Amazon QuickSight on täysin hallinnoitu pilvipohjainen liiketoimintatietopalvelu (BI), jonka avulla on helppo muodostaa yhteys tietoihisi, luoda interaktiivisia koontinäyttöjä ja jakaa ne kymmenien tuhansien käyttäjien kanssa joko QuickSightin sisällä tai upotettuna ohjelmistoon palvelu (SaaS) -sovellukset.
QuickSight Enterprise Edition lisäsi äskettäin rivitason suojauksen (RLS) tunnisteiden avulla. Tämä on uusi ominaisuus, jonka avulla kehittäjät voivat jakaa yhden koontinäytön kymmenien tuhansien käyttäjien kanssa ja varmistaa samalla, että jokainen käyttäjä voi nähdä ja käyttää vain tiettyjä tietoja. Tämä tarkoittaa sitä, että kun riippumaton ohjelmistotoimittaja (ISV) lisää sovellukseensa QuickSight-sulautetun koontinäytön, heidän ei tarvitse antaa loppukäyttäjiään QuickSightissa ja he voivat yksinkertaisesti määrittää tunnisteita suodattamaan tietoja sen mukaan, kuka kojelauta on palvellaan. Jos ISV esimerkiksi halusi perustaa koontinäytön, joka jaettiin 20,000 100 käyttäjän kanssa 20,000 sovelluksen asiakkaalle siten, että kaikki asiakkaan käyttäjät voivat käyttää identtisiä tietoja, tämän uuden ominaisuuden avulla voit jakaa yhden hallintapaneelin kaikille käyttäjille ilman, että sinun tarvitsee määrittää tai hallinnoida XNUMX käyttäjää QuickSightissa.
Tunnisteilla pakotettu RLS varmistaa, että jokainen loppukäyttäjä näkee vain heille tärkeät tiedot, kun taas QuickSight skaalautuu automaattisesti vastaamaan käyttäjän samanaikaisuutta, jotta jokainen loppukäyttäjä näkee jatkuvasti nopean suorituskyvyn. Tässä viestissä katsomme, miten tämä voidaan toteuttaa.
Ratkaisun yleiskatsaus
Käytämme sovellusliittymää upottaaksesi koontinäyttöjä ilman käyttäjien hallintaa GenerateEmbedURLForAnonymousUser, joka toimii QuickSightin kanssa istuntokapasiteetin hinnoittelu. Tämän sovellusliittymän avulla upotuspalvelin (SaaS -sovelluksen logiikka) määrittää ja hallinnoi sen käyttäjän henkilöllisyyttä, jolle kojelauta näytetään (toisin kuin tämä henkilöllisyys, joka on luotu ja hallinnoitu QuickSightissa).
Seuraavassa kaaviossa on esimerkki upotettujen koontinäyttöjen työnkulusta, joka suojaa tiedot sen mukaan, kuka käyttää sovellusta käyttämällä RLS -tunnisteita.
Tässä tapauksessa ISV: llä on SaaS-sovellus, johon kaksi loppukäyttäjää pääsee käsiksi. Toinen on johtaja ja toinen on sivuston valvoja. Molemmat käyttäjät käyttävät samaa sovellusta ja samaa sovellukseen upotettua QuickSight -koontinäyttöä, eivätkä he ole QuickSightissa. Kun sivuston valvoja käyttää koontinäyttöä, he näkevät vain sivustoonsa liittyvät tiedot, ja kun johtaja käyttää hallintapaneelia, he näkevät tietoja kaikista heidän hallinnoimistaan sivustoista.
Tämän käyttäytymisen saavuttamiseksi käytämme uutta ominaisuutta, joka mahdollistaa rivitason suojauksen määrittämisen tunnisteiden avulla. Tämä menetelmä suojata tiedot upotetuissa koontinäytöissä toimii vain, kun koontinäytöt on upotettu ilman käyttäjien hallintaa (kutsutaan myös anonyymi upotus). Prosessi sisältää kaksi vaihetta:
- Aseta tunnisteavaimet koontinäytön rakentamiseen käytettyjen tietojoukkojen sarakkeisiin.
- Aseta tunnisteavainten arvot ajon aikana, kun upotat kojelaudan nimettömästi.
