Suuri Business Intelligence (BI) -projekti, jossa on paljon käyttäjiä ja tiimejä sekä arkaluontoista tietoa, vaatii monitahoista tietoturva-arkkitehtuuria. Tällaisen arkkitehtuurin pitäisi tarjota BI-järjestelmänvalvojille ja arkkitehdeille kyky minimoida käyttäjien käytettävissä olevan tiedon määrä. Suoraviivaista hallittavaa ratkaisua varten Amazon QuickSight käyttäjien ja omaisuuden käyttöoikeuksia, voit käyttää AWS-komentoriviliitäntä (AWS CLI) tai AWS-hallintakonsoli muokataksesi QuickSight-käyttäjäroolia ja hallintapaneelin käyttöoikeuksia manuaalisesti. Tietyissä tapauksissa yrityksellä voi kuitenkin helposti olla satoja tai tuhansia käyttäjiä ja ryhmiä, eivätkä nämä pääsynhallintamenetelmät ole tehokkaita. Olemme saaneet suuren määrän pyyntöjä tarjota edistynyt ohjelmoitava lähestymistapa keskitetyn QuickSight-suojausarkkitehtuurin käyttöönottamiseksi ja hallintaan.
Tämä viesti kuvaa parhaita käytäntöjä QuickSight-todennusta ja valtuutusta varten ja tarjoaa keskitetyn pilvisovelluksen, jossa on AWS Cloud Development Kit (AWS CDK) -pino ladattavaksi. Yksi ratkaisumme eduista on, että yritykset voivat ottaa käyttöön tietoturvakehyksen hallitakseen BI:nsä pääsynhallintaa poistumatta AWS:stä.
Kaikki asetukset tallennetaan kansioon AWS Systems Manager -parametrikauppa. Parameter Store tarjoaa turvallisen, hierarkkisen tallennustilan konfigurointitietojen ja salaisuuksien hallintaan. Voit tallentaa parametriarvoiksi tietoja, kuten käyttäjänimen, käyttöoikeudet, salasanat ja tietokantamerkkijonot. Voit viitata AWS-järjestelmien päällikkö parametrit komentosarjoissasi sekä määritys- ja automaatiotyönkulkuissa käyttämällä yksilöllistä nimeä, jonka määritit parametrin luomisen yhteydessä.
AWS CDK -sovellusmalli sopii jatkuvan integroinnin ja jatkuvan käyttöönoton (CI/CD) infrastruktuuriin ja myöntää tai peruuttaa kaikki todennukset ja valtuutukset AWS:n määrittämän määritellyn käytännön mukaisesti. Näin vältytään mahdollisilta BI-kehittäjien tai järjestelmänvalvojien tekemiltä inhimillisiltä virheiltä. BI-kehittäjät voivat muokata konfiguraatioparametreja julkaistakseen uusia koontinäyttöjä loppukäyttäjille. Samaan aikaan BI-järjestelmänvalvojat voivat muokata muita parametrijoukkoja käyttäjien tai ryhmien hallintaa varten. Tämä AWS CDK:n CI/CD-suunnittelu kattaa kehitys- ja käyttötoimintojen väliset aukot tehostamalla BI-sovellusten rakentamisen ja käyttöönoton automatisointia.
Turvallisuusvaatimukset
Yritysten BI-sovellussuunnittelussa monivuokraus on yleinen käyttötapaus, joka palvelee useita käyttäjäjoukkoja yhdellä infrastruktuurilla. Vuokralaiset voivat olla joko itsenäisen ohjelmistotoimittajan (ISV) eri asiakkaita tai yrityksen eri osastoja. Usean vuokrauksen suunnittelussa jokainen vuokralainen jakaa kojelaudat, analyysit ja muut QuickSight-omaisuudet. Jokainen käyttäjä, joka näkee kaikki muut samaan vuokralaiseen kuuluvat käyttäjät (esimerkiksi sisältöä jakaessaan), jää muille vuokralaisille näkymätön. Jokaisessa vuokraajassa BI-järjestelmänvalvojatiimin on luotava eri käyttäjäryhmiä hallitakseen tietojen valtuutusta, mukaan lukien omaisuuden käyttöoikeudet ja yksityiskohtaisen tason tietojen käyttöoikeudet.
