یک پروژه بزرگ هوش تجاری (BI) با تعداد زیادی از کاربران و تیم ها و اطلاعات حساس نیازمند یک معماری امنیتی چند وجهی است. چنین معماری باید به مدیران و معماران BI این توانایی را بدهد که میزان اطلاعات در دسترس کاربران را به حداقل برسانند. برای یک راه حل ساده برای مدیریت آمازون QuickSight مجوز دسترسی کاربر و دارایی، می توانید از آن استفاده کنید رابط خط فرمان AWS (AWS CLI) یا کنسول مدیریت AWS برای ویرایش دستی نقش کاربر QuickSight و دسترسی داشبورد. با این حال، در موارد خاص، یک شرکت به راحتی می تواند صدها یا هزاران کاربر و گروه داشته باشد و این روش های مدیریت دسترسی کارآمد نیستند. ما تعداد زیادی درخواست برای ارائه یک رویکرد قابل برنامه ریزی پیشرفته برای استقرار و مدیریت یک معماری امنیتی متمرکز QuickSight دریافت کرده ایم.
این پست بهترین روشها را برای احراز هویت و مجوز کنترل دسترسی گرانول QuickSight شرح میدهد و یک برنامه ابری متمرکز با کیت توسعه ابری AWS (AWS CDK) پشته برای دانلود. یکی از مزایای راه حل ما این است که شرکت ها می توانند چارچوب امنیتی را برای مدیریت کنترل دسترسی BI خود بدون ترک AWS به کار گیرند.
همه تنظیمات در ذخیره شده است AWS Systems Manager Parameter Store. Parameter Store ذخیره سازی ایمن و سلسله مراتبی را برای مدیریت داده های پیکربندی و مدیریت اسرار فراهم می کند. می توانید داده هایی مانند نام کاربری، مجوزهای کاربر، رمزهای عبور و رشته های پایگاه داده را به عنوان مقادیر پارامتر ذخیره کنید. می توانید رجوع کنید مدیر سیستم های AWS پارامترها در اسکریپت ها و پیکربندی و گردش کار اتوماسیون با استفاده از نام منحصر به فردی که هنگام ایجاد پارامتر مشخص کرده اید.
الگوی برنامه AWS CDK در زیرساخت یکپارچه سازی و استقرار مداوم (CI/CD) قرار می گیرد و همه احراز هویت و مجوزها را بر اساس یک خط مشی تعریف شده توسط AWS اعطا یا لغو می کند. این کار از خطاهای انسانی احتمالی ایجاد شده توسط توسعه دهندگان یا مدیران BI جلوگیری می کند. توسعه دهندگان BI می توانند پارامترهای پیکربندی را برای انتشار داشبوردهای جدید برای کاربران نهایی ویرایش کنند. در همان زمان، مدیران BI می توانند مجموعه دیگری از پارامترها را برای مدیریت کاربران یا گروه ها ویرایش کنند. این طراحی AWS CDK CI/CD شکافهای بین فعالیتهای توسعه و عملیات را با اعمال اتوماسیون در ساخت و استقرار برنامههای BI پر میکند.
الزامات امنیتی
در طراحی اپلیکیشن BI سازمانی، چند اجاره ای یک مورد استفاده رایج است که به مجموعه های متعددی از کاربران با یک زیرساخت خدمت می کند. مستاجران می توانند مشتریان مختلف یک فروشنده نرم افزار مستقل (ISV) یا بخش های مختلف یک شرکت باشند. در طراحی چند اجاره ای، هر مستأجر داشبورد، تجزیه و تحلیل و سایر دارایی های QuickSight را به اشتراک می گذارد. هر کاربری که میتواند همه کاربران دیگر متعلق به یک مستاجر را ببیند (مثلاً هنگام اشتراکگذاری محتوا)، برای مستاجرین دیگر نامرئی میماند. در داخل هر مستاجر، تیم مدیریت BI باید گروههای کاربری مختلفی را برای کنترل مجوز دادهها، از جمله مجوزهای دسترسی به دارایی و دسترسی به داده در سطح گرانول ایجاد کند.
