Ein großes Business Intelligence (BI)-Projekt mit vielen Benutzern und Teams und sensiblen Informationen erfordert eine vielschichtige Sicherheitsarchitektur. Eine solche Architektur sollte BI-Administratoren und -Architekten die Möglichkeit geben, die Menge der für Benutzer zugänglichen Informationen zu minimieren. Für eine einfach zu verwaltende Lösung Amazon QuickSight Benutzer- und Asset-Zugriffsberechtigungen können Sie verwenden AWS-Befehlszeilenschnittstelle (AWS CLI) oder AWS-Managementkonsole um die QuickSight-Benutzerrolle und den Dashboard-Zugriff manuell zu bearbeiten. In bestimmten Fällen kann ein Unternehmen jedoch leicht Hunderte oder Tausende von Benutzern und Gruppen haben, und diese Zugriffsverwaltungsmethoden sind nicht effizient. Wir haben eine große Anzahl von Anfragen erhalten, einen fortschrittlichen programmierbaren Ansatz für die Bereitstellung und Verwaltung einer zentralisierten QuickSight-Sicherheitsarchitektur bereitzustellen.
Dieser Beitrag beschreibt die Best Practices für die granulare Zugriffskontrolle mit QuickSight-Authentifizierung und -Autorisierung und bietet eine zentralisierte Cloud-Anwendung mit einer AWS Cloud-Entwicklungskit (AWS CDK)-Stack zum Herunterladen. Einer der Vorteile unserer Lösung besteht darin, dass Unternehmen das Sicherheitsframework bereitstellen können, um die Zugriffskontrolle ihrer BI zu verwalten, ohne AWS zu verlassen.
Alle Konfigurationen werden im gespeichert AWS Systems Manager-Parameterspeicher. Parameter Store bietet sicheren, hierarchischen Speicher für die Verwaltung von Konfigurationsdaten und Geheimnissen. Sie können Daten wie Benutzernamen, Benutzerberechtigungen, Passwörter und Datenbankzeichenfolgen als Parameterwerte speichern. Sie können darauf verweisen AWS-Systemmanager Parameter in Ihren Skripts und Konfigurations- und Automatisierungsworkflows mithilfe des eindeutigen Namens, den Sie beim Erstellen des Parameters angegeben haben.
Die AWS CDK-Anwendungsvorlage passt in die Infrastruktur für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) und gewährt oder widerruft alle Authentifizierungen und Autorisierungen basierend auf einer definierten, von AWS vorgeschriebenen Richtlinie. Dadurch werden mögliche menschliche Fehler von BI-Entwicklern oder -Administratoren vermieden. BI-Entwickler können Konfigurationsparameter bearbeiten, um neue Dashboards für Endbenutzer freizugeben. Gleichzeitig können BI-Administratoren einen weiteren Parametersatz bearbeiten, um Benutzer oder Gruppen zu verwalten. Dieses AWS CDK CI/CD-Design schließt die Lücken zwischen Entwicklungs- und Betriebsaktivitäten, indem es die Automatisierung beim Erstellen und Bereitstellen von BI-Anwendungen erzwingt.
Sicherheitsanforderungen
Beim Design von BI-Anwendungen für Unternehmen ist die Mehrmandantenfähigkeit ein häufiger Anwendungsfall, der mehrere Benutzergruppen mit einer Infrastruktur bedient. Mandanten können entweder verschiedene Kunden eines unabhängigen Softwareanbieters (ISV) oder verschiedene Abteilungen eines Unternehmens sein. In einem mandantenfähigen Design teilt jeder Mandant die Dashboards, Analysen und andere QuickSight-Assets. Jeder Benutzer, der alle anderen Benutzer desselben Mandanten sehen kann (z. B. beim Teilen von Inhalten), bleibt für andere Mandanten unsichtbar. Innerhalb jedes Mandanten muss das BI-Administratorteam verschiedene Benutzergruppen erstellen, um die Datenautorisierung zu steuern, einschließlich Asset-Zugriffsberechtigungen und Datenzugriff auf granularer Ebene.