Käsitellään yksityiskohtaisesti joitain resurssien käyttöoikeuksien käyttötapauksia. BI-sovelluksessa eri resurssit luokitellaan yleensä liiketoiminta-alueiden (kuten toiminnallinen kojelauta tai yhteenvetoraportti) ja tietojen luokituksen (kriittinen, erittäin luottamuksellinen, vain sisäinen ja julkinen) mukaan. Sinulla voi esimerkiksi olla kaksi kojelautaa myyntitulostietojen analysointiin. Molempien kojetaulujen ulkoasu ja tuntuma ovat samanlaiset, mutta tietojen suojausluokitus on erilainen. Yksi kojelauta, nimeltään Sales Critical Dashboard, sisältää tärkeitä sarakkeita ja tietorivejä. Toinen kojelauta, nimeltään Sales Highly-Confidential Dashboard, sisältää erittäin luottamuksellisia sarakkeita ja tietorivejä. Joillekin käyttäjille on myönnetty lupa tarkastella molempia hallintapaneeleja, ja toisilla on alhaisemman suojaustason käyttöoikeudet ja he voivat käyttää vain Sales Highly-Confidential Dashboardia.
Seuraavassa käyttötapauksessa käsittelemme yksityiskohtaisen tason tietojen käyttöä seuraavasti:
- Rivitason käyttöoikeus (RLS) – Käyttäjille, jotka voivat käyttää Sales Critical Dashboardia, jotkut heistä voivat tarkastella vain Yhdysvaltojen tietoja. Jotkut maailmanlaajuiset käyttäjät voivat kuitenkin tarkastella kaikkien maiden tietoja, mukaan lukien Yhdysvallat ja Iso-Britannia.
- Saraketason käyttöoikeus (CLS) – Jotkut käyttäjät voivat tarkastella vain tietojoukon non-personal-identifiable information (PII) -tietosarakkeita, kun taas HR-tiimi voi tarkastella kaikkia saman tietojoukon sarakkeita.
Suurissa projekteissa voi olla useita vuokralaisia, satoja ryhmiä ja tuhansia käyttäjiä yhdellä QuickSight-tilillä. Tietojen johtajatiimi haluaa ottaa käyttöön yhden protokollan käyttäjien luomiseen ja todentamiseen vähentääkseen ylläpitokustannuksia ja turvallisuusriskiä. Tässä viestissä kuvattu arkkitehtuuri ja työnkulku auttavat datajohtajaa saavuttamaan tämän tavoitteen.
Lisäksi, jotta vältytään inhimillisiltä virheiltä päivittäisessä toiminnassa, haluamme, että nämä suojausoikeudet myönnetään ja peruutetaan automaattisesti, ja ne sopivat CI/CD-infrastruktuuriin. Yksityiskohdat selitetään myöhemmin tässä viestissä.
Arkkitehtuurin yleiskatsaus
Seuraava kaavio näyttää tämän ratkaisun QuickSight-tiliarkkitehtuurin.
- Tekijät luovat koontipaneeleja ja päivittävät AWS Systems Managerin parametrikauppaa vapauttaakseen kojelaudat eri ryhmille
- Järjestelmänvalvojat hyväksyvät tekijöiden pyynnöt
- Järjestelmänvalvojat päivittävät käyttäjähallintaa (roolit, nimiavaruudet) muokkaamalla AWS Systems ManagerParameter Storea
- DevOps ottaa päivitykset käyttöön AWS CDK:n avulla
*Ryhmät: Objektien käyttöoikeusryhmät hallitsevat objektien omistajaa/katselijaa. Datasegmenttiryhmät yhdistettynä RLS/CLS:ään ohjaavat tietojen käyttöä.