اجازه دهید در مورد برخی از موارد استفاده از مجوزهای دسترسی دارایی به تفصیل بحث کنیم. در یک برنامه BI، داراییهای مختلف معمولاً بر اساس حوزههای تجاری (مانند داشبورد عملیاتی یا داشبورد خلاصه اجرایی) و طبقهبندی دادهها (بحرانی، بسیار محرمانه، فقط داخلی و عمومی) دستهبندی میشوند. به عنوان مثال، می توانید دو داشبورد برای تجزیه و تحلیل داده های نتایج فروش داشته باشید. ظاهر و احساس هر دو داشبورد مشابه است، اما طبقه بندی امنیتی داده ها متفاوت است. یک داشبورد، به نام داشبورد بحرانی فروش، حاوی ستونها و ردیفهایی از دادهها است. داشبورد دیگر، به نام داشبورد بسیار محرمانه فروش، حاوی ستونها و ردیفهایی از دادههای بسیار محرمانه است. به برخی از کاربران اجازه مشاهده هر دو داشبورد داده شده است و برخی دیگر مجوز سطح امنیتی پایین تری دارند و فقط می توانند به داشبورد بسیار محرمانه فروش دسترسی داشته باشند.
در مورد استفاده زیر، دسترسی به داده در سطح دانه بندی را به صورت زیر بررسی می کنیم:
- دسترسی در سطح ردیف (RLS) - برای کاربرانی که می توانند به داشبورد بحرانی فروش دسترسی داشته باشند، برخی از آنها فقط می توانند داده های ایالات متحده را مشاهده کنند. با این حال، برخی از کاربران جهانی می توانند داده های همه کشورها از جمله ایالات متحده و بریتانیا را مشاهده کنند.
- دسترسی در سطح ستون (CLS) - برخی از کاربران فقط می توانند ستون های داده اطلاعات غیرشخصی (PII) یک مجموعه داده را مشاهده کنند، در حالی که تیم منابع انسانی می تواند تمام ستون های یک مجموعه داده را مشاهده کند.
پروژه های بزرگ ممکن است چندین مستأجر، صدها گروه و هزاران کاربر در یک حساب QuickSight داشته باشند. تیم رهبر داده میخواهد یک پروتکل را برای ایجاد و احراز هویت کاربر به منظور کاهش هزینه تعمیر و نگهداری و خطر امنیتی مستقر کند. معماری و گردش کار توضیح داده شده در این پست به رهبر داده کمک می کند تا به این هدف دست یابد.
علاوه بر این، برای جلوگیری از خطاهای انسانی در عملیات روزانه، ما می خواهیم این مجوزهای امنیتی به طور خودکار اعطا و لغو شوند و در زیرساخت CI/CD قرار بگیرند. جزئیات در ادامه این پست توضیح داده شده است.
نمای کلی معماری
نمودار زیر معماری حساب QuickSight این راه حل را نشان می دهد.
- نویسندگان داشبورد ایجاد میکنند و فروشگاه پارامترهای مدیریت سیستم AWS را بهروزرسانی میکنند تا داشبوردها را برای گروههای مختلف منتشر کنند
- ادمین ها درخواست های نویسندگان را تایید می کنند
- ادمین ها مدیریت کاربر (نقش ها، فضای نام،) را با ویرایش AWS Systems ManagerParameter Store به روز می کنند.
- DevOps به روز رسانی ها را با AWS CDK مستقر می کند
*گروه ها: گروه های مجوز دسترسی به شی، مالک/بیننده اشیا را کنترل می کنند. گروه های بخش داده همراه با RLS/CLS دسترسی به داده را کنترل می کنند.