Lassen Sie uns einige Anwendungsfälle von Asset-Zugriffsberechtigungen im Detail besprechen. In einer BI-Anwendung werden verschiedene Assets normalerweise nach Geschäftsdomänen (z. B. einem operativen Dashboard oder einem Executive Summary-Dashboard) und der Datenklassifizierung (kritisch, streng vertraulich, nur intern und öffentlich) kategorisiert. Beispielsweise können Sie über zwei Dashboards zur Analyse von Verkaufsergebnisdaten verfügen. Das Erscheinungsbild beider Dashboards ist ähnlich, die Sicherheitsklassifizierung der Daten ist jedoch unterschiedlich. Ein Dashboard mit dem Namen „Sales Critical Dashboard“ enthält wichtige Spalten und Zeilen mit Daten. Das andere Dashboard mit dem Namen Sales Highly-Confidential Dashboard enthält streng vertrauliche Datenspalten und -zeilen. Einige Benutzer erhalten die Berechtigung, beide Dashboards anzuzeigen, andere verfügen über eine Berechtigung mit niedrigerer Sicherheitsstufe und können nur auf das Dashboard „Verkäufe – streng vertraulich“ zugreifen.
Im folgenden Anwendungsfall gehen wir den Datenzugriff auf granularer Ebene wie folgt an:
- Zugriff auf Zeilenebene (RLS) – Für die Benutzer, die auf das Sales Critical Dashboard zugreifen können, können einige von ihnen nur US-Daten anzeigen. Einige globale Benutzer können jedoch die Daten aller Länder anzeigen, einschließlich der USA und des Vereinigten Königreichs.
- Zugriff auf Spaltenebene (CLS) – Einige Benutzer können nur Datenspalten mit nicht personenbezogenen Daten (PII) eines Datensatzes anzeigen, während das HR-Team alle Spalten desselben Datensatzes anzeigen kann.
Große Projekte können mehrere Mandanten, Hunderte von Gruppen und Tausende von Benutzern in einem QuickSight-Konto haben. Das Datenleiterteam möchte ein Protokoll für die Benutzererstellung und -authentifizierung bereitstellen, um die Wartungskosten und das Sicherheitsrisiko zu reduzieren. Die in diesem Beitrag beschriebene Architektur und der Workflow helfen dem Datenverantwortlichen, dieses Ziel zu erreichen.
Um menschliche Fehler im täglichen Betrieb zu vermeiden, möchten wir außerdem, dass diese Sicherheitsberechtigungen automatisch erteilt und widerrufen werden und in die CI/CD-Infrastruktur passen. Die Details werden später in diesem Beitrag erläutert.
Architektur Überblick
Das folgende Diagramm zeigt die QuickSight-Kontoarchitektur dieser Lösung.
- Autoren erstellen Dashboards und aktualisieren den AWS Systems Manager Parameter Store, um Dashboards für verschiedene Gruppen freizugeben
- Administratoren genehmigen die Anfragen von Autoren
- Administratoren aktualisieren die Benutzerverwaltung (Rollen, Namespace) durch Bearbeiten des AWS Systems ManagerParameter Store
- DevOps stellt die Updates mit AWS CDK bereit
*Gruppen: Objektzugriffsberechtigungsgruppen steuern den Eigentümer/Betrachter der Objekte. Datensegmentgruppen in Kombination mit RLS/CLS steuern den Datenzugriff.
*Datensätze: Enthält alle Daten, eingeschränkt durch Sicherheit auf Zeilenebene (RLS) und Sicherheit auf Spaltenebene (CLS).
