As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
| Aplica-se a: Enterprise Edition |
Na edição Enterprise do Amazon QuickSight, é possível restringir o acesso a um conjunto de dados ao configurar segurança por linha (RLS) nele. Você pode fazer isso antes ou depois de compartilhar o conjunto de dados. Quando você compartilha um conjunto de dados com RLS com proprietários de conjuntos de dados, eles ainda poderão visualizar todos os dados. No entanto, quando você o compartilha com leitores, eles poderão visualizar somente os dados restritos pelas regras do conjunto de dados de permissão. Ao adicionar segurança no nível da linha, você pode controlar ainda mais o acesso a eles.
nota
Ao aplicar conjuntos de dados do SPICE à segurança por linha, cada campo no conjunto de dados poderá conter, no máximo, 2.047 caracteres Unicode. Os campos que contêm mais do que essa cota são truncados durante a ingestão. Para saber mais sobre as cotas para dados do SPICE, consulte SPICE cotas para dados importados.
Para isso, crie uma consulta ou um arquivo que tenha uma coluna chamada UserName, GroupName ou ambos. Como alternativa, você pode criar uma consulta ou um arquivo que tenha uma coluna chamada UserARN, GroupARN ou ambas. Você pode pensar nisso como a adição de uma regra para esse usuário ou grupo. Em seguida, você pode adicionar uma coluna à consulta ou arquivo para cada campo ao qual deseja conceder ou restringir o acesso. Para cada nome de usuário ou grupo que você adiciona, os valores de cada campo também são adicionados. Use NULL (sem valor) para significar "todos os valores". Para visualizar exemplos de regras do conjunto de dados, consulte Como criar regras do conjunto de dados para a segurança por linha.
Para aplicar as regras do conjunto de dados, adicione-as como um conjunto de dados de permissões ao seu conjunto de dados. Lembre-se dos seguintes pontos:
-
O conjunto de dados de permissões não pode conter valores duplicados. As duplicações são ignoradas ao avaliar como aplicar as regras.
-
Cada usuário ou grupo especificado pode ver somente as linhas que correspondem aos valores dos campos nas regras do conjunto de dados.
-
Se você adicionar uma regra para um usuário ou para um grupo e deixar todas as outras colunas sem valor (NULO), você concederá a eles acesso a todos os dados.
-
Se você não adicionar uma regra para um usuário ou grupo, eles não poderão ver nenhum dado.
-
O conjunto completo de registros de regras que são aplicadas por usuário não deve exceder 999. Essa limitação se aplica ao número total de regras atribuídas diretamente a um nome do usuário, acrescida de quaisquer regras atribuídas ao usuário por meio de nomes de grupos.
-
Se um campo incluir uma vírgula (,), o Amazon QuickSight tratará cada palavra separada da outra por vírgulas como um valor individual no filtro. Por exemplo, em
('AWS', 'INC'),AWS,INCé considerado como duas strings:AWSeINC. Para filtrar comAWS,INC, coloque a string entre aspas duplas no conjunto de dados de permissões.Se o conjunto de dados restrito for um conjunto de dados do SPICE, o número de valores de filtragem aplicados por usuário não poderá exceder 192 mil para cada campo restrito. Isso se aplica ao número total de valores de filtragem atribuídos diretamente a um nome do usuário, acrescido de quaisquer valores de filtragem atribuídos ao usuário por meio de nomes de grupos.
Se o conjunto de dados restrito for um conjunto de dados de consulta direta, o número de valores de filtragem aplicados por usuário varia de acordo com as fontes de dados.
Exceder o limite do valor de filtragem pode causar falha na renderização do elemento visual. Recomendamos adicionar uma coluna adicional ao seu conjunto de dados restrito para dividir as linhas em grupos com base na coluna restrita original. Dessa forma, a lista de filtros pode ser reduzida.
O Amazon QuickSight trata espaços como valores literais. Se você tiver um espaço em um campo que está sendo restringido, a regra do conjunto de dados se aplicará a essas linhas. O Amazon QuickSight trata valores NULOS e espaços em branco (strings vazias “”) como “sem valor”. Um NULL é um valor de campo vazio.
Dependendo da fonte de dados da qual o seu conjunto de dados é proveniente, você pode configurar uma consulta direta para acessar uma tabela de permissões. Termos com espaços dentro deles não precisam ser delimitados com aspas. Se você usar uma consulta direta, poderá alterar facilmente a consulta na fonte de dados original.
Como alternativa, você pode fazer upload de regras do conjunto de dados usando um arquivo de texto ou uma planilha. Se você estiver usando um arquivo de valores separados por vírgulas (CSV), não inclua espaços na linha. Os termos que tiverem espaços dentro deles precisam ser delimitados entre aspas. Se você usar regras do conjunto de dados baseadas em arquivos, aplique quaisquer alterações ao substituir as regras existentes nas configurações de permissões do conjunto de dados.
