可以开始在原始命名空间中弃用其权限。最后,当用户准备就绪时,您可以移除源命名空间中未使用的组和用户名。在用户之前活跃的每个 AWS 区域 地方都执行此操作。