Das folgende Diagramm veranschaulicht den Authentifizierungsworkflow der Architektur:
*Erstmalige Anmeldung bei QuickSight: Wenn der QuickSight-Benutzer vor der ersten Anmeldung nicht registriert ist, wird ein Leser erstellt und dieser Leser kann nur das Landingpage-Dashboard anzeigen, das für alle Benutzer dieses Kontos freigegeben ist. Die Zielseite stellt die Berichtsliste bereit, die dieser Benutzer anzeigen kann.
Das folgende Diagramm veranschaulicht den Autorisierungsworkflow der Architektur.
Details zum Autorisierungsdiagramm:
- Benutzerinformationen (Abteilung, Team, geografischer Standort) werden in Amazon Redshift, Amazon Athena oder einer anderen Datenbank gespeichert. In Kombination mit der Gruppen-Benutzer-Zuordnung werden RLS-Datenbanken für den Kontrolldatenzugriff erstellt.
- Stündliche Berechtigungszuweisung:
- Gemäß der Zuordnung von Gruppen-Mitarbeiternamen (Benutzer) (membership.csv) und Gruppen-Rollen-Zuordnung (/qs/console/roles) erstellt eine AWS Lambda-Funktion Gruppen, registriert, Benutzer, weist Gruppenmitglieder zu, entfernt Gruppenmitgliedschaften und befördert Leser zum Autor oder Administrator und löscht Benutzer, wenn sie vom Autor oder Administrator zum Leser herabgestuft werden.
- Gemäß der Gruppen-Dashboard-Zuordnung in /qs/config/access aktualisiert eine AWS Lambda-Funktion Dashboard-Berechtigungen für QuickSight-Gruppen.
- Gemäß der Gruppen-Namespace-Zuordnung in der Datei „membership.csv“ erstellt eine AWS Lambda-Funktion QuickSight-Gruppen im angegebenen Namespace.
- Beispielparameter für Objektzugriffsberechtigungen und Datensegmente:
- Beispielparameter der QuickSight-Benutzerrolle:
- Beispieldaten von member.csv:
In dieser Lösung werden benutzerdefinierte Namespaces bereitgestellt, um die Mandantenfähigkeit zu unterstützen. Der default
Namespace ist für alle internen Benutzer eines Unternehmens (wir nennen ihn OkTank). OkTank erstellt das 3rd-Party
Namensraum für externe Benutzer. Wenn wir mehr Mandanten unterstützen müssen, können wir mehr benutzerdefinierte Namespaces erstellen. Standardmäßig sind wir auf 100 Namespaces pro AWS-Konto beschränkt. Um dieses Limit zu erhöhen, wenden Sie sich an das QuickSight-Produktteam. Weitere Informationen zur Mandantenfähigkeit finden Sie unter Integrieren Sie mandantenfähige Analysen in Anwendungen mit Amazon QuickSight.
In jedem Namespace erstellen wir verschiedene Arten von Gruppen. Zum Beispiel in der default
Namensraum, wir erstellen den BI-Admin
und BI-Developer
Gruppen für die admin
und author
Benutzer. Zum reader
setzen wir zwei Arten von QuickSight-Gruppen ein, um Asset-Zugriffsberechtigungen und Datenzugriff zu steuern: Objektzugriffsberechtigungsgruppen und Datensegmentgruppen.
Die folgende Tabelle fasst zusammen, wie die Objektzugriffsberechtigungsgruppen die Berechtigungen steuern.