* مجموعه داده ها: شامل تمام داده ها، محدود شده توسط امنیت سطح ردیف (RLS) و امنیت در سطح ستون (CLS)
نمودار زیر گردش کار احراز هویت معماری را نشان می دهد:
* برای اولین بار وارد QuickSight شوید: اگر کاربر QuickSight قبل از اولین بار ورود ثبت نام نکرده باشد، یک خواننده ایجاد می شود و این خواننده فقط می تواند داشبورد صفحه فرود را مشاهده کند که برای همه کاربران این حساب به اشتراک گذاشته می شود. صفحه فرود لیست گزارش هایی را ارائه می دهد که این کاربر می تواند مشاهده کند.
نمودار زیر گردش کار مجوز معماری را نشان می دهد.
جزئیات نمودار مجوز:
- اطلاعات کاربر (بخش، تیم، موقعیت جغرافیایی) در Amazon Redshift، Amazon Athena یا هر پایگاه داده دیگری ذخیره می شود. همراه با نقشه برداری گروه-کاربر، پایگاه های داده RLS برای دسترسی به داده های کنترلی ساخته شده اند.
- واگذاری مجوزهای ساعتی:
- با توجه به نگاشت نام گروه-کارمند (کاربر) (membership.csv) و نگاشت نقش گروه (/qs/console/roles)، یک تابع AWS Lambda گروه ها را ایجاد می کند، ثبت می کند، کاربران را اختصاص می دهد، عضویت های گروه را حذف می کند، خوانندگان را ارتقا می دهد. به نویسنده یا مدیر، و کاربران را در صورت تنزل رتبه از نویسنده یا مدیر به خواننده حذف می کند.
- با توجه به نقشه برداری گروه-داشبورد در /qs/config/access، یک تابع AWS Lambda مجوزهای داشبورد را به گروه های QuickSight به روز می کند.
- با توجه به نگاشت فضای نام گروه در Membership.csv، یک تابع AWS Lambda گروه های QuickSight را در فضای نام مشخص شده ایجاد می کند.
- پارامترهای نمونه اشیا به مجوزهای دسترسی و بخش های داده:
- پارامترهای نمونه نقش کاربر QuickSight:
- نمونه داده های Membership.csv:
در این راه حل، فضاهای نام سفارشی برای پشتیبانی از چند اجاره ای مستقر شده اند. را default
فضای نام برای همه کاربران داخلی یک شرکت است (ما آن را OkTank می نامیم). OkTank ایجاد می کند 3rd-Party
فضای نام برای کاربران خارجی اگر مجبور باشیم مستاجران بیشتری را پشتیبانی کنیم، میتوانیم فضاهای نام سفارشی بیشتری ایجاد کنیم. به طور پیش فرض، ما به 100 فضای نام برای هر حساب AWS محدود شده ایم. برای افزایش این محدودیت، با تیم محصول QuickSight تماس بگیرید. برای اطلاعات بیشتر در مورد اجاره چندگانه، نگاه کنید با آمازون QuickSight، تجزیه و تحلیل های چند مستاجر را در برنامه ها قرار دهید.
در هر فضای نام، انواع مختلفی از گروه ها را ایجاد می کنیم. به عنوان مثال، در default
فضای نام، ما ایجاد می کنیم BI-Admin
و BI-Developer
گروه ها برای admin
و author
کاربران برای reader
، ما دو نوع گروه QuickSight را برای کنترل مجوزهای دسترسی به دارایی و دسترسی به داده مستقر می کنیم: گروه های مجوز دسترسی به شی و گروه های بخش داده.
جدول زیر به طور خلاصه نحوه کنترل مجوزهای گروه های مجوز دسترسی شیء را نشان می دهد.
