透過隔離命名空間支援多租戶 - Amazon QuickSight
將一個命名空間中的現有使用者遷移到另一個命名空間

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過隔離命名空間支援多租戶

Amazon QuickSight Enterprise Edition 透過命名空間支援多租戶。 QuickSight 命名空間是邏輯容器,可用來組織用戶端、子公司、團隊等。命名空間可以協助您實現以下目標:

  • 您可以允許 QuickSight 訂閱的使用者探索共用內容,並與其他使用者共用。同時確保一個命名空間中的使用者無法查看另一個命名空間中的使用者,或進行互動。

  • 您可以安全地隔離資料,也可以支援各種工作負載,而無需新增其他 AWS 帳戶。 AWS 安全功能仍會嚴格控制對資料的存取。只有當使用者擁有正確的資源許可時,使用者才能查看資產 (例如資料和儀表板)。此外,可以防止擁有許可的使用者不小心向其命名空間之外的人員公開內容。如需詳細資訊,請參閱AWS Amazon 中的安全 QuickSight

  • 透過按命名空間整理的報告監控資料串流和用量。按命名空間對資料和報告進行分類,有助於簡化成本和安全分析。

  • 將使用者註冊到命名空間後,便不會產生額外的管理複雜性或開銷。

  • 命名空間旨在跨越 AWS 區域,因此即使有人登入不同的 ,使用限制也不會變更 AWS 區域。

命名空間目前有以下限制:

  • 只有IAM聯合單一登入使用者才能存取自訂命名空間,也就是非預設命名空間的命名空間。

  • 如需支援以下功能,請使用預設命名空間而不是自訂命名空間:

  • 您無法將使用者直接從一個命名空間轉移到另一個命名空間。您可以選擇以程式設計方式完成這一工作的部分或全部。如需詳細資訊,請參閱 Amazon QuickSight API 參考 。在每個API操作的頁面底部,會有其他SDKs語言的 中相同操作的連結清單。若要查看SDKs可用的項目,請參閱AWS 入門資源中心 中的 SDKs 和 工具組

如果您沒有現有 AWS 帳戶 或需要註冊 QuickSight,請閱讀下列準則,然後遵循 中的適用指示註冊 Amazon QuickSight 訂閱

如果您註冊的是標準版,您可以輕鬆地將訂閱升級到企業版。執行升級的人員必須是具有管理員權限 QuickSight 的使用者。如需詳細資訊,請參閱將您的 Amazon QuickSight 訂閱從 Standard Edition 升級到 Enterprise Edition

如果您擁有已經使用了一段時間的企業版訂閱,也可以將使用者遷移到命名空間。當您註冊 QuickSight 並新增使用者時,它們全部都位於預設命名空間中。所有使用者都可以直接相互互動以及共用資料和儀表板。為了將使用者彼此隔離,您可以建立一個或多個額外命名空間。

重要

QuickSight 資產和資源,包括資料集、資料來源、儀表板、分析等,存在於任何命名空間之外。只有已授予資源許可的使用者才能看見。

若要實作命名空間,您可以使用下列 QuickSight API操作:

下列區域不支援命名空間:

  • af-south-1 非洲 (開普敦)

  • ap-southeast-3 亞太區域 (雅加達)

  • eu-south-1 歐洲 (米蘭)

  • eu-central-2 歐洲 (蘇黎世)

注意

如果您需要安裝 AWS CLI,請參閱 使用者指南中的安裝 AWS CLI版本 2AWS Command Line Interface

若要將使用者新增至命名空間,請使用 RegisterUserAPI操作。每個命名空間都有一組完全獨立的使用者。使用者ARNs包含命名空間限定詞來區分它們,如下列範例所示:

  • QuickSight 認為這兩個實體是不同的人:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight 將這兩個實體視為同一個人:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

使用 時RegisterUser,您會為每個使用者選取存取層級。將人員的使用者名稱指派給其中一個安全群組後,其對主控台的存取API會受到限制。使用 的人員 QuickSight 可以具有單一存取層級,如下所示:

  • 讀者存取權限,適用於儀表板的唯讀訂閱用戶

  • 作者存取權限,適用於分析師和儀表板設計人員

  • 管理員存取權,適用於 QuickSight 管理員

將一個命名空間中的現有使用者遷移到另一個命名空間

請依照下列程序,將現有使用者從一個命名空間遷移至不同的命名空間。

  1. 使用使用者和群組API操作,識別您要傳輸至不同命名空間 QuickSight 的使用者。如需詳細資訊,請參閱 Amazon QuickSight API 參考 中的API控制存取的操作

  2. 使用 RegisterUserAPI操作在新命名空間中建立使用者。命名空間內的使用者名稱是唯一的。

    如果命名空間使用者開始使用 QuickSight 主控台或在新的 API中啟動 AWS 區域,則該使用者仍會受到您新增使用者的命名空間限制。每個命名空間代表身分供應商的一個使用者目錄。因此,它源自 QuickSight 設定 AWS 區域 的主要 。但是,由於使用者目錄會在 AWS 您的帳戶中全域傳播,因此可以從使用者使用 的任何 AWS 區域 位置存取命名空間 QuickSight。

  3. 若要識別新命名空間使用者所需的資產和資源許可,請使用 QuickSight API與每種資產類型 (儀表板、資料集等) 相關聯的操作。如需詳細資訊,請參閱 QuickSight Amazon 參考 中的控制資產API的操作 QuickSight API

    例如,假設您關注的是儀表板。您可以使用 ListDashboards 列出IDs AWS 帳戶中的所有儀表板。然後,要決定哪些使用者或群組可以存取這些儀表板,您可以對 ListDashboards 產生的結果集使用 DescribeDashboardPermissions。如果您需要識別儀表板的特定版本,則可以使用 ListDashboardVersions 來實現。您也可以透過資料來源和資料集API操作,收集儀表板中使用的資料位置資訊。如需詳細資訊,請參閱 Amazon QuickSight API 參考 中的QuickSight API控制資料資源的操作

    如需篩選API回應輸出的詳細資訊,請參閱您正在使用的語言SDK的文件。如需 AWS Command Line Interface (AWS CLI) 的相關資訊,請參閱 AWS Command Line Interface 使用者指南 中的控制來自 的命令輸出 AWS CLI

  4. 對於 QuickSight 資產和資源,請複製來源命名空間使用者為每個資產擁有的許可。然後可以使用 UpdateDashboardPermissions 等將相同的許可套用至目標命名空間使用者。每個資產類型都有自己的個別API操作集,用於控制使用者必須使用的許可。如需詳細資訊,請參閱 Amazon QuickSight API 參考 中的QuickSight API資產和資源許可的操作

  5. 新增完使用者和許可後,最好留一些時間進行使用者接受度測試。這樣做可以確保每個人都能順利使用新的命名空間,並確保透過新命名空間可以存取所有資產和資源。

    在確定不再需要原始使用者名稱後,您可以開始棄用他們在原始命名空間中的許可。最後,當使用者準備好時,您可以移除來源命名空間中未使用的群組和使用者名稱。在使用者先前處於作用中 AWS 區域 的每個 中執行此操作。