Os conjuntos de dados restritos são marcados com a palavra RESTRITO na tela Conjuntos de dados.
Os conjuntos de dados secundários que são criados a partir de um conjunto de dados primário com regras de RLS ativas mantêm as mesmas regras de RLS que o conjunto de dados primário tem. Você pode adicionar mais regras de RLS ao conjunto de dados secundário, mas não é possível remover as regras de RLS que o conjunto de dados herda do conjunto de dados primário.
Os conjuntos de dados secundários que são criados a partir de um conjunto de dados primário com regras de RLS ativas só podem ser criados com a consulta direta. Os conjuntos de dados secundários que herdam as regras de RLS do conjunto de dados primário não são compatíveis com o SPICE.
A segurança por linha funciona somente para campos que contêm dados textuais (string, char, varchar e assim por diante). Ela não funciona atualmente para datas nem campos numéricos. A detecção de anomalias não é compatível com conjuntos de dados que usam segurança por linha (RLS).
Como criar regras do conjunto de dados para a segurança por linha
Use o procedimento apresentado a seguir para criar um arquivo de permissões ou uma consulta para usar como regras do conjunto de dados.
Criar arquivos de permissões ou consultas para usar como regras do conjunto de dados
-
Crie um arquivo ou uma consulta que contenha as regras (permissões) do conjunto de dados para a segurança por linha.
Não importa em que ordem os campos estão. No entanto, todos os campos fazem distinção entre maiúsculas e minúsculas. Certifique-se de que eles correspondam exatamente aos nomes e aos valores dos campos.
A estrutura deve ser semelhante a uma das seguintes. Certifique-se de ter, no mínimo, um campo que identifique usuários ou grupos. Você pode incluir os dois, mas apenas um é necessário, e apenas um é usado de cada vez. O campo usado para usuários ou grupos pode ter qualquer nome que você escolher.
nota
Se você estiver especificando grupos, use somente grupos do Amazon QuickSight ou grupos do Microsoft AD.
O exemplo a seguir mostra uma tabela com grupos.
GroupName Região Segment EMEA-Sales EMEA Enterprise, SMB, Startup US-Sales EUA Enterprise US-Sales EUA SMB, Startup US-Sales EUA Startup APAC-Sales APAC Enterprise, SMB Corporate-Reporting APAC-Sales APAC Enterprise, Startup O exemplo a seguir mostra uma tabela com nomes de usuários.
UserName Região Segment AlejandroRosalez EMEA Enterprise, SMB, Startup MarthaRivera EUA Enterprise NikhilJayashankar EUA SMB, Startup PauloSantos EUA Startup SaanviSarkar APAC Enterprise, SMB sales-tps@example.com ZhangWei APAC Enterprise, Startup O exemplo a seguir mostra uma tabela com nomes de recursos da Amazon (ARNs) para usuários e grupos.
UserARN GroupARN Região arn:aws:quicksight:us-east-1:123456789012:user/default/Bobarn:aws:quicksight:us-east-1:123456789012:group/default/group-1APAC arn:aws:quicksight:us-east-1:123456789012:user/default/Samarn:aws:quicksight:us-east-1:123456789012:group/default/group-2EUA Como alternativa, se você usar um arquivo .csv, a estrutura deverá ser semelhante a uma das apresentadas a seguir.
UserName,Region,Segment AlejandroRosalez,EMEA,"Enterprise,SMB,Startup" MarthaRivera,US,Enterprise NikhilJayashankars,US,SMB PauloSantos,US,Startup SaanviSarkar,APAC,"SMB,Startup" sales-tps@example.com,"","" ZhangWei,APAC-Sales,"Enterprise,Startup"GroupName,Region,Segment EMEA-Sales,EMEA,"Enterprise,SMB,Startup" US-Sales,US,Enterprise US-Sales,US,SMB US-Sales,US,Startup APAC-Sales,APAC,"SMB,Startup" Corporate-Reporting,"","" APAC-Sales,APAC,"Enterprise,Startup"UserARN,GroupARN,Region arn:aws:quicksight:us-east-1:123456789012:user/Bob,arn:aws:quicksight:us-east-1:123456789012:group/group-1,APAC arn:aws:quicksight:us-east-1:123456789012:user/Sam,arn:aws:quicksight:us-east-1:123456789012:group/group-2,USVeja a seguir um exemplo de SQL.
/* for users*/ select User as UserName, Region, Segment from tps-permissions; /* for groups*/ select Group as GroupName, Region, Segment from tps-permissions; -
Crie um conjunto de dados para as regras do conjunto de dados. Para que você possa encontrá-lo facilmente, forneça um nome significativo; por exemplo,
Permissions-Sales-Pipeline.