*Tietojoukot: Sisältää kaikki tiedot, joita rajoittaa rivitason suojaus (RLS) ja saraketason suojaus (CLS)
Seuraava kaavio havainnollistaa arkkitehtuurin todennustyönkulkua:
*Ensimmäinen sisäänkirjautuminen QuickSightiin: Jos QuickSight-käyttäjää ei ole rekisteröity ennen ensimmäistä sisäänkirjautumista, lukija luodaan ja vain tämä lukija voi tarkastella aloitussivun hallintapaneelia, joka jaetaan kaikille tämän tilin käyttäjille. Aloitussivulla on raporttiluettelo, jota tämä käyttäjä voi tarkastella.
Seuraava kaavio havainnollistaa arkkitehtuurin valtuutustyönkulkua.
Valtuutuskaavion tiedot:
- Käyttäjätiedot (osasto, tiimi, maantieteellinen sijainti) tallennetaan Amazon Redshiftiin, Amazon Athenaan tai mihin tahansa muuhun tietokantaan. Yhdessä ryhmä-käyttäjäkartoituksen kanssa RLS-tietokannat on rakennettu tietojen käytön hallintaa varten.
- Tuntikohtainen käyttöoikeustehtävä:
- Ryhmä-työntekijän nimien (käyttäjän) kartoituksen (membership.csv) ja ryhmäroolikartoituksen (/qs/console/roles) mukaan AWS:n Lambda-toiminto luo ryhmiä, rekisteröi, käyttäjät, määrittää ryhmän jäseniä, poistaa ryhmäjäsenyydet, ylentää lukijoita. tekijälle tai järjestelmänvalvojalle ja poistaa käyttäjät, jos he alennetaan tekijästä tai järjestelmänvalvojasta lukijaksi.
- Tiedoston /qs/config/access ryhmä-dashboard-kartoituksen mukaan AWS Lambda -toiminto päivittää QuickSight-ryhmien kojelaudan käyttöoikeudet.
- Member.csv:n ryhmän nimiavaruuden yhdistämisen mukaan AWS Lambda -toiminto luo QuickSight-ryhmiä määritettyyn nimiavaruuteen.
- Esimerkkejä objektien käyttöoikeuksista ja datasegmenteistä:
- QuickSight-käyttäjäroolin esimerkkiparametreja:
- Esimerkkitiedot jäsenyys.csv:stä:
Tässä ratkaisussa mukautettuja nimiavaruuksia otetaan käyttöön usean vuokrauksen tukemiseksi. The default
nimiavaruus on tarkoitettu kaikille yrityksen sisäisille käyttäjille (kutsumme sitä OkTank). OkTank luo 3rd-Party
nimiavaruus ulkoisille käyttäjille. Jos meidän on tuettava useampia vuokralaisia, voimme luoda lisää mukautettuja nimiavaruuksia. Oletuksena olemme rajoitettu 100 nimiavaruuteen AWS-tiliä kohden. Jos haluat suurentaa tätä rajaa, ota yhteyttä QuickSight-tuotetiimiin. Lisätietoja monivuokrauksesta on kohdassa Upota usean vuokralaisen analyysi sovelluksiin Amazon QuickSightin avulla.
Jokaiseen nimiavaruuteen luomme erilaisia ryhmiä. Esimerkiksi vuonna default
nimiavaruus, luomme BI-Admin
ja BI-Developer
ryhmiä varten admin
ja author
käyttäjille. Sillä reader
, käytämme kahdentyyppisiä QuickSight-ryhmiä hallitaksemme omaisuuden käyttöoikeuksia ja tietojen käyttöä: objektien käyttöoikeusryhmiä ja datasegmenttiryhmiä.
Seuraavassa taulukossa on yhteenveto siitä, kuinka objektin käyttöoikeusryhmät hallitsevat käyttöoikeuksia.