Aseta tunnisteavaimet sarakkeisiin koontinäytön rakentamiseen käytetyissä tietojoukoissa
ISV: t tai kehittäjät voivat asettaa sarakkeita tietojoukkoihin käyttämällä CreateDataset
or UpdateDataset
API: t seuraavasti:
Edellisessä esimerkkikoodissa row-level-permission-tag-configuration
on elementti, jonka avulla voit määrittää tunnisteen avaimet tietojoukon sarakkeisiin. Voit määrittää kullekin tagille seuraavat valinnaiset kohteet:
- TagMultiValueDelimiter - Tämä vaihtoehto, kun se on asetettu sarakkeeseen, mahdollistaa usean arvon siirtämisen tagille ajon aikana, ja arvot rajataan tämän vaihtoehdon merkkijonolla. Tässä näytteessä pilkku asetetaan erotinmerkkijonoksi.
- MatchAllValue - Kun tämä vaihtoehto on asetettu sarakkeeseen, voit välittää kaikki sarakkeen arvot ajon aikana, ja arvot esitetään tämän vaihtoehdon merkkijonolla. Tässä näytteessä tähti asetetaan vastaamaan kaikkia merkkijonoja.
Kun olemme määrittäneet tunnisteet, voimme ottaa nämä säännöt käyttöön tai poistaa ne käytöstä Status
sovellusliittymän elementti. Tässä tapauksessa arvoksi asetetaan ENABLED
. Jos haluat poistaa säännöt käytöstä, arvo on DISABLED
. Kun tunnisteet on otettu käyttöön, voimme välittää arvoja tunnisteille ajon aikana, jotta voimme suojata näytetyt tiedot sen mukaan, kuka käyttää hallintapaneelia.
Jokaisessa tietojoukossa voi olla enintään 50 tunnisteavainta.
Saamme seuraavan vastauksen CreateDataset
or UpdateDataset
API:t:
Salli tekijöiden käyttää tunnisteavaimilla suojattuja tietoja analyysiä laadittaessa
Kun tunnisteavaimet on asetettu ja otettu käyttöön tietojoukossa, se suojataan. Tekijät, jotka käyttävät tätä tietojoukkoa koontinäytön luomiseen, eivät näe tietoja. Heille on annettava oikeudet nähdä kaikki tietojoukon tiedot koontinäyttöä laadittaessa. Jos haluat antaa QuickSight -tekijöille luvan nähdä tietojoukon tiedot, luo käyttöoikeustiedosto tai sääntötietojoukko. Lisätietoja on kohdassa Dataset-sääntöjen luominen rivitason suojausta varten. Seuraavassa on esimerkki sääntöjen tietojoukosta.
Käyttäjänimi | sarake_nimi_1 | sarake_nimi_2 | sarake_nimi_3 |
admin/sampleauthor |
Tässä mallitietojoukossa tekijän käyttäjänimi on lueteltu UserName -sarakkeessa. Muut kolme saraketta ovat tietojoukon sarakkeet, joihin asetamme tunnisteavaimet. Tähän taulukkoon lisätyn tekijän arvot jätetään tyhjiksi näille sarakkeille. Tämän avulla kirjoittaja voi nähdä kaikki näiden sarakkeiden tiedot ilman rajoituksia analyysejä laatiessaan.
Aseta arvot tunnisteavaimille suorituksen aikana, kun upotat kojelaudan
Kun tunnisteavaimet on asetettu tietojoukkojen sarakkeille, kehittäjät asettavat arvot avaimille suorituksen aikana, kun upotetaan koontinäyttö. Kehittäjät kutsuvat sovellusliittymää GenerateDashboardEmbedURLForAnonymousUser
upottaaksesi hallintapaneelin ja välittääksesi arvot elementin tunnisteavaimille SessionTags
, kuten seuraavassa esimerkkikoodissa näkyy:
Koska tämä ominaisuus suojaa tietoja käyttäjiltä, joita ei ole QuickSightissa, sovellusliittymäpuhelu on tarkoitettu AnonymousUser
vain ja siksi tämä ominaisuus toimii vain sovellusliittymän kanssa GenerateDashboardEmbedURLForAnonymousUser
.
