Supporto della multilocazione con spazi dei nomi isolati

L'edizione Amazon Quick Enterprise supporta la multitenancy tramite namespace. Un namespace Amazon Quick è un contenitore logico che puoi utilizzare per organizzare clienti, filiali, team e così via. Gli spazi dei nomi possono aiutarti a raggiungere i seguenti obiettivi:

• Puoi consentire agli utenti del tuo abbonamento Amazon Quick di scoprire contenuti condivisi e condividerli con altri utenti. Allo stesso tempo, puoi essere certo che gli utenti di uno spazio dei nomi non possano vedere o interagire con gli utenti in un altro spazio dei nomi.

• Puoi isolare in modo sicuro i dati e supportare anche diversi carichi di lavoro senza aggiungere account aggiuntivi. AWS L'accesso ai dati è ancora strettamente controllato dalle funzionalità di sicurezza di AWS . Gli utenti possono visualizzare le risorse (come dati e pannelli di controllo) solo se dispongono delle autorizzazioni corrette per le risorse. Inoltre, gli utenti che dispongono delle autorizzazioni non possono esporre inavvertitamente i contenuti a persone che non appartengono al loro spazio dei nomi. Per ulteriori informazioni, consulta Supporto della multilocazione con spazi dei nomi isolati.

• Puoi monitorare i flussi di dati e i report sull'utilizzo, suddivisi in modo ordinato per spazio dei nomi. La categorizzazione di dati e report per spazio dei nomi può aiutare a semplificare l'analisi dei costi e della sicurezza.

• Dopo aver registrato gli utenti nel tuo spazio dei nomi, non ci sono ulteriori sovraccarichi o costi amministrativi.

• I namespace sono progettati per estendersi Regioni AWS, quindi il contenimento dell'uso non cambia anche se una persona accede a un altro. Regione AWS

Gli spazi dei nomi presentano attualmente le seguenti limitazioni:

• Gli spazi dei nomi personalizzati, ovvero quelli che non sono lo spazio dei nomi predefinito, sono accessibili solo agli utenti di Single-Sign On federato IAM.

• Utilizza gli spazi dei nomi predefiniti anziché quelli personalizzati se devi supportare quanto segue:

  • Integrazione del tuo account Amazon Quick con IAM Identity Center. Per ulteriori informazioni sull'integrazione del tuo account Amazon Quick con IAM Identity Center, consulta la sezione AWS Sicurezza in Amazon Quick.

  • Accessi basati su password.

  • Accessi ad Active Directory basati su credenziali.

• Non è possibile trasferire gli utenti direttamente da uno spazio dei nomi a un altro. Puoi scegliere di eseguire alcune o tutte queste operazioni a livello di codice. Per ulteriori informazioni, consulta il riferimento Quick API. Nella parte inferiore della pagina di ogni operazione API, c'è un elenco di collegamenti alla stessa operazione nelle SDKs altre lingue. Per vedere quali strumenti SDKs sono disponibili, consulta SDKs i toolkit disponibili nel centro risorse per AWS iniziare.

• I namespace sono utili per isolare utenti e autorizzazioni, ma non per condividere risorse. I pannelli di controllo, i set di dati e le analisi possono essere condivisi con gli utenti in diversi namespace. Per impostazione predefinita, gli utenti non possono accedere agli elementi che esistono nello stesso namespace, ma possono accedere a risorse specifiche quando la risorsa viene condivisa con loro.

Se non ne hai ancora uno Account AWS o devi registrarti ad Amazon Quick, leggi le seguenti linee guida, quindi segui le istruzioni applicabili in Registrazione di un abbonamento Amazon Quick:

• Registrati per l'edizione Enterprise.

• Quando ti viene chiesto con quale metodo desideri connetterti, scegli Federazione basata sul ruolo (IAM). Attualmente, i namespace supportano solo i clienti che utilizzano un ruolo AWS Identity and Access Management (IAM) con una federazione di identità Web. Per ulteriori informazioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione).

• Completa il processo di registrazione.

• Utilizza l'operazione Amazon Quick CreateNamespaceAPI per creare uno o più namespace.

• Per iniziare ad aggiungere utenti, segui innanzitutto le istruzioni in Configurazione della federazione IdP utilizzando IAM e Amazon Quick. Utilizza quindi l'operazione RegisterUserAPI per aggiungere utenti al namespace appropriato.

Se ti sei già registrato per l'edizione Standard, puoi facilmente aggiornare il tuo abbonamento all'edizione Enterprise. La persona che esegue l'aggiornamento deve essere un utente Amazon Quick con privilegi di amministratore. Per ulteriori informazioni, consulta Upgrade del tuo abbonamento Amazon Quick.

Se disponi di un abbonamento all'edizione Enterprise che utilizzi da qualche tempo, è anche possibile migrare gli utenti negli spazi dei nomi. Quando ti registri ad Amazon Quick e aggiungi utenti, tutti risiedono nello spazio dei nomi predefinito. Tutti gli utenti possono interagire direttamente tra loro e condividere dati e pannelli di controllo l'uno con l'altro. Per isolare gli utenti gli uni dagli altri, è possibile creare uno o più spazi dei nomi aggiuntivi.

Importante

Gli asset e le risorse di Amazon Quick, inclusi set di dati, fonti di dati, dashboard, analisi e così via, esistono al di fuori di qualsiasi namespace. Sono visibili solo agli utenti a cui sono state concesse le autorizzazioni relative alle risorse.