Como criar segurança por linha
Use o procedimento a seguir para aplicar a segurança por linha (RLS) ao usar um arquivo ou uma consulta como um conjunto de dados que contém as regras de permissões.
Aplicar segurança por linha ao usar um arquivo ou uma consulta
-
Confirme se você adicionou suas regras como um novo conjunto de dados. Se você as adicionou, mas não as visualiza na lista de conjuntos de dados, atualize a tela.
-
Na página Conjuntos de dados, escolha o conjunto de dados.
-
Na página de detalhes do conjunto de dados que é aberta, em Segurança por linha, escolha Configurar.
-
Na página Configurar segurança por linha que é aberta, escolha Regras baseadas em usuários.
-
Na lista de conjuntos de dados que aparece, escolha seu conjunto de dados de permissões.
Caso o seu conjunto de dados de permissões não seja exibido nesta tela, retorne aos seus conjuntos de dados e atualize a página.
-
Em Política de permissões, escolha Conceder acesso ao conjunto de dados. Cada conjunto de dados tem somente um conjunto de dados de permissões ativo. Se você tentar adicionar um segundo conjunto de dados de permissões, ele substituirá o existente.
Importante
Algumas restrições se aplicam a valores NULOS e de string vazia ao trabalhar com a segurança por linha:
-
Se o seu conjunto de dados tiver valores NULOS ou strings vazias (“”) nos campos restritos, essas linhas serão ignoradas quando as restrições forem aplicadas.
-
Dentro do conjunto de dados de permissões, os valores NULOS e as strings vazias são tratados de forma semelhante. Para obter mais informações, consulte a tabela a seguir.
-
Para evitar a exposição acidental de informações confidenciais, o Amazon QuickSight ignora regras de RLS vazias que concedem acesso a todos os usuários. Uma regra de RLS vazia ocorre quando todas as colunas de uma linha não têm valor. A RLS do QuickSight trata valores NULOS, strings vazias (“”) ou strings vazias separadas por vírgulas (por exemplo: “,,,”) como sem valor.
-
Após ignorar as regras vazias, outras regras de RLS não vazias ainda se aplicam.
-
Se um conjunto de dados de permissão tiver somente regras vazias e todas elas tiverem sido ignoradas, ninguém terá acesso a nenhum dado restrito por esse conjunto de dados de permissão.
-
Regras para UserName, GroupName, Region, Segment Acesso garantido AlejandroRosalez,EMEA-Sales,EMEA,"Enterprise,SMB,Startup" É possível ver todos os Enterprise, SMB e Startup do EMEA sales-tps@example.com,Corporate-Reporting,"","" É possível ver todas as linhas Não há entradas para o usuário ou grupo Não é possível ver nenhuma linha “”,“”,“”,“” Ignorado. Não visualiza nenhuma linha se todas as outras regras estiverem vazias. NULO,“”,“”,NULO Ignorado. Não visualiza nenhuma linha se todas as outras regras estiverem vazias. Qualquer pessoa com quem você compartilhou o painel poderá visualizar todos os dados contidos nele, a menos que o conjunto de dados seja restrito por regras do conjunto de dados.
-
-
Escolha Aplicar conjunto de dados para salvar as alterações. Em seguida, na página Deseja salvar as regras do conjunto de dados?, escolha Aplicar e ativar. As alterações nas permissões serão aplicadas imediatamente aos usuários existentes.
-
(Opcional) Para remover permissões, primeiro remova as regras do conjunto de dados do conjunto de dados.
Certifique-se de que as regras do conjunto de dados sejam removidas. Em seguida, escolha o conjunto de dados de permissões e selecione Remover conjunto de dados.
Para substituir as permissões, escolha um novo conjunto de dados de permissões e aplique-o. Você pode reutilizar o mesmo nome para o conjunto de dados. No entanto, certifique-se de aplicar as novas permissões na tela Permissões para ativá-las. As consultas SQL são atualizadas dinamicamente para que possam ser gerenciadas de forma externa ao Amazon QuickSight. Para consultas, as permissões são atualizadas quando o cache da consulta direta é atualizado automaticamente.
Se você excluir um conjunto de dados de permissões baseado em arquivos antes de removê-lo do conjunto de dados de destino, os usuários restritos não poderão acessar o conjunto de dados. Enquanto o conjunto de dados estiver nesse estado, ele permanecerá marcado como RESTRITO. No entanto, ao visualizar as Permissões para esse conjunto de dados, você perceberá que ele não tem regras do conjunto de dados selecionadas.
Para corrigir isso, especifique novas regras do conjunto de dados. Como criar um conjunto de dados com o mesmo nome não é suficiente para corrigir isso. Você deve escolher o novo conjunto de dados de permissões na tela Permissões. Essa restrição não se aplica a consultas SQL diretas.