Ryhmän nimi | nimiavaruus | Lupa | Huomautuksia |
critical |
oletusarvo | Tarkastele molempia hallintapaneeleja (sisältää tärkeitä tietoja ja erittäin luottamuksellisia tietoja) | |
highlyconfidential |
oletusarvo | Näytä vain Myynnin erittäin luottamuksellinen hallintapaneeli | |
BI-Admin |
oletusarvo | Tilinhallinta ja kaikkien resurssien muokkaaminen | Käyttäjät BI-Admin ryhmälle on määrätty Admin QuickSight-käyttäjärooli. |
BI-Developer |
oletusarvo | Muokkaa kaikkia sisältöjä | Käyttäjät BI-Developer ryhmälle on määritetty Author QuickSight -käyttäjärooli. |
Power-reader |
oletusarvo | Tarkastele kaikkia resursseja ja luo ad hoc -analyysiä itsepalveluanalytiikkaraporttien luomista varten |
Käyttäjät Tämä ryhmä ei kuitenkaan voi tallentaa tai jakaa ad hoc -raporttejaan. |
3rd-party |
Muut kuin oletusnimitilat (3rd-party esimerkiksi nimiavaruus) |
Voi jakaa vain lukijoiden kanssa (3rd-party-reader esimerkiksi ryhmä) samassa nimiavaruudessa |
Ei-oletusnimiavaruudessa voimme myös luoda muita objektin käyttöoikeusryhmiä, jotka ovat samanlaisia kuin oletusnimiavaruuden kriittinen ryhmä. |
Lisätietoja QuickSight-ryhmistä, käyttäjistä ja käyttäjärooleista on kohdassa Käyttäjien käyttöoikeuksien hallinta Amazon QuickSightissa, Käyttäjien luominen Amazon QuickSightilleja Hallinnollisten hallintapaneelien käyttäminen Amazon QuickSight -objektien keskitettyyn näkymään.
Toinen ryhmätyyppi (tietosegmenttiryhmät) yhdistettynä rivitason suojaus tietojoukot ja saraketason suojaus, hallitse tietojen käyttöä seuraavassa taulukossa kuvatulla tavalla.
Ryhmän nimi | nimiavaruus | Lupa | Laajuus |
USA |
oletusarvo | Näytä vain Yhdysvaltojen tiedot missä tahansa kojelaudassa | Rivitaso |
GBR |
oletusarvo | Näytä vain Iso-Britannian tiedot millä tahansa hallintapaneelilla | Rivitaso |
All countries |
oletusarvo | Tarkastele kaikkien maiden tietoja millä tahansa hallintapaneelilla | Rivitaso |
non-PII |
oletusarvo | Sosiaaliturvatunnuksia, vuosituloja ja kaikkia muita henkilökohtaisten tunnistetietojen sarakkeita ei voi tarkastella | Saraketaso |
PII |
oletusarvo | Voi tarkastella kaikkia sarakkeita, mukaan lukien PII-tiedot | Saraketaso |
Voimme perustaa samanlaisia ryhmiä ei-oletusnimiavaruuksiin.
Nämä eri ryhmät voivat mennä päällekkäin. Esimerkiksi jos käyttäjä kuuluu ryhmiin USA
, Critical
ja PII
, he voivat tarkastella Yhdysvaltain tietoja molemmissa koontinäytöissä kaikissa sarakkeissa. Seuraava Venn-kaavio havainnollistaa näiden ryhmien välisiä suhteita.