Per implementare i namespace, utilizzi le seguenti operazioni Amazon Quick API:

• CreateNamespace

• DescribeNamespace

• ListNamespaces

• DeleteNamespace

I namespace non sono supportati nelle regioni elencate di seguito:

• af-south-1 Africa (Città del Capo)

• ap-southeast-3 Asia Pacifico (Giacarta)

• eu-south-1 Europa (Milano)

• eu-central-2 Europa (Zurigo)

Nota

Se è necessario installare la versione 2 della CLI AWS CLI, vedere Installazione della AWS CLI nella Guida per l'AWS Command Line Interface utente.

Per aggiungere utenti a un namespace, si utilizza l'RegisterUseroperazione API. Ogni namespace ha un set di utenti completamente indipendente. L'utente ARNs include il qualificatore dello spazio dei nomi per distinguerli, come illustrato negli esempi seguenti:

• Amazon Quick considera queste due entità come persone diverse:

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

• Amazon Quick considera queste due entità come la stessa persona:

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Quando lo usi RegisterUser, selezioni un livello di accesso per ogni utente. Dopo che il nome utente di una persona è stato assegnato a una delle coorti di sicurezza, il suo accesso alla console e all'API è limitato. Le persone che utilizzano Amazon Quick possono avere un unico livello di accesso, come segue:

• Accesso come lettore, per gli abbonati di sola lettura a un pannello di controllo

• Accesso come autore, per analisti e progettisti di pannelli di controllo

• Accesso amministrativo, per gli amministratori di Amazon Quick

Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Seguire la procedura di seguito per migrare gli utenti esistenti da un namespace a un namespace differente

1. Identifica gli utenti che desideri trasferire in un altro namespace utilizzando le operazioni API di utenti e gruppi di Amazon Quick. Per ulteriori informazioni, consulta Operazioni API per il controllo dell'accesso nel riferimento Quick API.

2. Crea utenti nel nuovo spazio dei nomi utilizzando l'operazione RegisterUserAPI. All'interno di uno spazio dei nomi, i nomi utente sono univoci.

   Se un utente dello spazio dei nomi inizia a utilizzare la console o l'API Amazon Quick in una nuova console Regione AWS, quell'utente è ancora vincolato allo spazio dei nomi a cui lo hai aggiunto. Ogni spazio dei nomi rappresenta una directory utente di un gestore delle identità. In quanto tale, ha origine nel sistema primario in Regione AWS cui è configurato Amazon Quick. Tuttavia, poiché la directory utente viene propagata a livello globale nel tuo AWS account, lo spazio dei nomi è accessibile da qualsiasi luogo Regione AWS in cui gli utenti utilizzano Amazon Quick.

3. Per identificare le autorizzazioni di asset e risorse di cui hanno bisogno i nuovi utenti del namespace, utilizza le operazioni dell'API Amazon Quick associate a ciascun tipo di risorsa (dashboard, set di dati e così via). Per ulteriori informazioni, consulta Operazioni QuickSight API per controllare gli asset nel riferimento Quick API.

   Ad esempio, supponiamo che ti stai concentrando sui pannelli di controllo. Puoi usarla ListDashboards per elencare tutte le dashboard IDs del tuo AWS account. Quindi, per determinare gli utenti o i gruppi che possono accedere a questi pannelli di controllo, puoi utilizzare DescribeDashboardPermissions sul set di risultati generato da ListDashboards. Se devi identificare versioni specifiche di un pannello di controllo, puoi utilizzare ListDashboardVersions. Puoi anche raccogliere informazioni sulla posizione dei dati utilizzati nel pannello di controllo con le operazioni API relative all'origine dati e al set di dati. Per ulteriori informazioni, consulta Operazioni QuickSight API per controllare le risorse di dati nel riferimento rapido alle API.

   Per ulteriori informazioni sul filtraggio dell'output di risposta dell'API, consulta la documentazione SDK per il linguaggio che stai utilizzando. Per informazioni relative a AWS Command Line Interface (AWS CLI), vedete Controllare l'output dei comandi dalla AWS CLI nella Guida per l'AWS Command Line Interface utente.

4. Per gli asset e le risorse Amazon Quick, copia le autorizzazioni di cui dispone l'utente del namespace di origine per ogni risorsa. Utilizza quindi, ad esempio, UpdateDashboardPermissions per applicare le stesse autorizzazioni all'utente dello spazio dei nomi di destinazione. Ogni tipo di risorsa dispone di un proprio set separato di operazioni API per il controllo delle autorizzazioni di cui dispongono gli utenti per utilizzarlo. Per ulteriori informazioni, consulta Operazioni QuickSight API per le autorizzazioni di asset e risorse nel riferimento Quick API.

5. Al termine dell'aggiunta di utenti e autorizzazioni, è buona norma concedere del tempo per i test di accettazione da parte degli utenti. In questo modo si garantisce che tutti utilizzino correttamente il nuovo spazio dei nomi. Garantisce inoltre che tutti gli asset e le risorse siano accessibili nel nuovo spazio dei nomi.

   Dopo esserti assicurato di non aver più bisogno dei nomi utente originali, puoi iniziare a rendere obsolete le loro autorizzazioni nello spazio dei nomi originale. Infine, una volta pronti gli utenti, potrai rimuovere il gruppo e i nomi utente non utilizzati nello spazio dei nomi di origine. Esegui questa operazione in tutte le aree Regione AWS in cui i tuoi utenti erano attivi in precedenza.