在 Amazon 中开启互联网协议 (IP) 和 VPC 终端节点限制 QuickSight - Amazon QuickSight
添加规则开启规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中开启互联网协议 (IP) 和 VPC 终端节点限制 QuickSight

您可以将对组织的 Amazon QuickSight 账户的访问权限限制为预定义的 IP 范围、VPC ID 和 VPC 终端节点 ID 列表。例如,您可以创建一个 IP 规则,允许用户仅通过与贵公司办公室或远程虚拟专用网络 (VPN) 关联的 IP 地址访问您的 Amazon QuickSight 账户。您还可以创建一个 VPC 终端节点规则,允许用户仅从用于的 VPC 访问您的 QuickSight 账户 AWS Direct Connect。

有关在中设置 VPC 终端节点的更多信息 QuickSight,请参阅 Amazon In QuickSight terface VPC 终端节点 (AWS PrivateLink),了解有关如何设置 VPC 终端节点的更多信息。

只有拥有 AWS Identity and Access Management (IAM) 证书且有权访问亚马逊 QuickSight 控制台页面的管理员才能访问 IP 和 VPC 终端节点限制表。

添加 IP 或 VPC 终端节点规则

在限制表中添加带有公有 IP 版本 4 地址的 CIDR 地址时,就会创建 IP 规则。向限制表中添加 VPC ID 或 VPC 终端节点 ID 时,即会创建 VPC 终端节点规则。您最多可以向限制表中添加 IP 或 VPC 终端节点规则。您只能从您的账户 AWS 区域 所在位置添加规则。开启限制后,IP 规则或 VPC 终端节点规则不允许的所有流量都将被阻止。

CIDR 地址由两部分组成:前缀和后缀。前缀是 CIDR 的网络地址,其写法与普通的 IP 地址类似。后缀表示地址中有多少位。完整的 CIDR 地址的示例是10.24.34.0/23

IP 和 VPC 终端节点规则仅适用于 Amazon QuickSight 网络、嵌入式和移动访问,不限制对公共 API 的访问。您的用户仍然可以从受限的 IP 范围调用所有 API 操作。有关限制从特定 IP 地址调用公共 API 的信息,请参阅 IAM 用户指南中的AWS: AWS 根据源 IP 拒绝访问

在保存任何规则更改或开启其他规则之前,请确保您的规则包含您的 IP 地址或 VPC 终端节点 ID。如果没有包含允许您的流量的规则,则无法保存更改。

添加、更改或删除规则时,表格顶部会出现一个黄色方框。此框用于跟踪未保存的更改。

要对 IP 和 VPC 终端节点限制表应用更改,请在框中选择保存更改。在保存之前,这些更改不会应用于规则表。选择保存更改后,更改最多可能需要 10 分钟才能生效。

添加 IP 或 VPC 终端节点规则

  1. 在 Amazon QuickSight 起始页上,选择 “管理” QuickSight,然后选择 “安全和权限”。

  2. 选择 IP 和 VPC 终端节点限制

  3. 执行以下操作之一。

    1. 对于 IP 限制,请输入定义要为其创建规则的 IP 范围的 CIDR 地址。

    2. 对于 VPC 终端节点限制,请输入要为其创建规则的终端节点的 VPC ID 或 VPC 终端节点 ID。

  4. (可选)对于描述,输入规则的描述。这样做可以帮助您区分规则。

  5. 选择添加

  6. 在出现的框中选择保存更改,以应用规则。

规则可能需要长达 10 分钟时间才能完全实现。

更新现有 IP 或 VPC 终端节点规则

  1. 在 Amazon QuickSight 起始页上,选择 “管理” QuickSight,然后选择 “安全和权限”。

  2. 选择 IP 和 VPC 终端节点限制

  3. 选择您要更改的规则右侧的编辑图标。

  4. 进行更改,然后选择更新

  5. 在出现的框中选择 “保存更改” 以更新规则。

更新后的规则可能需要长达 10 分钟时间才能完全实现。

删除 IP 规则

  1. 在 Amazon QuickSight 起始页上,选择 “管理” QuickSight,然后选择 “安全和权限”。

  2. 选择 IP 和 VPC 终端节点限制

  3. 进行更改,然后选择更新。此时会出现一条带有划线且标记为删除的规则。

  4. 在出现的框中选择 “保存更改” 以删除规则。

删除更新的规则最多可能需要 10 分钟。

开启您的 IP 和 VPC 终端节点规则

您可以使用 IP 和 VPC 限制页面顶部的规则选项开启或关闭账户的 IP 和 VPC 终端节点限制。开启规则后,来自不在限制列表中的来源的用户将无法访问Amazon QuickSight 移动版、嵌入式页面和网站页面。IP 和 VPC 终端节点规则是全球性的,适用于所有人 AWS 区域。

如果您启用限制时,用户从不在规则列表中的来源访问亚马逊 QuickSight 账户,则他们将无法访问该账户。

账户持有人可以使用对更改 IP 和 VPC 终端节点限制表的用户进行审计 AWS CloudTrail。有关更多信息,请参阅 AWS CloudTrail 《用户指南》