اسم گروه | فضای نام | اجازه | یادداشت |
critical |
به طور پیش فرض | مشاهده هر دو داشبورد (حاوی داده های مهم و داده های بسیار محرمانه) | |
highlyconfidential |
به طور پیش فرض | فقط داشبورد فروش بسیار محرمانه را مشاهده کنید | |
BI-Admin |
به طور پیش فرض | مدیریت حساب و ویرایش تمام دارایی ها | کاربران در BI-Admin به گروه اختصاص داده شده است Admin نقش کاربر QuickSight. |
BI-Developer |
به طور پیش فرض | ویرایش همه دارایی ها | کاربران در BI-Developer نقش کاربر نویسنده QuickSight به گروه اختصاص داده شده است. |
Power-reader |
به طور پیش فرض | مشاهده همه دارایی ها و ایجاد تجزیه و تحلیل موقت برای اجرای گزارش های تجزیه و تحلیل سلف سرویس |
کاربران در با این حال، این گروه نمیتواند گزارشهای موقت خود را ذخیره یا به اشتراک بگذارد. |
3rd-party |
فضاهای نام غیر پیش فرض (3rd-party فضای نام، به عنوان مثال) |
فقط می توان با خوانندگان به اشتراک گذاشت (3rd-party-reader گروه، به عنوان مثال) در فضای نام یکسان |
در فضاهای نام غیر پیشفرض، میتوانیم گروههای مجوز دسترسی به شی دیگر را نیز ایجاد کنیم، که مشابه گروه بحرانی در فضای نام پیشفرض است. |
برای اطلاعات بیشتر در مورد گروهها، کاربران و نقشهای کاربر QuickSight، رجوع کنید مدیریت دسترسی کاربران در داخل آمازون QuickSight, تامین کاربران برای Amazon QuickSightو استفاده از داشبوردهای اداری برای نمای متمرکز از اشیاء QuickSight آمازون.
گروه های نوع دوم (گروه های بخش داده)، ترکیب شده با امنیت در سطح ردیف مجموعه داده ها و امنیت در سطح ستون، دسترسی به داده ها را مطابق جدول زیر کنترل کنید.
اسم گروه | فضای نام | اجازه | حوزه |
USA |
به طور پیش فرض | فقط داده های ایالات متحده را در هر داشبوردی مشاهده کنید | سطح ردیف |
GBR |
به طور پیش فرض | فقط داده های بریتانیا را در هر داشبوردی مشاهده کنید | سطح ردیف |
All countries |
به طور پیش فرض | داده های همه کشورها را در هر داشبوردی مشاهده کنید | سطح ردیف |
non-PII |
به طور پیش فرض | نمی توان شماره های تامین اجتماعی، درآمد سالانه و سایر ستون های داده های PII را مشاهده کرد | در سطح ستون |
PII |
به طور پیش فرض | می تواند تمام ستون ها از جمله داده های PII را مشاهده کند | در سطح ستون |
میتوانیم گروههای مشابهی را در فضاهای نام غیر پیشفرض راهاندازی کنیم.
این گروه های مختلف می توانند با یکدیگر همپوشانی داشته باشند. به عنوان مثال، اگر یک کاربر متعلق به گروه ها باشد USA
, Critical
و PII
، آنها می توانند داده های ایالات متحده را در هر دو داشبورد با تمام ستون ها مشاهده کنند. نمودار ون زیر روابط بین این گروه ها را نشان می دهد.
به طور خلاصه، ما میتوانیم با ترکیب ویژگیهای QuickSight، از جمله فضای نام، گروه، کاربر، RLS و CLS، یک معماری امنیتی چند وجهی تعریف کنیم. تمام تنظیمات مربوطه در Parameter Store ذخیره می شوند. لیست کاربران QuickSight و اطلاعات نقشه برداری گروه-کاربر در یک سرویس ذخیره سازی ساده آمازون سطل (Amazon S3) به عنوان یک فایل CSV (با نام membership.csv
). این فایل CSV می تواند نتایج خروجی پرس و جوهای LDAP باشد. چندین AWS لامبدا برای خواندن پارامترها و membership.csv
. با توجه به پیکربندی تعریف شده، توابع Lambda گروه ها، کاربران و مجوزهای دسترسی دارایی را ایجاد، به روز رسانی یا حذف می کنند.
