Mendukung multitenancy dengan ruang nama terisolasi

Edisi Amazon QuickSight Enterprise mendukung multitenancy melalui ruang nama. QuickSightNamespace adalah wadah logis yang dapat Anda gunakan untuk mengatur klien, anak perusahaan, tim, dan sebagainya. Ruang nama dapat membantu Anda mencapai tujuan berikut:

• Anda dapat mengizinkan pengguna QuickSight langganan Anda untuk menemukan konten bersama dan berbagi dengan pengguna lain. Pada saat yang sama, Anda dapat yakin bahwa pengguna di satu namespace tidak dapat melihat atau berinteraksi dengan pengguna di namespace lain.

• Anda dapat mengisolasi data dengan aman dan juga mendukung beragam beban kerja tanpa menambahkan akun tambahan. AWS Akses ke data masih dikontrol secara ketat oleh fitur AWS keamanan. Pengguna dapat melihat aset (seperti data dan dasbor) hanya jika mereka memiliki izin sumber daya yang benar. Selain itu, pengguna yang memiliki izin tidak dapat secara tidak sengaja mengekspos konten kepada orang-orang yang berada di luar namespace mereka. Untuk informasi selengkapnya, lihat AWS keamanan di Amazon QuickSight.

• Anda dapat memantau aliran data dan laporan penggunaan, dipartisi dengan rapi oleh namespace. Mengkategorikan data dan laporan berdasarkan namespace dapat membantu menyederhanakan analisis biaya dan keamanan.

• Setelah Anda mendaftarkan pengguna ke namespace Anda, tidak ada kompleksitas administratif atau overhead tambahan.

• Ruang nama dirancang untuk menjangkau Wilayah AWS, sehingga penahanan penggunaan tidak berubah bahkan jika seseorang masuk ke yang berbeda. Wilayah AWS

Ruang nama saat ini memiliki batasan berikut:

• Ruang nama kustom—yang bukan merupakan ruang nama default—hanya dapat diakses oleh pengguna IAM Federated Single-Sign On.

• Gunakan ruang nama default alih-alih ruang nama khusus jika Anda perlu mendukung yang berikut ini:

  • Mengintegrasikan QuickSight akun Anda dengan IAM Identity Center. Untuk informasi selengkapnya tentang mengintegrasikan QuickSight akun Anda dengan IAM Identity Center, lihat. Konfigurasikan QuickSight akun Amazon Anda dengan Pusat IAM Identitas

  • Login berbasis kata sandi.

  • Login Active Directory berbasis kredensil.

• Anda tidak dapat mentransfer pengguna secara langsung dari satu namespace ke namespace lainnya. Anda dapat memilih untuk melakukan beberapa atau semua pekerjaan ini secara terprogram. Untuk informasi selengkapnya, lihat referensi Amazon QuickSight API. Di bagian bawah halaman setiap operasi API, ada daftar tautan ke operasi yang sama di SDK untuk bahasa lain. Untuk melihat SDK apa yang tersedia, lihat SDK dan toolkit di pusat sumber daya memulai AWS .

Jika Anda belum memiliki Akun AWS atau Anda perlu mendaftar QuickSight, baca panduan berikut, lalu ikuti petunjuk yang berlaku diMendaftar untuk QuickSight berlangganan Amazon:

• Mendaftar untuk edisi Enterprise.

• Ketika ditanya metode mana yang ingin Anda hubungkan, pilih Federasi Berbasis Peran (IAM). Saat ini, ruang nama hanya mendukung pelanggan yang menggunakan peran AWS Identity and Access Management (IAM) dengan federasi identitas web. Untuk informasi selengkapnya, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi)

• Selesaikan proses pendaftaran.

• Gunakan operasi QuickSight CreateNamespaceAPI untuk membuat satu atau beberapa ruang nama.

• Untuk mulai menambahkan pengguna, pertama-tama ikuti instruksi diMenyiapkan federasi IDP menggunakan dan IAM QuickSight. Kemudian gunakan operasi RegisterUserAPI untuk menambahkan pengguna ke namespace yang sesuai.

Jika Anda sudah mendaftar untuk edisi Standar, Anda dapat dengan mudah meningkatkan langganan Anda ke edisi Enterprise. Orang yang melakukan upgrade harus QuickSight pengguna dengan hak administrator. Untuk informasi selengkapnya, lihat Memutakhirkan QuickSight langganan Amazon Anda dari edisi Standar ke edisi Enterprise.

Jika Anda memiliki langganan edisi Enterprise yang telah Anda gunakan selama beberapa waktu, Anda juga dapat memigrasikan pengguna ke ruang nama. Saat Anda mendaftar QuickSight dan menambahkan pengguna, semuanya berada di namespace default. Semua pengguna dapat berinteraksi langsung satu sama lain dan berbagi data dan dasbor satu sama lain. Untuk mengisolasi pengguna satu sama lain, Anda dapat membuat satu atau lebih ruang nama tambahan.

penting

QuickSight aset dan sumber daya, termasuk kumpulan data, sumber data, dasbor, analisis, dan sebagainya, ada di luar namespace apa pun. Mereka hanya dapat dilihat oleh pengguna yang memiliki izin sumber daya yang diberikan kepada mereka.