Gruppenname | Namespace | Genehmigung | Notizen |
critical |
Standard | Sehen Sie sich beide Dashboards an (mit kritischen Daten und streng vertraulichen Daten). | |
highlyconfidential |
Standard | Sehen Sie sich nur das Dashboard „Verkäufe streng vertraulich“ an | |
BI-Admin |
Standard | Kontoverwaltung und Bearbeitung aller Assets | Benutzer in der BI-Admin Gruppe werden die zugewiesen Admin QuickSight-Benutzerrolle. |
BI-Developer |
Standard | Bearbeiten Sie alle Assets | Benutzer in der BI-Developer Der Gruppe wird die QuickSight-Benutzerrolle „Autor“ zugewiesen. |
Power-reader |
Standard | Sehen Sie sich alle Assets an und erstellen Sie Ad-hoc-Analysen, um Self-Service-Analyseberichte auszuführen |
Benutzer in der Diese Gruppe kann ihre Ad-hoc-Berichte jedoch nicht speichern oder teilen. |
3rd-party |
Nicht standardmäßige Namespaces (3rd-party Namensraum, zum Beispiel) |
Kann nur mit Lesern geteilt werden (3rd-party-reader (z. B. Gruppe) im selben Namensraum |
In nicht standardmäßigen Namespaces können wir auch andere Objektzugriffsberechtigungsgruppen erstellen, die der kritischen Gruppe im Standard-Namespace ähneln. |
Weitere Informationen zu QuickSight-Gruppen, Benutzern und Benutzerrollen finden Sie unter Verwalten des Benutzerzugriffs in Amazon QuickSight, Bereitstellen von Benutzern für Amazon QuickSight und Verwenden von Verwaltungs-Dashboards für eine zentrale Ansicht von Amazon QuickSight-Objekten.
Die zweite Art von Gruppen (Datensegmentgruppen), kombiniert mit Sicherheit auf Zeilenebene Datensätze und Sicherheit auf Spaltenebene, steuern Sie den Datenzugriff wie in der folgenden Tabelle beschrieben.
Gruppenname | Namespace | Genehmigung | Geltungsbereich |
USA |
Standard | Sehen Sie sich auf jedem Dashboard nur US-Daten an | Zeilenebene |
GBR |
Standard | Sehen Sie sich auf jedem Dashboard nur Daten aus dem Vereinigten Königreich an | Zeilenebene |
All countries |
Standard | Sehen Sie sich Daten aller Länder auf jedem Dashboard an | Zeilenebene |
non-PII |
Standard | Sozialversicherungsnummern, Jahreseinkommen und alle anderen Spalten mit PII-Daten können nicht angezeigt werden | Spaltenebene |
PII |
Standard | Kann alle Spalten einschließlich PII-Daten anzeigen | Spaltenebene |
Wir können ähnliche Gruppen in nicht standardmäßigen Namespaces einrichten.
Diese verschiedenen Gruppen können sich überschneiden. Zum Beispiel, wenn ein Benutzer zu den Gruppen gehört USA
, Critical
und PII
können sie US-Daten in beiden Dashboards mit allen Spalten anzeigen. Das folgende Venn-Diagramm veranschaulicht die Beziehungen zwischen diesen Gruppen.
Zusammenfassend können wir eine vielschichtige Sicherheitsarchitektur definieren, indem wir QuickSight-Funktionen kombinieren, einschließlich Namespace, Gruppe, Benutzer, RLS und CLS. Alle zugehörigen Konfigurationen werden im Parameter Store gespeichert. Die QuickSight-Benutzerliste und die Gruppen-Benutzer-Zuordnungsinformationen befinden sich in einem Amazon Simple Storage-Service (Amazon S3) Bucket als CSV-Datei (benannt membership.csv
). Diese CSV-Datei könnte Ausgabeergebnisse von LDAP-Abfragen sein. Mehrere AWS Lambda Funktionen sind so geplant, dass sie stündlich ausgeführt werden (Sie können diese Funktionen auch bei Bedarf aufrufen, z. B. täglich, wöchentlich oder in einer beliebigen Zeitgranularität, die Ihren Anforderungen entspricht), um die Parameter und die Parameter zu lesen membership.csv
. Entsprechend der definierten Konfiguration erstellen, aktualisieren oder löschen die Lambda-Funktionen Gruppen, Benutzer und Asset-Zugriffsberechtigungen.