هنگامی که تنظیمات امنیتی لازم تکمیل شد، یک تابع Lambda API های QuickSight را فراخوانی می کند تا اطلاعات به روز شده را دریافت کند و نتایج را در یک سطل S3 به عنوان فایل CSV ثبت کند. تیم مدیریت BI می تواند با این فایل ها مجموعه داده بسازد و نتایج را با داشبورد تجسم کند. برای اطلاعات بیشتر ببین استفاده از داشبوردهای اداری برای نمای متمرکز از اشیاء QuickSight آمازون و ساخت یک کنسول اداری در آمازون QuickSight برای تجزیه و تحلیل معیارهای استفاده.
علاوه بر این، خطاهای توابع لامبدا و رویدادهای حذف کاربر در این سطل S3 برای بررسی تیم مدیریت ذخیره می شود.
اتوماسیون
نمودار زیر گردش کار کلی توابع لامبدا را نشان می دهد.
ما از یک روش قابل برنامه ریزی برای ایجاد و پیکربندی خودکار گروه ها و کاربران استفاده می کنیم. برای هر درخواست ثبت نام موقت کاربر (مثلاً کاربر در آن ثبت نشده است membership.csv
با این حال، به دلیل تأخیر)، تا زمانی که کاربر بتواند احراز هویت شود، میتواند آن را فرض کند هویت AWS و مدیریت دسترسی نقش (IAM). quicksight-fed-user
به عنوان یک خواننده QuickSight خود را تامین کند. این خواننده خود تهیه شده فقط می تواند یک داشبورد صفحه فرود را مشاهده کند که لیست داشبوردها و گروه های مربوطه را ارائه می دهد. با توجه به نقشه برداری داشبورد-گروه، این خواننده جدید می تواند برای عضویت در یک گروه خاص برای دسترسی به داشبوردها درخواست دهد. اگر مالک گروه برنامه را تأیید کند، توابع لامبدا ساعتی کاربر جدید را در دفعه بعد که اجرا می کنند به گروه اضافه می کنند.
خط لوله CI/CD از AWS CDK شروع می شود. سرپرست و نویسنده BI می توانند پارامترهای Systems Manager را برای انتشار داشبوردهای جدید یا سایر دارایی های QuickSight در پشته AWS CDK به روز کنند. granular_access_stack.py
. سرپرست BI میتواند پارامترهای Systems Manager را در همان پشته بهروزرسانی کند تا فضاهای نام، گروهها یا کاربران را ایجاد، بهروزرسانی یا حذف کند. سپس تیم DevOps می تواند پشته CDK به روز شده AWS را برای اعمال این تغییرات در پارامترهای Systems Manager یا سایر منابع AWS مستقر کند. توابع Lambda هر ساعت برای فراخوانی APIها برای اعمال تغییرات در حساب QuickSight مرتبط فعال می شوند.
مقیاس
عملکردهای Lambda با حداکثر زمان اجرا 15 دقیقه محدود می شوند. برای غلبه بر این محدودیت، می توانیم توابع لامبدا را به چسب AWS اسکریپت های پوسته پایتون با مراحل سطح بالا زیر:
- دانلود Boto3 فایل چرخ از pypi.org.
- فایل چرخ را در یک سطل S3 آپلود کنید.
- دانلود توابع لامبدا و آنها را در یک اسکریپت پایتون ادغام کنید و یک اسکریپت پوسته پایتون AWS Glue ایجاد کنید.
- مسیر S3 فایل چرخ Boto3 را به مسیر کتابخانه پایتون اضافه کنید. اگر چندین فایل برای اضافه کردن دارید، آنها را با کاما جدا کنید.
- این کار چسب AWS را برای اجرای روزانه برنامه ریزی کنید.
برای اطلاعات بیشتر، نگاه کنید به برنامه AWS Glue ETL Scripts در پایتون و استفاده از کتابخانه های پایتون با چسب AWS.
