透過隔離命名空間支援多租戶

Amazon QuickSight 企業版通過命名空間支持多租戶。 QuickSight命名空間是可用來組織用戶端、子公司、小組等的邏輯容器。命名空間可以協助您實現以下目標：

• 您可以允許 QuickSight 訂閱的使用者探索共用內容並與其他使用者共用。同時確保一個命名空間中的使用者無法查看另一個命名空間中的使用者，或進行互動。

• 您可以安全地隔離資料並支援不同的工作負載，而無需新增其他 AWS 帳戶。對數據的訪問仍然受到 AWS 安全功能的嚴格控制。只有當使用者擁有正確的資源許可時，使用者才能查看資產 (例如資料和儀表板)。此外，可以防止擁有許可的使用者不小心向其命名空間之外的人員公開內容。如需詳細資訊，請參閱 AWS Amazon 的安全性 QuickSight。

• 透過按命名空間整理的報告監控資料串流和用量。按命名空間對資料和報告進行分類，有助於簡化成本和安全分析。

• 將使用者註冊到命名空間後，便不會產生額外的管理複雜性或開銷。

• 命名空間被設計為跨越 AWS 區域，所以即使一個人登錄到不同的，使用遏制也不會改變。 AWS 區域

命名空間目前有以下限制：

• 自訂命名空間 (非預設命名空間) 僅可供 IAM 聯合單一登入使用者存取。

• 如需支援以下功能，請使用預設命名空間而不是自訂命名空間：

  • 將您的 QuickSight 帳戶與 IAM 身分中心整合。如需將 QuickSight 帳戶與 IAM 身分中心整合的詳細資訊，請參閱使用IAM身分中心配置您的 Amazon QuickSight 帳戶。

  • 以密碼為基礎的登入。

  • 以憑證為基礎的 Active Directory 登入。

• 您無法將使用者直接從一個命名空間轉移到另一個命名空間。您可以選擇以程式設計方式完成這一工作的部分或全部。如需詳細資訊，請參閱 Amazon QuickSight API 參考資料。在每個 API 操作的頁面底部，都有一個指向其他語言 SDK 中相同操作的連結清單。若要查看可用的 SDK，請參閱AWS 入門資源中心中的 SDK 和工具組。

如果您沒有現有 AWS 帳戶 或需要註冊，請閱讀以下準則 QuickSight，然後按照中的適用說明進行操作註冊 Amazon QuickSight 訂閱：

• 註冊企業版。

• 當詢問您要使用何種方法連線時，請選擇角色式的聯合身分 (IAM)。目前，命名空間僅支援使用具有 Web 身分聯盟的 AWS Identity and Access Management (IAM) 角色的客戶。如需詳細資訊，請參閱針對第三方身分提供者建立角色 (聯合身分)

• 完成註冊程序。

• 使用 QuickSight CreateNamespaceAPI 作業建立一或多個命名空間。

• 若要開始新增使用者，請先按照 使用和設定 IdP 聯IAM盟 QuickSight 中的說明進行操作。然後使用 RegisterUserAPI 作業將使用者新增至適當的命名空間。

如果您註冊的是標準版，您可以輕鬆地將訂閱升級到企業版。執行升級的人員必須是具有管理員權限的 QuickSight 使用者。如需詳細資訊，請參閱 將您的 Amazon QuickSight 訂閱從標準版升級到企業版。

如果您擁有已經使用了一段時間的企業版訂閱，也可以將使用者遷移到命名空間。當您註冊 QuickSight 並新增使用者時，所有使用者都位於預設命名空間中。所有使用者都可以直接相互互動以及共用資料和儀表板。為了將使用者彼此隔離，您可以建立一個或多個額外命名空間。

重要

QuickSight 資產和資源 (包括資料集、資料來源、儀表板、分析等) 存在於任何命名空間之外。只有擁有授與資源權限的使用者才能看到這些資源。

若要實作命名空間，請使用下列 QuickSight API 作業：

• CreateNamespace

• DescribeNamespace

• ListNamespaces

• DeleteNamespace

下列區域不支援命名空間：

• af-south-1非洲 (開普敦)