Wenn die erforderlichen Sicherheitskonfigurationen abgeschlossen sind, ruft eine Lambda-Funktion die QuickSight-APIs auf, um die aktualisierten Informationen abzurufen und die Ergebnisse in einem S3-Bucket als CSV-Dateien aufzuzeichnen. Das BI-Administratorteam kann mit diesen Dateien Datensätze erstellen und die Ergebnisse mit Dashboards visualisieren. Weitere Informationen finden Sie unter Verwenden von Verwaltungs-Dashboards für eine zentrale Ansicht von Amazon QuickSight-Objekten und Erstellen einer Verwaltungskonsole in Amazon QuickSight zur Analyse von Nutzungsmetriken.
Darüber hinaus werden die Fehler von Lambda-Funktionen und die Benutzerlöschereignisse in diesem S3-Bucket gespeichert, damit das Admin-Team sie überprüfen kann.
Automation
Das folgende Diagramm veranschaulicht den gesamten Arbeitsablauf der Lambda-Funktionen.
Wir verwenden eine programmierbare Methode, um die Gruppen und Benutzer automatisch zu erstellen und zu konfigurieren. Für jede Ad-hoc-Benutzerregistrierungsanfrage (z. B. wenn der Benutzer nicht registriert ist). membership.csv
Aufgrund der Latenz kann der Benutzer jedoch davon ausgehen, dass er authentifiziert werden kann AWS Identity and Access Management and (IAM) Rolle quicksight-fed-user
zur Selbstversorgung als QuickSight-Leser. Dieser selbst bereitgestellte Reader kann nur ein Landingpage-Dashboard anzeigen, das die Liste der Dashboards und entsprechenden Gruppen bereitstellt. Gemäß der Dashboard-Gruppen-Zuordnung kann dieser neue Leser die Mitgliedschaft in einer bestimmten Gruppe beantragen, um auf die Dashboards zuzugreifen. Wenn der Gruppeneigentümer den Antrag genehmigt, fügen die stündlichen Lambda-Funktionen den neuen Benutzer bei ihrer nächsten Ausführung der Gruppe hinzu.
Die CI/CD-Pipeline beginnt mit AWS CDK. Der BI-Administrator und Autor kann die Systems Manager-Parameter aktualisieren, um neue Dashboards oder andere QuickSight-Assets im AWS CDK-Stack freizugeben granular_access_stack.py
. Der BI-Administrator kann die Systems Manager-Parameter im selben Stapel aktualisieren, um Namespaces, Gruppen oder Benutzer zu erstellen, zu aktualisieren oder zu löschen. Anschließend kann das DevOps-Team den aktualisierten AWS CDK-Stack bereitstellen, um diese Änderungen auf die Systems Manager-Parameter oder andere AWS-Ressourcen anzuwenden. Die Lambda-Funktionen werden stündlich ausgelöst, um APIs aufzurufen, um Änderungen auf das zugehörige QuickSight-Konto anzuwenden.
Skalieren
Die Lambda-Funktionen sind durch die maximale Laufzeit von 15 Minuten eingeschränkt. Um diese Einschränkung zu überwinden, können wir die Lambda-Funktionen in konvertieren AWS-Kleber Python-Shell-Skripte mit den folgenden allgemeinen Schritten:
- Herunterladen Boto3 Raddateien von pypi.org.
- Laden Sie die Raddatei in einen S3-Bucket hoch.
- Laden Sie die Lambda-Funktionen und führen Sie sie zu einem Python-Skript zusammen und erstellen Sie ein AWS Glue Python-Shell-Skript.
- Fügen Sie den S3-Pfad der Boto3-Raddatei zum Python-Bibliothekspfad hinzu. Wenn Sie mehrere Dateien hinzufügen möchten, trennen Sie diese durch ein Komma.
- Planen Sie die tägliche Ausführung dieses AWS Glue-Jobs.
Für weitere Informationen, siehe Programmieren Sie AWS Glue ETL-Skripte in Python und Verwenden von Python-Bibliotheken mit AWS Glue.