پیش نیازها
برای اجرای این راه حل باید پیش نیازهای زیر را داشته باشید:
- یک حساب کاربری QuickSight Enterprise
- آشنایی اولیه با پایتون
- دانش اولیه SQL
- دانش اولیه BI
منابع را ایجاد کنید
منابع خود را با دانلود پشته AWS CDK از GitHub repo.
در granular_access
پوشه، دستور را اجرا کنید cdk deploy granular-access
برای استقرار منابع برای اطلاعات بیشتر ببین کارگاه آموزشی AWS CDK: Workshop Python.
راه حل را مستقر کنید
هنگامی که پشته AWS CDK را استقرار میدهید، پنج تابع Lambda ایجاد میکند، همانطور که در تصویر زیر نشان داده شده است.
پشته همچنین منابع پشتیبانی اضافی را در حساب شما ایجاد می کند.
La granular_user_governance
تابع توسط CloudWatch آمازون قانون رویداد qs-gc-everyhour
. اطلاعات گروه ها و کاربران در فایل تعریف شده است membership.csv
. نام سطل S3 در فروشگاه پارامتر ذخیره می شود /qs/config/groups
. نمودار زیر فلوچارت این تابع را نشان می دهد.
- مقصد را تنظیم کنید
granular_user_governance
به یک تابع لامبدا دیگر،downgrade_user
، باsource=Asynchronous invocation
وcondition=On Success
.
نمودار زیر فلوچارت این تابع است.
برای جلوگیری از شکستن دسترسی حیاتی به داراییهای QuickSight که توسط Admin یا نویسنده اداره میشوند، با حذف سرپرست یا کاربر نویسنده و ایجاد یک کاربر خواننده جدید با عملکرد Lambda، یک سرپرست یا نویسنده را تنزل میدهیم. downgrade_user
. granular_user_governance
تابع تنزل دادن مدیر به نویسنده یا ارتقاء نویسنده به مدیر را مدیریت می کند.
- مقصد را تنظیم کنید
downgrade_user
به تابع لامبداgranular_access_assets_govenance
باsource=Asynchronous invocation
وcondition=On Success
.
نمودار زیر فلوچارت این تابع را نشان می دهد.
- مقصد را تنظیم کنید
downgrade_user
به تابع لامبداcheck_team_members
باsource=Asynchronous invocation
وcondition=On Failure
.
La check_team_members
تابع به سادگی QuickSight APIها را برای دریافت اطلاعات فضاهای نام، گروه ها، کاربران و دارایی ها فراخوانی می کند و نتایج را در سطل S3 ذخیره می کند. کلید S3 است monitoring/quicksight/group_membership/group_membership.csv
و monitoring/quicksight/object_access/object_access.csv
.
علاوه بر دو فایل خروجی مرحله قبل، لاگ های خطا و لاگ های حذف کاربر (لاگ های downgrade_user
) نیز در ذخیره می شوند monitoring/quicksight
پوشه.
- مقصد را تنظیم کنید
granular_access_assets_govenance
به تابع لامبداcheck_team_members
باsource=Asynchronous invocation
وcondition=On Success
orcondition=On Failure
.
مجموعه داده های امنیتی در سطح ردیف ایجاد کنید
به عنوان آخرین مرحله، مجموعه داده های RLS را ایجاد می کنیم. این به شما امکان می دهد رکوردهای داشبورد را بر اساس کاربرانی که داشبوردها را مشاهده می کنند تغییر دهید.