Edellisessä esimerkkikoodissa on seuraavat osat:
- varten
tag_name_1
, asetat kaksi arvoa (value1
javalue2
) käyttämälläTagMultiValueDelimiter
määritetään tunnisteavaimia asetettaessa (tässä tapauksessa pilkku). - varten
tag_name_2
, asetat yhden arvon tähdeksi. Tämä mahdollistaa tämän tunnisteavaimen kaikkien sarakkeen arvojen määrittämisen, koska määritimme tähdeksiMatchAllValue
kun asetat tunnisteavaimen sarakkeeseen aikaisemmin. - varten
tag_name_3
, asetat yhden arvon (value3
).
API -vastauksen määritelmä
API: n vastaus on EmbedURL
, Status
ja RequestID
. Voit upottaa tämän URL -osoitteen HTML -sivullesi. Tämän hallintapaneelin tiedot suojataan tunnisteavaimille siirrettyjen arvojen perusteella upotettavaa sovellusliittymää kutsuttaessa GenerateDashboardEmbedURLForAnonymousUser
:
- EmbedUrl (merkkijono) -Kertakäyttöinen URL-osoite, jonka voit lisätä palvelinpuolen verkkosivulle upottaaksesi hallintapaneelin. Tämä URL -osoite on voimassa 5 minuuttia. API -toiminto antaa URL -osoitteen
auth_code
arvo, joka mahdollistaa yhden (ja vain yhden) kirjautumisen käyttäjäistuntoon, joka on voimassa enintään 10 tuntia. Tämä URL -osoite renderöi koontinäytön RLS -sääntöihin, jotka perustuvat RLS -tunnisteavaimille asetettuihin arvoihin. - Tila (kokonaisluku) - Pyynnön HTTP -tila.
- RequestId (merkkijono) - AWS -pyynnön tunnus tälle toiminnolle.
Hienorakeinen kulunvalvonta
Voit saavuttaa hienorakeisen kulunvalvonnan käyttämällä dynaamista AWS-henkilöllisyyden ja käyttöoikeuksien hallinta (IAM) politiikan luominen. Lisätietoja on kohdassa SaaS -vuokralaisten eristäminen dynaamisesti luotuilla IAM -käytännöillä. Kun käytät GenerateEmbedUrlForAnonymousUser
Sovellusliittymä upottamista varten, sinun on mainittava kaksi resurssityyppiä IAM -käytännössä: nimiavaruuden ARN -osoitteet, joihin anonyymit käyttäjät käytännössä kuuluvat, ja hallintapaneelin ARN -tunnukset, joita voidaan käyttää AuthorizedResourceArns
syöttöparametrin arvo. Tämän sovellusliittymän avulla luodut istunnot voivat käyttää valtuutettuja resursseja ja nimiavaruuden kanssa jaettuja resursseja (koontinäyttöjä).
Koska nimettömät käyttäjät ovat osa nimitilaa, kaikki nimiavaruuden kanssa jaetut koontinäytöt ovat heidän käytettävissäan riippumatta siitä, välitetäänkö ne nimenomaisesti AuthorizedResourceArns
parametri.
Jotta soittajan identiteetti voi luoda URL -osoitteen mille tahansa käyttäjälle ja koontinäytölle, Resource
käytäntölohkoksi voidaan asettaa *
. Salli soittajan identiteetin luoda URL -osoite mille tahansa nimettömälle käyttäjälle (kuten Tenant1
), Resource
osa politiikasta voidaan asettaa arn:aws:quicksight:us-east-1:<YOUR_AWS_ACCOUNT_ID>:namespace/Tenant1
. Sama koskee koontinäytön tunnusta. Dynaamista käytäntöjen luomista varten voit myös käyttää paikkamerkkejä nimitilassa ja käyttäjissä.
Seuraava koodi on esimerkki IAM -käytännöstä:
Käytä tapausta
OkTank on terveydenhuollon ISV. Heillä on SaaS -sovellus, jota eri sairaalat eri puolilla maata käyttävät tulojensa hallintaan. OkTankilla on tuhansia terveydenhuollon työntekijöitä, jotka käyttävät sovellustaan, ja he ovat upottaneet liiketoimintaansa liittyviä toimintoja QuickSight -hallintapaneeliin. OkTank ei halua hallita käyttäjiään QuickSightissa erikseen, vaan haluaa suojata tiedot sen perusteella, kuka sairaalasta käyttää sovellustaan. OkTank suojaa koontinäyttöjen tiedot ajon aikana käyttämällä rivitason suojausta tunnisteilla.