Voraussetzungen:
Um diese Lösung implementieren zu können, müssen Sie die folgenden Voraussetzungen erfüllen:
- Ein QuickSight Enterprise-Konto
- Grundkenntnisse in Python
- Grundkenntnisse in SQL
- Grundkenntnisse in BI
Erstellen Sie die Ressourcen
Erstellen Sie Ihre Ressourcen, indem Sie den AWS CDK-Stack von herunterladen GitHub Repo.
Im granular_access
Ordner, führen Sie den Befehl aus cdk deploy granular-access
um die Ressourcen einzusetzen. Weitere Informationen finden Sie unter AWS CDK-Einführungsworkshop: Python-Workshop.
Stellen Sie die Lösung bereit
Wenn Sie den AWS CDK-Stack bereitstellen, werden fünf Lambda-Funktionen erstellt, wie im folgenden Screenshot gezeigt.
Der Stack erstellt außerdem zusätzliche unterstützende Ressourcen in Ihrem Konto.
Das granular_user_governance
Die Funktion wird durch die ausgelöst Amazon CloudWatch Ereignisregel qs-gc-everyhour
. Die Informationen von Gruppen und Benutzern werden in der Datei definiert membership.csv
. Der S3-Bucket-Name wird im Parameterspeicher gespeichert /qs/config/groups
. Das folgende Diagramm zeigt das Flussdiagramm dieser Funktion.
- Legen Sie das Ziel fest
granular_user_governance
zu einer anderen Lambda-Funktion,downgrade_user
, mitsource=Asynchronous invocation
undcondition=On Success
.
Das folgende Diagramm ist ein Flussdiagramm dieser Funktion.
Um zu verhindern, dass der kritische Zugriff auf QuickSight-Assets, die vom Administrator oder Autor verwaltet werden, unterbrochen wird, stufen wir einen Administrator oder Autor herab, indem wir den Administrator- oder Autorenbenutzer löschen und mit der Lambda-Funktion einen neuen Leserbenutzer erstellen downgrade_user
dem „Vermischten Geschmack“. Seine granular_user_governance
Die Funktion verwaltet die Herabstufung von „Administrator“ auf „Autor“ oder die Aktualisierung von „Autor“ auf „Administrator“.
- Legen Sie das Ziel fest
downgrade_user
zur Lambda-Funktiongranular_access_assets_govenance
mitsource=Asynchronous invocation
undcondition=On Success
.
Das folgende Diagramm zeigt ein Flussdiagramm dieser Funktion.
- Legen Sie das Ziel fest
downgrade_user
zur Lambda-Funktioncheck_team_members
mitsource=Asynchronous invocation
undcondition=On Failure
.
Das check_team_members
Die Funktion ruft einfach QuickSight-APIs auf, um die Informationen zu Namespaces, Gruppen, Benutzern und Assets abzurufen, und speichert die Ergebnisse im S3-Bucket. Die S3-Taste ist monitoring/quicksight/group_membership/group_membership.csv
und monitoring/quicksight/object_access/object_access.csv
.
Neben den beiden Ausgabedateien des vorherigen Schritts werden auch die Fehlerprotokolle und Benutzerlöschprotokolle (Protokolle von downgrade_user
) werden ebenfalls im gespeichert monitoring/quicksight
-Ordner.
- Legen Sie das Ziel fest
granular_access_assets_govenance
zur Lambda-Funktioncheck_team_members
mitsource=Asynchronous invocation
undcondition=On Success
orcondition=On Failure
.
Erstellen Sie Sicherheitsdatensätze auf Zeilenebene
Als letzten Schritt erstellen wir RLS-Datensätze. Dadurch können Sie die Dashboard-Datensätze basierend auf den Benutzern ändern, die die Dashboards anzeigen.