QuickSight با استفاده از یک مجموعه داده مدیریت شده توسط سیستم که سوابق را از مجموعه داده داشبورد انتخاب می کند، از RLS پشتیبانی می کند. این مکانیسم به مدیر اجازه میدهد تا مجموعه دادههای فیلترینگ (مجموعه دادههای RLS) را با آن ارائه کند username
or groupname
ستونهایی که بهطور خودکار برای کاربری که وارد شده است فیلتر میشوند. برای مثال، کاربری با نام YingWang
متعلق به گروه QuickSight است BI
، بنابراین تمام ردیف های مجموعه داده RLS که با نام کاربری مطابقت دارند YingWang
یا نام گروه BI
فیلتر می شوند. سطرهایی که پس از اعمال نام کاربری و فیلترهای نام گروه در RLS باقی میمانند، سپس برای فیلتر کردن بیشتر مجموعه دادههای داشبورد با تطبیق ستونهایی با نامهای مشابه استفاده میشوند. برای اطلاعات بیشتر در مورد امنیت در سطح ردیف، رجوع کنید به استفاده از امنیت سطح ردیف (RLS) برای محدود کردن دسترسی به مجموعه داده.
در این راه حل، اطلاعات کاربر نمونه را در فایل صادر می کنیم membership.csv
، که در یک سطل S3 ذخیره می شود. در این فایل، ما چند گروه نمونه برای تعریف مجموعه داده RLS ارائه می دهیم. این گروه ها گروه های بخش داده هستند، همانطور که در طراحی کلی معماری توضیح داده شده است. تصویر زیر برخی از گروه ها و کاربران آن گروه ها را نشان می دهد.
La granular_user_governance
تابع این گروه ها را ایجاد می کند و کاربران مرتبط را برای عضویت در این گروه ها اضافه می کند.
چگونه مجموعه داده RLS را ایجاد کنیم؟ فرض کنید یک جدول به نام داریم employee_information
در پایگاه داده منابع انسانی سازمان ما تصویر زیر برخی از داده های نمونه را نشان می دهد.
بر اساس employee_information
جدول، یک View ایجاد می کنیم به نام rls
برای یک مجموعه داده RLS. کد SQL زیر را ببینید:
تصویر زیر داده های نمونه ما را نشان می دهد.
اکنون جدول را آماده کرده ایم، می توانیم مجموعه داده RLS را با SQL سفارشی زیر ایجاد کنیم:
تصویر زیر داده های نمونه ما را نشان می دهد.
برای گروه quicksight-fed-all-countries
، ما تنظیم کردیم username
, country
و city
به عنوان null، به این معنی که همه کاربران این گروه می توانند داده های همه کشورها را مشاهده کنند.
برای سطح کشور، فقط قوانین امنیتی تعریف شده در groupname
و کشور columns
برای فیلتر کردن استفاده می شود. را username
و city
ستون ها به صورت تهی تنظیم می شوند. کاربران در quicksight-fed-usa
گروه می تواند داده های ایالات متحده آمریکا و کاربران را مشاهده کند quicksight-fed-gbr
گروه می تواند داده های GBR را مشاهده کند.
برای هر کاربر با groupname
به عنوان null تنظیم شود، آنها فقط می توانند کشور و شهر خاصی را که به نام کاربری آنها اختصاص داده شده است مشاهده کنند. مثلا، TerryRigaud
فقط می تواند داده های آستین، در ایالات متحده را مشاهده کند.
در QuickSight، چندین قانون در یک مجموعه داده RLS با OR ترکیب می شوند.
با این قوانین چند وجهی RLS، ما می توانیم یک الگوی جامع دسترسی به داده ها را تعریف کنیم.
پاک کردن
برای جلوگیری از تحمیل هزینه های بعدی، منابعی را که ایجاد کرده اید با اجرای دستور زیر حذف کنید:
نتیجه
این پست در مورد اینکه چگونه مدیران BI می توانند احراز هویت QuickSight و کنترل دسترسی گرانول مجوز را طراحی و خودکار کنند، بحث شد. ما ویژگیهای امنیتی QuickSight مانند امنیت در سطح ردیف و ستون، گروهها و فضاهای نام را ترکیب کردیم تا راهحلی جامع ارائه کنیم. مدیریت این تغییرات از طریق "BIOps" مکانیزم قوی و مقیاس پذیر را برای مدیریت امنیت QuickSight تضمین می کند. برای یادگیری بیشتر، برای نسخه ی نمایشی QuickSight ثبت نام کنید.