Yhteenvetona voidaan todeta, että voimme määritellä monitahoisen suojausarkkitehtuurin yhdistämällä QuickSight-ominaisuudet, mukaan lukien nimitilan, ryhmän, käyttäjän, RLS:n ja CLS:n. Kaikki asiaan liittyvät konfiguraatiot tallennetaan Parametrisäilöön. QuickSight-käyttäjäluettelo ja ryhmä-käyttäjäkartoitustiedot ovat hakemistossa Amazonin yksinkertainen tallennuspalvelu (Amazon S3) ämpäri CSV-tiedostona (nimeltään membership.csv
). Tämä CSV-tiedosto voi olla LDAP-kyselyiden tulos. Useita AWS Lambda funktiot on ajoitettu toimimaan tunneittain (voit myös kutsua näitä toimintoja pyynnöstä, kuten päivittäin, viikoittain tai millä tahansa aikatarkkuudella, joka sopii tarpeisiisi) lukemaan parametrit ja membership.csv
. Määritetyn kokoonpanon mukaan Lambda-toiminnot luovat, päivittävät tai poistavat ryhmiä, käyttäjiä ja omaisuuden käyttöoikeuksia.
Kun tarvittavat suojauskokoonpanot on tehty, Lambda-toiminto kutsuu QuickSight API:ita saadakseen päivitetyt tiedot ja tallentaakseen tulokset S3-säihöön CSV-tiedostoina. BI-järjestelmänvalvojatiimi voi rakentaa tietojoukkoja näistä tiedostoista ja visualisoida tuloksia kojelaudoilla. Katso lisätietoja Hallinnollisten hallintapaneelien käyttäminen Amazon QuickSight -objektien keskitettyyn näkymään ja Hallintakonsolin rakentaminen Amazon QuickSightiin käyttömittareiden analysoimiseksi.
Lisäksi Lambda-toimintojen virheet ja käyttäjien poistotapahtumat tallennetaan tähän S3-alueeseen järjestelmänvalvojatiimin tarkastettavaksi.
Automaatio
Seuraava kaavio havainnollistaa Lambda-toimintojen yleistä työnkulkua.
Luomme ja konfiguroimme ryhmät ja käyttäjät automaattisesti ohjelmoitavalla menetelmällä. Kaikkiin ad hoc -käyttäjien rekisteröintipyyntöihin (kuten käyttäjää ei ole kirjattu membership.csv
mutta latenssin vuoksi), niin kauan kuin käyttäjä voidaan todentaa, he voivat olettaa AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) -rooli quicksight-fed-user
itsepalveluun QuickSight-lukijana. Tämä itse järjestämä lukija voi tarkastella vain aloitussivun hallintapaneelia, joka sisältää luettelon hallintapaneeleista ja vastaavista ryhmistä. Kojelautaryhmäkartoituksen mukaan tämä uusi lukija voi hakea jäsenyyttä tiettyyn ryhmään päästäkseen kojetauluihin. Jos ryhmän omistaja hyväksyy sovelluksen, tuntikohtaiset Lambda-funktiot lisäävät uuden käyttäjän ryhmään seuraavan kerran, kun ne suoritetaan.
CI/CD-liukuhihna alkaa AWS CDK:sta. BI-järjestelmänvalvoja ja kirjoittaja voivat päivittää Systems Managerin parametrit vapauttaakseen uusia kojetauluja tai muita QuickSight-resursseja AWS CDK -pinossa granular_access_stack.py
. BI-järjestelmänvalvoja voi päivittää Systems Managerin parametrit samassa pinossa nimitilojen, ryhmien tai käyttäjien luomiseksi, päivittämiseksi tai poistamiseksi. Sitten DevOps-tiimi voi ottaa käyttöön päivitetyn AWS CDK -pinon ottaakseen nämä muutokset käyttöön Systems Managerin parametreihin tai muihin AWS-resursseihin. Lambda-funktiot käynnistyvät tunneittain kutsumaan API-liittymiä muutosten soveltamiseksi asiaan liittyvään QuickSight-tiliin.
Asteikko
Lambda-toimintoja rajoittaa enintään 15 minuutin käyttöaika. Tämän rajoituksen voittamiseksi voimme muuntaa Lambda-funktiot muotoiksi AWS-liima Python shell -skriptit seuraavilla korkean tason vaiheilla:
- Lataa Boto3 pyörätiedostot pypi.org.
- Lataa pyörätiedosto S3-ämpäriin.
