Prise en charge de la multilocation avec des espaces de noms isolés - Amazon QuickSight
Pour migrer des utilisateurs existants d'un espace de noms vers un autre espace de noms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prise en charge de la multilocation avec des espaces de noms isolés

QuickSight L'édition Amazon Enterprise prend en charge la mutualisation via des espaces de noms. Un QuickSight espace de noms est un conteneur logique que vous pouvez utiliser pour organiser les clients, les filiales, les équipes, etc. Les espaces de noms peuvent vous aider à atteindre les objectifs suivants :

  • Vous pouvez autoriser les utilisateurs de votre QuickSight abonnement à découvrir du contenu partagé et à le partager avec d'autres utilisateurs. En même temps, vous pouvez vous assurer que les utilisateurs d'un espace de noms ne peuvent pas voir ou interagir avec les utilisateurs d'un autre espace de noms.

  • Vous pouvez isoler les données en toute sécurité et également prendre en charge diverses charges de travail sans ajouter de AWS comptes supplémentaires. L'accès aux données est toujours strictement contrôlé par des AWS dispositifs de sécurité. Les utilisateurs peuvent voir les ressources (comme les données et les tableaux de bord) uniquement s'ils disposent des autorisations de ressources correctes. En outre, les utilisateurs qui disposent d'autorisations ne peuvent pas exposer par inadvertance le contenu à des personnes qui ne font pas partie de leur espace de noms. Pour de plus amples informations, veuillez consulter AWS sécurité sur Amazon QuickSight.

  • Vous pouvez surveiller les flux de données et les rapports d'utilisation, soigneusement répartis par espace de noms. La catégorisation des données et des rapports par espace de noms peut simplifier l'analyse des coûts et de la sécurité.

  • Une fois que vous avez enregistré les utilisateurs dans votre espace de noms, il n'y a pas de complexité administrative ou de frais généraux supplémentaires.

  • Les espaces de noms sont conçus pour s'étendre Régions AWS, de sorte que le confinement de l'utilisation ne change pas, même si une personne se connecte à un autre. Région AWS

Les espaces de noms présentent actuellement les limitations suivantes :

  • Les espaces de noms personnalisés (ceux qui ne sont pas l'espace de noms par défaut) ne sont accessibles qu'aux utilisateurs de Federated Single-Sign On. IAM

  • Utilisez les espaces de noms par défaut au lieu des espaces de noms personnalisés si vous devez prendre en charge les éléments suivants :

    • Intégrer votre QuickSight compte à IAM Identity Center. Pour plus d'informations sur l'intégration de votre QuickSight compte à IAM Identity Center, consultezConfigurez votre QuickSight compte Amazon avec IAM Identity Center.

    • Connexions basées sur un mot de passe.

    • Connexions Active Directory basées sur des informations d'identification.

  • Vous ne pouvez pas transférer des utilisateurs directement d'un espace de noms à un autre. Vous pouvez choisir d'effectuer une partie ou la totalité de ce travail par programme. Pour plus d'informations, consultez la QuickSight APIréférence Amazon. Au bas de la page de chaque API opération, vous trouverez une liste de liens vers la même opération dans SDKs les quatre autres langues. Pour voir ce qui SDKs est disponible, consultez SDKsles boîtes à outils du centre de ressources AWS pour la mise en route.

Si vous n'en avez pas déjà un Compte AWS ou si vous devez vous y inscrire QuickSight, lisez les instructions suivantes, puis suivez les instructions applicables dans Souscrire à un QuickSight abonnement Amazon :

  • S'inscrire à l'édition Enterprise.

  • Lorsqu'on vous demande à quelle méthode vous souhaitez vous connecter, choisissez Role Based Federation (IAM). Actuellement, les espaces de noms ne prennent en charge que les clients qui utilisent un rôle AWS Identity and Access Management (IAM) dans le cadre d'une fédération d'identité Web. Pour plus d'informations, consultez Création d'un rôle pour un fournisseur d'identité tiers (fédération)

  • Terminez le processus d'inscription.

  • Utilisez l' QuickSight CreateNamespaceAPIopération pour créer un ou plusieurs espaces de noms.

  • Pour commencer à ajouter des utilisateurs, suivez d'abord les instructions dans Configuration de la fédération IdP à l'aide de et IAM QuickSight. Utilisez ensuite l'RegisterUserAPIopération pour ajouter des utilisateurs à l'espace de noms approprié.

Si vous avez déjà souscrit à l'édition Standard, vous pouvez facilement mettre à niveau votre abonnement vers l'édition Enterprise. La personne effectuant la mise à niveau doit être un QuickSight utilisateur doté de droits d'administrateur. Pour de plus amples informations, veuillez consulter Mise à niveau de votre QuickSight abonnement Amazon de l'édition Standard à l'édition Enterprise.

Si vous disposez d'un abonnement à l'édition Enterprise que vous utilisez depuis un certain temps, il est également possible de migrer vos utilisateurs vers des espaces de noms. Lorsque vous vous inscrivez QuickSight et que vous ajoutez des utilisateurs, ils résident tous dans l'espace de noms par défaut. Tous les utilisateurs peuvent interagir directement les uns avec les autres et partager des données et des tableaux de bord. Pour isoler vos utilisateurs les uns des autres, vous pouvez créer un ou plusieurs espaces de noms supplémentaires.

Important

QuickSight les actifs et les ressources, y compris les ensembles de données, les sources de données, les tableaux de bord, les analyses, etc., existent en dehors de tout espace de noms. Ils ne sont visibles que par les utilisateurs auxquels des autorisations de ressources leur ont été accordées.