Untuk mengimplementasikan ruang nama, Anda menggunakan operasi QuickSight API berikut:

• CreateNamespace

• DescribeNamespace

• ListNamespaces

• DeleteNamespace

Ruang nama tidak didukung di Wilayah yang tercantum di bawah ini:

• af-south-1Afrika (Cape Town)

• ap-southeast-3Asia Pasifik (Jakarta)

• eu-south-1Eropa (Milan)

• eu-central-2Eropa (Zürich)

catatan

Jika Anda perlu menginstal AWS CLI, lihat Menginstal AWS CLI versi 2 di AWS Command Line Interface Panduan Pengguna.

Untuk menambahkan pengguna ke namespace, Anda menggunakan operasi RegisterUserAPI. Setiap namespace memiliki kumpulan pengguna yang sepenuhnya independen. ARN pengguna menyertakan qualifier namespace untuk membedakannya, seperti yang ditunjukkan pada contoh berikut:

• QuickSight menganggap kedua entitas ini sebagai orang yang berbeda:

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

• QuickSight menganggap kedua entitas ini sebagai orang yang sama:

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Saat Anda menggunakan RegisterUser, Anda memilih tingkat akses untuk setiap pengguna. Setelah nama pengguna seseorang ditetapkan ke salah satu kohort keamanan, akses mereka ke konsol dan API dibatasi. Orang yang menggunakan QuickSight dapat memiliki tingkat akses tunggal, sebagai berikut:

• Akses pembaca, untuk pelanggan dasbor hanya-baca

• Akses penulis, untuk analis dan desainer dasbor

• Akses admin, untuk QuickSight administrator

Untuk memigrasikan pengguna yang ada dalam satu namespace ke namespace yang berbeda

1. Identifikasi pengguna yang ingin Anda transfer ke namespace yang berbeda dengan menggunakan operasi API QuickSight pengguna dan grup. Untuk informasi selengkapnya, lihat Operasi API untuk mengontrol akses di referensi Amazon QuickSight API.

2. Buat pengguna di namespace baru dengan menggunakan operasi RegisterUserAPI. Dalam namespace, nama pengguna unik.

   Jika pengguna namespace mulai menggunakan QuickSight konsol atau API di yang baru Wilayah AWS, pengguna tersebut masih dibatasi ke namespace tempat Anda menambahkannya. Setiap namespace mewakili direktori pengguna dari penyedia identitas. Dengan demikian, itu berasal dari Wilayah AWS tempat utama QuickSight diatur. Namun, karena direktori pengguna disebarkan secara global di AWS akun Anda, namespace dapat diakses dari Wilayah AWS mana pun yang digunakan pengguna Anda. QuickSight

3. Untuk mengidentifikasi izin aset dan sumber daya yang dibutuhkan pengguna namespace baru, gunakan operasi QuickSight API yang terkait dengan setiap jenis aset (dasbor, kumpulan data, dan sebagainya). Untuk informasi selengkapnya, lihat Operasi QuickSight API untuk mengontrol aset dalam referensi Amazon QuickSight API.

   Misalnya, katakanlah Anda berfokus pada dasbor. Anda dapat ListDashboards menggunakan daftar semua ID dasbor di AWS akun Anda. Kemudian, untuk menentukan pengguna atau grup mana yang dapat mengakses dasbor ini, Anda dapat menggunakan DescribeDashboardPermissions pada kumpulan hasil yang dihasilkan olehListDashboards. Jika Anda perlu mengidentifikasi versi dasbor tertentu, Anda bisa ListDashboardVersions melakukannya. Anda juga dapat mengumpulkan informasi tentang lokasi data yang digunakan di dasbor dengan sumber data dan operasi API kumpulan data. Untuk informasi selengkapnya, lihat Operasi QuickSight API untuk mengontrol sumber daya data di referensi Amazon QuickSight API.

   Untuk informasi selengkapnya tentang memfilter output respons API, lihat dokumentasi SDK untuk bahasa yang Anda gunakan. Untuk informasi yang berkaitan dengan AWS Command Line Interface (AWS CLI), lihat Mengontrol output perintah dari AWS CLI di AWS Command Line Interface Panduan Pengguna.

4. Untuk QuickSight aset dan sumber daya, salin izin yang dimiliki pengguna namespace sumber untuk setiap aset. Kemudian gunakan, misalnya, UpdateDashboardPermissions untuk menerapkan izin yang sama ke pengguna namespace target. Setiap jenis aset memiliki kumpulan operasi API tersendiri untuk mengontrol izin yang harus digunakan pengguna. Untuk informasi selengkapnya, lihat operasi QuickSight API untuk izin aset dan sumber daya di referensi Amazon QuickSight API.

5. Ketika Anda selesai menambahkan pengguna dan izin, itu adalah praktik yang baik untuk memberikan beberapa waktu untuk pengujian penerimaan pengguna. Melakukan hal ini memastikan bahwa setiap orang berhasil menggunakan namespace baru. Ini juga memastikan bahwa semua aset dan sumber daya dapat diakses di namespace baru.

   Setelah Anda yakin bahwa Anda tidak lagi memerlukan nama pengguna asli, Anda dapat mulai menghentikan izin mereka di namespace asli. Terakhir, ketika pengguna sudah siap, Anda dapat menghapus grup dan nama pengguna yang tidak digunakan di namespace sumber. Lakukan ini di setiap Wilayah AWS tempat pengguna Anda sebelumnya aktif.