- Lataa Lambda-toiminnot ja yhdistä ne yhdeksi Python-skriptiksi ja luo AWS Glue Python -kuorikomentosarja.
- Lisää Boto3-pyörätiedoston S3-polku Python-kirjastopolkuun. Jos haluat lisätä useita tiedostoja, erota ne pilkulla.
- Ajoita tämä AWS-liimatyö suoritettavaksi päivittäin.
Lisätietoja katso Ohjelmoi AWS Glue ETL -skriptit Pythonissa ja Python-kirjastojen käyttäminen AWS-liiman kanssa.
Edellytykset
Sinulla on oltava seuraavat edellytykset tämän ratkaisun käyttöönottoon:
- QuickSight Enterprise -tili
- Perustiedot Pythonista
- SQL:n perustiedot
- BI:n perustiedot
Luo resurssit
Luo resurssit lataamalla AWS CDK -pino osoitteesta GitHub repo.
In granular_access
kansio, suorita komento cdk deploy granular-access
resurssien käyttöönottamiseksi. Katso lisätietoja AWS CDK Intro Workshop: Python Workshop.
Ota ratkaisu käyttöön
Kun otat AWS CDK -pinon käyttöön, se luo viisi Lambda-toimintoa, kuten seuraavassa kuvakaappauksessa näkyy.
Pino luo myös lisäresursseja tilillesi.
- granular_user_governance
toiminnon käynnistää amazonin pilvikello tapahtuman sääntö qs-gc-everyhour
. Ryhmien ja käyttäjien tiedot määritellään tiedostossa membership.csv
. S3-ämpärinimi tallennetaan parametrisäilöön /qs/config/groups
. Seuraava kaavio näyttää tämän toiminnon vuokaavion.
- Aseta määränpää
granular_user_governance
toiseen lambdatoimintoon,downgrade_user
, kanssasource=Asynchronous invocation
jacondition=On Success
.
Seuraava kaavio on vuokaavio tästä funktiosta.
Välttääksemme järjestelmänvalvojan tai kirjoittajan hallitsemien QuickSight-resurssien kriittisen pääsyn rikkomisen alennamme järjestelmänvalvojaa tai kirjoittajaa poistamalla järjestelmänvalvojan tai kirjoittajan ja luomalla uuden lukijakäyttäjän Lambda-toiminnolla. downgrade_user
. granular_user_governance
toiminto käsittelee järjestelmänvalvojan alentamisen tekijäksi tai tekijän päivittämisen järjestelmänvalvojaksi.
- Aseta määränpää
downgrade_user
lambda-toimintoongranular_access_assets_govenance
withsource=Asynchronous invocation
jacondition=On Success
.
Seuraava kaavio esittää tämän toiminnon vuokaavion.
- Aseta määränpää
downgrade_user
lambda-toimintooncheck_team_members
withsource=Asynchronous invocation
jacondition=On Failure
.
- check_team_members
toiminto yksinkertaisesti kutsuu QuickSight-sovellusliittymiä saadakseen nimitilat, ryhmät, käyttäjät ja omaisuustiedot ja tallentaa tulokset S3-säihöön. S3-avain on monitoring/quicksight/group_membership/group_membership.csv
ja monitoring/quicksight/object_access/object_access.csv
.
Edellisen vaiheen kahden tulostiedoston lisäksi virhelokit ja käyttäjien poistolokit (lokit downgrade_user
) on myös tallennettu kansioon monitoring/quicksight
kansio.
- Aseta määränpää
granular_access_assets_govenance
lambda-toimintooncheck_team_members
withsource=Asynchronous invocation
jacondition=On Success
orcondition=On Failure
.
Luo rivitason suojaustietojoukkoja
Viimeisenä vaiheena luomme RLS-tietojoukot. Tämän avulla voit muuttaa kojelaudan tietueita niiden käyttäjien perusteella, jotka tarkastelevat koontinäyttöjä.