OkTankilla on sairaaloita (North Hospital, South Hospital ja Downtown Hospital) Keski-, Itä-, Etelä- ja Länsi -alueilla.
Tässä esimerkissä seuraavat käyttäjät käyttävät OkTank -sovellusta ja upotettua kojelautaa. Jokaisella käyttäjällä on tietyt rajoitussäännöt, jotka määrittävät, mitä tietoja he voivat käyttää hallintapaneeleissa. PowerUser
on superkäyttäjä, joka voi nähdä kaikkien sairaaloiden ja alueiden tiedot.
OkTank -sovelluksen käyttäjä | Sairaala | Alue |
Pohjoinen käyttäjä | Pohjoinen sairaala | Keski ja itä |
NorthAdmin | Pohjoinen sairaala | Kaikki alueet |
Etelä -käyttäjä | Eteläsairaala | Etelä |
SouthAdmin | Eteläsairaala | Kaikki alueet |
Tehokäyttäjä | Kaikki sairaalat | Kaikki alueet |
Yksikään näistä käyttäjistä ei ole varustettu QuickSightilla. OkTank hallinnoi näitä käyttäjiä omassa sovelluksessaan ja tietää siksi, mihin alueeseen ja sairaalaan kukin käyttäjä kuuluu. Kun joku näistä käyttäjistä käyttää sovelluksen upotettua QuickSight -koontinäyttöä, OkTankin on suojattava kojelaudan tiedot, jotta käyttäjät voivat nähdä vain oman alueensa ja sairaalansa tiedot.
Ensinnäkin OkTank loi tunnisteavaimet tietojoukkoon, jota he käyttävät kojelaudan käyttämiseen. Heissä UpdateDataset
API -kutsu, RowLevelPermissionTagConfiguration
tietojoukon elementti on seuraava:
Toiseksi, ajon aikana, kun upotat kojelaudan GenerateDashboardEmbedURLForAnonymousUser
API, he asettavat SessionTags
jokaiselle käyttäjälle.
SessionTags
varten NorthUser
vuonna GenerateDashboardEmbedURLForAnonymousUser
API -kutsut ovat seuraavat:
SessionTags
varten NorthAdmin
ovat seuraavat:
SessionTags
varten SouthUser
ovat seuraavat:
SessionTags
varten SouthAdmin
ovat seuraavat:
SessionTags
varten PowerUser
ovat seuraavat:
Seuraava kuvakaappaus näyttää mitä SouthUser
näkee Eteläsairaalan eteläisellä alueella.
Seuraava kuvakaappaus näyttää mitä SouthAdmin
näkee Etelä -sairaalaa koskevat asiat kaikilla alueilla.
Seuraava kuvakaappaus näyttää mitä PowerUser
koskee kaikkia sairaaloita kaikilla alueilla.
Istunnotunnisteiden perusteella OkTank on suojannut tiedot upotetuissa koontinäytöissä siten, että jokainen käyttäjä näkee vain tietyt tiedot käyttöoikeuksiensa perusteella. Sinä pystyt päästä kojelautaan yhtenä käyttäjistä (vaihtamalla käyttäjää oikeassa yläkulmassa olevasta avattavasta valikosta) ja nähdä, miten tiedot muuttuvat valitun käyttäjän perusteella.
Kaiken kaikkiaan OkTank pystyy tarjoamaan tunnisteita käyttävän rivitason suojauksen avulla vakuuttavan analyysikokemuksen SaaS-sovelluksessaan ja varmistaen samalla, että jokainen käyttäjä näkee vain tarvittavat tiedot ilman, että hänen on toimitettava ja hallittava käyttäjiä QuickSightissa. QuickSight tarjoaa erittäin skaalautuvan ja suojatun analyysivaihtoehdon, jonka voit ottaa käyttöön ja ottaa käyttöön tuotantoon päivissä viikkojen tai kuukausien sijasta.