• ap-southeast-3亞太區域 (雅加達)

• eu-south-1歐洲 (米蘭)

• eu-central-2歐洲 (蘇黎世)

注意

如果您需要安裝 AWS CLI，請參閱《AWS Command Line Interface 使用者指南》中的〈安裝 AWS CLI 版本 2〉。

若要將使用者新增至命名空間，請使用 RegisterUserAPI 作業。每個命名空間都有一組完全獨立的使用者。使用者 ARN 包含命名空間限定詞以示區別，如以下範例所示：

• QuickSight 認為這兩個實體是不同的人：

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

• QuickSight 將這兩個實體視為同一個人：

  • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

  • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

使用時 RegisterUser，您可以為每個使用者選取存取層級。將某人的使用者名稱指派給其中一個安全群組後，他們對主控台和 API 的存取將受到限制。使用者 QuickSight 可以擁有單一存取層級，如下所示：

• 讀者存取權限，適用於儀表板的唯讀訂閱用戶

• 作者存取權限，適用於分析師和儀表板設計人員

• 管理員存取, 針對管理 QuickSight 員

將一個命名空間中的現有使用者遷移到另一個命名空間

1. 使用使用 QuickSight 者和群組 API 作業，識別您要轉移至不同命名空間的使用者。如需詳細資訊，請參閱 Amazon API 參考資料中用於控制存取權的 QuickSight API 操作。

2. 使用 RegisterUserAPI 作業在新的命名空間中建立使用者。命名空間內的使用者名稱是唯一的。

   如果命名空間使用者開始在新的 QuickSight 主控台或 API 中使用 AWS 區域，該使用者仍會受到您新增他們的命名空間的限制。每個命名空間代表身分供應商的一個使用者目錄。因此，它起源於設置的主 AWS 區域 要 QuickSight 位置。但是，由於使用者目錄是在您的 AWS 帳戶中全域傳播的，因此您可以從使用者正在使用 QuickSight的任何 AWS 區域 位置存取命名空間。

3. 若要識別新命名空間使用者所需的資產和資源權限，請使用與每種資產類型 (儀表板、資料集等) 相關聯的 QuickSight API 作業。如需詳細資訊，請參閱 Amazon QuickSight API 參考資料中的用於控制資產的 QuickSight API 操作。

   例如，假設您關注的是儀表板。您可以使ListDashboards用列出 AWS 帳戶中的所有儀表板 ID。然後，要決定哪些使用者或群組可以存取這些儀表板，您可以對 ListDashboards 產生的結果集使用 DescribeDashboardPermissions。如果您需要識別儀表板的特定版本，則可以使用 ListDashboardVersions 來實現。您還可以透過資料來源和資料集 API 操作，收集有關儀表板中使用之資料的位置資訊。如需詳細資訊，請參閱 Amazon QuickSight API 參考資料中用於控制資料資源的 QuickSight API 操作。

   如需篩選 API 回應輸出的詳細資訊，請參閱您所使用語言的 SDK 文件。如需有關 AWS Command Line Interface (AWS CLI) 的資訊，請參閱《AWS Command Line Interface 使用指南》中的〈控制 AWS CLI 的指令輸出〉。

4. 對於資 QuickSight 產和資源，請複製來源命名空間使用者對每個資產擁有的權限。然後可以使用 UpdateDashboardPermissions 等將相同的許可套用至目標命名空間使用者。每種資產類型都有自己獨立的一組 API 操作，用於控制使用者的使用許可。如需詳細資訊，請參閱 Amazon QuickSight API 參考資料中的資產和資源許可的 QuickSight API 操作。

5. 新增完使用者和許可後，最好留一些時間進行使用者接受度測試。這樣做可以確保每個人都能順利使用新的命名空間，並確保透過新命名空間可以存取所有資產和資源。

   在確定不再需要原始使用者名稱後，您可以開始棄用他們在原始命名空間中的許可。最後，當使用者準備好時，您可以移除來源命名空間中未使用的群組和使用者名稱。在使用者之前 AWS 區域 處於活動狀態的每個位置執行此操作。