Pour implémenter des espaces de noms, vous devez effectuer les QuickSight API opérations suivantes :

Les espaces de noms ne sont pas pris en charge dans les régions répertoriées ci-dessous :

  • af-south-1Afrique (Le Cap)

  • ap-southeast-3Asie-Pacifique (Jakarta)

  • eu-south-1Europe (Milan)

  • eu-central-2Europe (Zurich)

Note

Si vous devez installer le AWS CLI, consultez la section Installation de la AWS CLI version 2 dans le guide de AWS Command Line Interface l'utilisateur.

Pour ajouter des utilisateurs à un espace de noms, vous devez utiliser l'RegisterUserAPIopération. Chaque espace de noms dispose d'un ensemble d'utilisateurs totalement indépendant. L'utilisateur ARNs inclut le qualificatif d'espace de noms pour les distinguer, comme indiqué dans les exemples suivants :

  • QuickSight considère ces deux entités comme des personnes différentes :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight considère que ces deux entités sont la même personne :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Lorsque vous utilisez RegisterUser, vous sélectionnez un niveau d'accès pour chaque utilisateur. Une fois que le nom d'utilisateur d'une personne est attribué à l'une des cohortes de sécurité, son accès à la console API est restreint. Les utilisateurs QuickSight peuvent avoir un seul niveau d'accès, comme suit :

  • Accès lecteur, pour les abonnés en lecture seule d'un tableau de bord

  • Accès auteur, pour les analystes et les concepteurs de tableaux de bord

  • Accès administrateur, pour les QuickSight administrateurs

Pour migrer des utilisateurs existants d'un espace de noms vers un autre espace de noms

Suivez la procédure ci-dessous pour migrer les utilisateurs existants d'un espace de noms vers un autre.

  1. Identifiez les utilisateurs que vous souhaitez transférer vers un autre espace de noms à l'aide des API opérations QuickSight utilisateur et groupe. Pour plus d'informations, consultez les API opérations de contrôle d'accès dans la QuickSight APIréférence Amazon.

  2. Créez des utilisateurs dans le nouvel espace de noms à l'aide de l'RegisterUserAPIopération. Au sein d'un espace de noms, les noms d'utilisateurs sont uniques.

    Si un utilisateur d'espace de noms commence à utiliser la QuickSight console ou API dans une nouvelle console Région AWS, il est toujours limité à l'espace de noms auquel vous l'avez ajouté. Chaque espace de noms représente un répertoire d'utilisateurs d'un fournisseur d'identité. En tant que tel, il provient de l' Région AWS endroit principal où QuickSight il est configuré. Toutefois, étant donné que l'annuaire des utilisateurs est diffusé dans le monde entier dans votre AWS compte, l'espace de noms est accessible depuis n'importe quel Région AWS endroit que vos utilisateurs utilisent. QuickSight

  3. Pour identifier les autorisations d'actifs et de ressources dont les utilisateurs du nouvel espace de noms ont besoin, utilisez les QuickSight API opérations associées à chaque type d'actif (tableaux de bord, ensembles de données, etc.). Pour plus d'informations, consultez QuickSightAPIles opérations de contrôle des actifs dans la QuickSight APIréférence Amazon.

    Par exemple, supposons que vous vous concentrez sur les tableaux de bord. Vous pouvez l'utiliser ListDashboards pour répertorier tous les tableaux IDs de bord de votre AWS compte. Ensuite, pour déterminer quels utilisateurs ou groupes peuvent accéder à ces tableaux de bord, vous pouvez utiliser DescribeDashboardPermissions sur l'ensemble de résultats généré par ListDashboards. Si vous avez besoin d'identifier des versions spécifiques d'un tableau de bord, vous pouvez utiliser ListDashboardVersions pour cela. Vous pouvez également collecter des informations sur l'emplacement des données utilisées dans le tableau de bord avec les API opérations de source de données et de jeu de données. Pour plus d'informations, consultez les QuickSight APIopérations de contrôle des ressources de données dans la QuickSight APIréférence Amazon.

    Pour plus d'informations sur le filtrage de la sortie des API réponses, consultez la SDK documentation de la langue que vous utilisez. Pour plus d'informations sur le AWS Command Line Interface (AWS CLI), reportez-vous à la section Contrôle de la sortie des commandes AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

  4. Pour les QuickSight actifs et les ressources, copiez les autorisations dont dispose l'utilisateur de l'espace de noms source pour chaque actif. Utilisez ensuite, par exemple, UpdateDashboardPermissions pour appliquer les mêmes autorisations à l'utilisateur de l'espace de noms cible. Chaque type de ressource possède son propre ensemble d'APIopérations pour contrôler les autorisations dont disposent les utilisateurs pour l'utiliser. Pour plus d'informations, consultez les QuickSight APIopérations relatives aux autorisations d'actifs et de ressources dans la QuickSight APIréférence Amazon.

  5. Lorsque vous avez terminé d'ajouter des utilisateurs et des autorisations, il est conseillé de consacrer un peu de temps aux tests d'acceptation des utilisateurs. Cela permet de s'assurer que tout le monde utilise avec succès le nouvel espace de noms. Cela permet également de s'assurer que toutes les ressources sont accessibles dans le nouvel espace de noms.

    Une fois que vous êtes certain de ne plus avoir besoin des noms d'utilisateurs originaux, vous pouvez commencer à supprimer leurs autorisations dans l'espace de noms original. Finalement, lorsque les utilisateurs sont prêts, vous pouvez supprimer les noms de groupe et d'utilisateur inutilisés dans l'espace de noms source. Faites-le dans chaque Région AWS endroit où vos utilisateurs étaient précédemment actifs.