QuickSight unterstützt RLS durch die Anwendung eines vom System verwalteten Datensatzes, der Datensätze aus dem Dashboard-Datensatz auswählt. Der Mechanismus ermöglicht es dem Administrator, einen Filterdatensatz (den RLS-Datensatz) bereitzustellen username
or groupname
Spalten, die automatisch nach dem angemeldeten Benutzer gefiltert werden. Zum Beispiel ein Benutzer mit dem Namen YingWang
gehört zur QuickSight-Gruppe BI
, also alle Zeilen des RLS-Datensatzes, die dem Benutzernamen entsprechen YingWang
oder Gruppenname BI
werden gefiltert. Die Zeilen, die nach der Anwendung der Benutzernamen- und Gruppennamenfilter im RLS verbleiben, werden dann verwendet, um die Dashboard-Datensätze weiter zu filtern, indem Spalten mit denselben Namen abgeglichen werden. Weitere Informationen zur Sicherheit auf Zeilenebene finden Sie unter Verwenden von Row-Level Security (RLS) zum Einschränken des Zugriffs auf einen Datensatz.
In dieser Lösung exportieren wir die Beispielbenutzerinformationen in die Datei membership.csv
, das in einem S3-Bucket gespeichert ist. In dieser Datei stellen wir einige Beispielgruppen für die RLS-Datensatzdefinition bereit. Diese Gruppen sind die Datensegmentgruppen, wie im Gesamtarchitekturentwurf beschrieben. Der folgende Screenshot zeigt einige der Gruppen und die Benutzer in diesen Gruppen.
Das granular_user_governance
Die Funktion erstellt diese Gruppen und fügt die zugehörigen Benutzer als Mitglieder dieser Gruppen hinzu.
Wie erstellen wir den RLS-Datensatz? Nehmen wir an, wir haben einen Tisch namens employee_information
in der HR-Datenbank unserer Organisation. Der folgende Screenshot zeigt einige Beispieldaten.
Basierend auf employee_information
Tabelle erstellen wir eine Ansicht namens rls
für einen RLS-Datensatz. Siehe den folgenden SQL-Code:
Der folgende Screenshot zeigt unsere Beispieldaten.
Da wir nun die Tabelle fertig haben, können wir den RLS-Datensatz mit dem folgenden benutzerdefinierten SQL erstellen:
Der folgende Screenshot zeigt unsere Beispieldaten.
Für die Gruppe quicksight-fed-all-countries
, wir stellen das ein username
, country
und city
als null, was bedeutet, dass alle Benutzer in dieser Gruppe die Daten aller Länder anzeigen können.
Für die Länderebene gelten nur die in der definierten Sicherheitsregeln groupname
und Land columns
werden zur Filterung verwendet. Der username
und city
Spalten werden auf Null gesetzt. Die Benutzer in der quicksight-fed-usa
Die Gruppe kann die Daten der USA und der Benutzer in den USA anzeigen quicksight-fed-gbr
Die Gruppe kann die Daten von GBR anzeigen.
Für jeden Benutzer mit groupname
auf Null gesetzt, können sie nur das spezifische Land und die Stadt sehen, die ihrem Benutzernamen zugewiesen sind. Zum Beispiel, TerryRigaud
kann nur Daten von Austin in den USA anzeigen.
In QuickSight werden mehrere Regeln in einem RLS-Datensatz mit OR kombiniert.
Mit diesen vielschichtigen RLS-Regeln können wir ein umfassendes Datenzugriffsmuster definieren.
Aufräumen
Um zukünftige Gebühren zu vermeiden, löschen Sie die von Ihnen erstellten Ressourcen, indem Sie den folgenden Befehl ausführen:
Zusammenfassung
In diesem Beitrag wurde erläutert, wie BI-Administratoren die granulare Zugriffskontrolle für die QuickSight-Authentifizierung und Autorisierung entwerfen und automatisieren können. Wir haben QuickSight-Sicherheitsfunktionen wie Sicherheit auf Zeilen- und Spaltenebene, Gruppen und Namespaces kombiniert, um eine umfassende Lösung bereitzustellen. Die Verwaltung dieser Änderungen durch „BIOps“ gewährleistet einen robusten, skalierbaren Mechanismus zur Verwaltung der QuickSight-Sicherheit. Um mehr zu lernen, Melden Sie sich für eine QuickSight-Demo an.