درباره نویسنده
یانگ وانگ یک مهندس ارشد تجسم داده با تمرین تخصصی جهانی داده و تجزیه و تحلیل در خدمات حرفه ای AWS است.
امیر بار یا معمار اصلی داده در AWS Professional Services است. پس از 20 سال پیشروی سازمانهای نرمافزاری و توسعه پلتفرمها و محصولات آنالیز دادهها، او اکنون تجربیات خود را با مشتریان سازمانی بزرگ به اشتراک میگذارد و به آنها کمک میکند تا تجزیه و تحلیل دادههای خود را در فضای ابری مقیاس کنند.
- "
- &
- 100
- دسترسی
- مدیریت دسترسی
- حساب
- فعالیت ها
- Ad
- اضافی
- مدیر سایت
- معرفی
- آمازون
- تحلیل
- علم تجزیه و تحلیل
- رابط های برنامه کاربردی
- کاربرد
- برنامه های کاربردی
- معماری
- دارایی
- دارایی
- آستین
- تصدیق
- مجوز
- اتوماسیون
- AWS
- AWS لامبدا
- بهترین
- بهترین شیوه
- مرز
- ساختن
- بنا
- کسب و کار
- هوش تجاری
- صدا
- موارد
- تغییر دادن
- بار
- شهر:
- طبقه بندی
- ابر
- رمز
- مشترک
- شرکت
- محتوا
- کشور
- ایجاد
- مشتریان
- داشبورد
- داده ها
- دسترسی به داده ها
- تجزیه و تحلیل داده ها
- مدیریت اطلاعات
- تجسم داده ها
- پایگاه داده
- پایگاه های داده
- تقاضا
- طرح
- از بین بردن
- جزئیات
- توسعه دهندگان
- پروژه
- DevOps
- حوزه
- مهندس
- سرمایه گذاری
- مشتریان سازمانی
- واقعه
- حوادث
- اجرایی
- صادرات
- امکانات
- فیلترها برای تصفیه آب
- نام خانوادگی
- بار اول
- مناسب
- چارچوب
- تابع
- آینده
- جهانی
- کمک های مالی
- گروه
- چگونه
- hr
- HTTPS
- صدها نفر
- IAM
- هویت
- از جمله
- درآمد
- افزایش
- اطلاعات
- شالوده
- ادغام
- اطلاعات
- IT
- کار
- پیوستن
- کلید
- دانش
- صفحه فرود
- بزرگ
- ldap
- برجسته
- یاد گرفتن
- سطح
- کتابخانه
- محدود شده
- لاین
- فهرست
- محل
- طولانی
- مدیریت
- اعضا
- نام
- تعداد
- سفارش
- دیگر
- دیگران
- مالک
- کلمه عبور
- الگو
- پی
- سیستم عامل
- سیاست
- اصلی
- محصول
- محصولات
- پروژه
- پروژه ها
- عمومی
- پــایتــون
- خواننده
- خوانندگان
- سوابق
- كاهش دادن
- ثبت
- روابط
- گزارش ها
- مورد نیاز
- منابع
- نتایج
- این فایل نقد می نویسید:
- خطر
- قوانین
- دویدن
- در حال اجرا
- حراجی
- مقیاس
- تیم امنیت لاتاری
- سلف سرویس
- خدمات
- تنظیم
- اشتراک گذاری
- سهام
- صدف
- ساده
- So
- آگاهی
- نرم افزار
- SQL
- ذخیره سازی
- opbevare
- پشتیبانی
- پشتیبانی از
- سیستم های
- زمان
- Uk
- اتحادیه
- بروزرسانی
- به روز رسانی
- us
- ایالات متحده
- کاربران
- چشم انداز
- تجسم
- هفتگی
- چرخ
- WHO
- در داخل
- گردش کار
- سال