QuickSight tukee RLS:ää käyttämällä järjestelmän hallinnoimaa tietojoukkoa, joka valitsee tietueet kojelautatietojoukosta. Mekanismin avulla järjestelmänvalvoja voi tarjota suodatustietojoukon (RLS-tietojoukon). username
or groupname
sarakkeita, jotka suodatetaan automaattisesti sisäänkirjautuneelle käyttäjälle. Esimerkiksi käyttäjä nimeltä YingWang
kuuluu QuickSight-ryhmään BI
, joten kaikki RLS-tietojoukon rivit, jotka vastaavat käyttäjänimeä YingWang
tai ryhmän nimi BI
suodatetaan. Rivejä, jotka jäävät RLS:ään käyttäjänimen ja ryhmän nimisuodattimien käyttöönoton jälkeen, käytetään sitten kojelaudan tietojoukkojen suodattamiseen edelleen sovittamalla sarakkeita, joilla on sama nimi. Lisätietoja rivitason suojauksesta on kohdassa Rivitason suojauksen (RLS) käyttäminen tietojoukon käytön rajoittamiseen.
Tässä ratkaisussa viemme mallikäyttäjätiedot tiedostoon membership.csv
, joka on tallennettu S3-ämpäriin. Tässä tiedostossa on joitakin esimerkkiryhmiä RLS-tietojoukon määrittelyä varten. Nämä ryhmät ovat datasegmenttiryhmiä, kuten yleisarkkitehtuurin suunnittelussa on kuvattu. Seuraavassa kuvakaappauksessa näkyy joitakin ryhmiä ja niiden käyttäjiä.
- granular_user_governance
toiminto luo nämä ryhmät ja lisää niihin liittyvät käyttäjät näiden ryhmien jäseniksi.
Kuinka luomme RLS-tietojoukon? Oletetaan, että meillä on pöytä nimeltä employee_information
organisaatiomme HR-tietokannassa. Seuraava kuvakaappaus näyttää joitakin esimerkkitietoja.
Perustuu employee_information
taulukkoon, luomme näkymän nimeltä rls
RLS-tietojoukolle. Katso seuraava SQL-koodi:
Seuraava kuvakaappaus näyttää esimerkkitietomme.
Nyt meillä on taulukko valmiina, voimme luoda RLS-tietojoukon seuraavalla mukautetulla SQL:llä:
Seuraava kuvakaappaus näyttää esimerkkitietomme.
Ryhmän puolesta quicksight-fed-all-countries
, asetamme username
, country
ja city
tyhjänä, mikä tarkoittaa, että kaikki tämän ryhmän käyttäjät voivat tarkastella kaikkien maiden tietoja.
Maatasolla vain kohdassa määritellyt turvallisuussäännöt groupname
ja maa columns
käytetään suodatukseen. The username
ja city
sarakkeet asetetaan tyhjiksi. Käyttäjät quicksight-fed-usa
ryhmä voi tarkastella USA:n ja käyttäjien tietoja quicksight-fed-gbr
ryhmä voi tarkastella GBR:n tietoja.
Jokaiselle käyttäjälle groupname
asetettu tyhjäksi, he voivat nähdä vain tietyn maan ja kaupungin, joka on määritetty heidän käyttäjätunnukselleen. Esimerkiksi, TerryRigaud
voi tarkastella vain Austinin tietoja Yhdysvalloissa.
QuickSightissa useita RLS-tietojoukon sääntöjä yhdistetään yhdessä OR:n kanssa.
Näillä monitahoisilla RLS-säännöillä voimme määrittää kattavan tiedonkäyttömallin.
Puhdistaa
Vältä tulevia maksuja poistamalla luomasi resurssit suorittamalla seuraava komento:
Yhteenveto
Tässä viestissä keskusteltiin siitä, kuinka BI-järjestelmänvalvojat voivat suunnitella ja automatisoida QuickSight-todennusta ja valtuutusta. Yhdistimme QuickSight-suojausominaisuudet, kuten rivi- ja saraketason suojauksen, ryhmät ja nimitilat tarjotaksemme kattavan ratkaisun. Näiden muutosten hallinta "BIOpsin" kautta varmistaa vankan, skaalautuvan mekanismin QuickSight-suojauksen hallintaan. Oppia lisää, tilaa QuickSight-demo.