Über die Autoren
Ying wang ist Senior Data Visualization Engineer bei der Data & Analytics Global Specialty Practice in AWS Professional Services.
Amir Bar Or ist Principal Data Architect bei AWS Professional Services. Nachdem er 20 Jahre lang Softwareunternehmen geleitet und Datenanalyseplattformen und -produkte entwickelt hat, teilt er nun seine Erfahrungen mit großen Unternehmenskunden und hilft ihnen bei der Skalierung ihrer Datenanalysen in der Cloud.
- "
- &
- 100
- Zugang
- Konto
- Aktivitäten
- Ad
- Zusätzliche
- Administrator
- Alle
- Amazon
- Analyse
- Analytik
- APIs
- Anwendung
- Anwendungen
- Architektur
- Vermögenswert
- Details
- Austin
- Authentifizierung
- Genehmigung
- Automation
- AWS
- AWS Lambda
- BESTE
- Best Practices
- Grenze
- bauen
- Building
- Geschäft
- Business Intelligence
- rufen Sie uns an!
- Fälle
- Übernehmen
- Gebühren
- Stadt
- Einstufung
- Cloud
- Code
- gemeinsam
- Unternehmen
- Inhalt
- Länder
- Erstellen
- Kunden
- Armaturenbrett
- technische Daten
- Datenzugriff
- Datenanalyse
- Datenmanagement
- Datenvisualisierung
- Datenbase
- Datenbanken
- Demand
- Design
- zerstören
- Detail
- Entwickler
- Entwicklung
- DevOps
- Domains
- Ingenieur
- Unternehmen
- Unternehmenskunden
- Event
- Veranstaltungen
- Exekutive
- exportieren
- Eigenschaften
- Filter
- Vorname
- erstes Mal
- passen
- Unser Ansatz
- Funktion
- Zukunft
- Global
- für Balkonkraftwerke Reduzierung
- Gruppe an
- Ultraschall
- hr
- HTTPS
- hunderte
- IAM
- Identitätsschutz
- Einschließlich
- Einkommen
- Erhöhung
- Information
- Infrastruktur
- Integration
- Intelligenz
- IT
- Job
- join
- Wesentliche
- Wissen
- Zielseite
- grosse
- ldap
- führenden
- LERNEN
- Niveau
- Bibliothek
- Limitiert
- Line
- Liste
- Standorte
- Lang
- Management
- Mitglieder
- Namen
- Zahlen
- Auftrag
- Andere
- Anders
- Eigentümer
- Passwörter
- Schnittmuster
- pii
- Plattformen
- Datenschutzrichtlinien
- Principal
- Produkt
- Produkte
- Projekt
- Projekte
- Öffentlichkeit
- Python
- Leser
- Leser
- Aufzeichnungen
- Veteran
- Registrierung:
- Beziehungen
- Meldungen
- Voraussetzungen:
- Downloads
- Die Ergebnisse
- Überprüfen
- Risiko
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- Führen Sie
- Laufen
- Vertrieb
- Skalieren
- Sicherheitdienst
- Selbstbedienung
- Leistungen
- kompensieren
- Teilen
- Shares
- Schale
- Einfacher
- So
- Social Media
- Software
- SQL
- storage
- speichern
- Support
- Unterstützt
- Systeme und Techniken
- Zeit
- Uk
- Gewerkschaft
- Aktualisierung
- Updates
- us
- USA
- Nutzer
- Anzeigen
- Visualisierung
- wöchentlich
- Rad
- WHO
- .
- Arbeitsablauf.
- Jahr