Tietoja Tekijät
Ying Wang on vanhempi tietojen visualisointiinsinööri, jolla on Data & Analytics Global Specialty Practice -alalla AWS Professional Services.
Amir Bar Or on päätietoarkkitehti AWS Professional Servicesissä. 20 vuoden ohjelmistoorganisaatioiden johtamisen ja data-analytiikkaalustojen ja -tuotteiden kehittämisen jälkeen hän jakaa nyt kokemuksiaan suuryritysasiakkaiden kanssa ja auttaa heitä skaalaamaan data-analytiikkaaan pilvessä.
- "
- &
- 100
- pääsy
- käyttöoikeuksien hallinta
- Tili
- toiminta
- Ad
- lisä-
- admin
- Kaikki
- Amazon
- analyysi
- Analytics
- API
- Hakemus
- sovellukset
- arkkitehtuuri
- etu
- Varat
- Austin
- Authentication
- lupa
- Automaatio
- AWS
- AWS Lambda
- PARAS
- parhaat käytännöt
- reunus
- rakentaa
- Rakentaminen
- liiketoiminta
- bisnesvaisto
- soittaa
- tapauksissa
- muuttaa
- maksut
- Kaupunki
- luokittelu
- pilvi
- koodi
- Yhteinen
- yritys
- pitoisuus
- maahan
- Luominen
- Asiakkaat
- kojelauta
- tiedot
- tietojen käyttö
- Data Analytics
- tiedonhallinta
- datan visualisointi
- tietokanta
- tietokannat
- Kysyntä
- Malli
- tuhota
- yksityiskohta
- kehittäjille
- Kehitys
- DevOps
- verkkotunnuksia
- insinööri
- yritys
- yritysasiakkaat
- tapahtuma
- Tapahtumat
- johtaja
- vienti
- Ominaisuudet
- suodattimet
- Etunimi
- ensimmäistä kertaa
- sovittaa
- Puitteet
- toiminto
- tulevaisuutta
- Global
- avustukset
- Ryhmä
- Miten
- hr
- HTTPS
- Sadat
- IAM
- Identiteetti
- Mukaan lukien
- Tulo
- Kasvaa
- tiedot
- Infrastruktuuri
- integraatio
- Älykkyys
- IT
- Job
- yhdistää
- avain
- tuntemus
- aloitussivu
- suuri
- ldap
- johtava
- OPPIA
- Taso
- Kirjasto
- rajallinen
- linja
- Lista
- sijainti
- Pitkät
- johto
- Jäsenet
- nimet
- numerot
- tilata
- Muut
- Muuta
- omistaja
- salasanat
- Kuvio
- pii
- Platforms
- politiikka
- Pääasiallinen
- Tuotteet
- Tuotteemme
- projekti
- hankkeet
- julkinen
- Python
- lukija
- lukijoita
- asiakirjat
- vähentää
- Rekisteröinti
- Ihmissuhteet
- Raportit
- vaatimukset
- Esittelymateriaalit
- tulokset
- arviot
- Riski
- säännöt
- ajaa
- juoksu
- myynti
- Asteikko
- turvallisuus
- Itsepalvelu
- Palvelut
- setti
- Jaa:
- osakkeet
- Kuori
- Yksinkertainen
- So
- sosiaalinen
- Tuotteemme
- SQL
- Levytila
- verkkokaupasta
- tuki
- Tukee
- järjestelmät
- aika
- Uk
- liitto
- Päivitykset
- Päivitykset
- us
- USA
- Käyttäjät
- Näytä
- visualisointi
- viikoittain
- Pyörä
- KUKA
- sisällä
- työnkulku
- vuotta