Yhteenveto
Yhdistämällä kojelaudan käyttäjille, joita ei ole varustettu QuickSightilla, ja rivitason suojauksella tunnisteiden avulla, kehittäjät ja ISV: t voivat nopeasti ja helposti määrittää kehittyneitä, räätälöityjä analytiikkoja sovellusten käyttäjilleen-kaikki ilman infrastruktuurin asetuksia tai hallintaa skaalaamalla miljoonille käyttäjille . Lisää päivityksiä osoitteesta Upotettu QuickSight -analytiikkaKatso Uutta Amazon QuickSight -käyttöoppaassa.
Tietoja Tekijät
Raji Sivasubramaniam on AWS: n erikoisratkaisujen arkkitehti, joka keskittyy Analyticsiin. Radilla on 20 vuoden kokemus kokonaisvaltaisten yritystietojen hallinta-, Business Intelligence- ja Analytics-ratkaisujen suunnittelusta Fortune 500- ja Fortune 100 -yrityksille ympäri maailmaa. Hänellä on syvällinen kokemus integroidusta terveydenhuollon datasta ja analytiikasta monenlaisilla terveydenhuollon tietojoukoilla, mukaan lukien hallitut markkinat, lääkäreiden kohdentaminen ja potilasanalyysit. Vapaa -ajallaan Raji harrastaa vaellusta, joogaa ja puutarhanhoitoa.
Srikanth Baheti on erikoistunut World Wide Sr. -ratkaisuarkkitehti Amazon QuickSightille. Hän aloitti uransa konsulttina ja työskenteli useissa yksityisissä ja julkisissa organisaatioissa. Myöhemmin hän työskenteli PerkinElmer Health and Sciences & eResearch Technology Inc: llä, jossa hän oli vastuussa korkean liikenteen verkkosovellusten, erittäin skaalautuvien ja ylläpidettävien dataputkien suunnittelusta ja kehittämisestä raportointialustoille, jotka käyttävät AWS -palveluja ja palvelimetonta tietojenkäsittelyä.
Kareem Syed-Mohammed on Amazon QuickSightin tuotepäällikkö. Hän keskittyy sulautettuun analytiikkaan, sovellusliittymiin ja kehittäjäkokemukseen. Ennen QuickSightia hän on ollut pääministerinä AWS Marketplacessa ja Amazon -vähittäiskaupassa. Kareem aloitti uransa kehittäjänä ja sitten puhelinkeskusteknologian, paikallisen asiantuntijan ja Expedian mainosten pääministerinä. Hän työskenteli McKinsey and Companyn konsulttina lyhyen aikaa.
- '
- "
- &
- 000
- 100
- 11
- pääsy
- Tili
- Toiminta
- mainokset
- Kaikki
- Amazon
- Analytics
- api
- API
- sovelluksen
- Hakemus
- sovellukset
- sovellukset
- Tekijät
- AWS
- rakentaa
- liiketoiminta
- bisnesvaisto
- soittaa
- Koko
- Ura
- koodi
- Sarake
- Yritykset
- yritys
- tietojenkäsittely
- konsultti
- Asiakkaat
- kojelauta
- tiedot
- tiedonhallinta
- Kehittäjä
- kehittäjille
- Keskustassa
- työntekijää
- yritys
- experience
- FAST
- Ominaisuus
- Hallitus
- terveys
- terveydenhuollon
- tätä
- Korkea
- retkeily
- Sairaala
- sairaalat
- Miten
- HTTPS
- IAM
- Identiteetti
- Mukaan lukien
- tiedot
- Infrastruktuuri
- Älykkyys
- vuorovaikutteinen
- IT
- avain
- avaimet
- Taso
- paikallinen
- Tekeminen
- johto
- markkinat
- markkinat
- ottelu
- kk
- uusi ominaisuus
- Pohjoiseen
- Operations
- Vaihtoehto
- Muut
- suorituskyky
- lääkäri
- Platforms
- politiikka
- teho
- yksityinen
- Tuotteet
- tuotanto
- resurssi
- Esittelymateriaalit
- vastaus
- vähittäiskauppa
- tulot
- rulla
- säännöt
- SaaS
- skaalaus
- tieteet
- turvallisuus
- näkee
- valittu
- serverless
- Palvelut
- setti
- asetus
- Jaa:
- yhteinen
- Lyhyt
- Sivustot
- So
- Tuotteemme
- Ratkaisumme
- Etelä
- Tila
- alkoi
- Lausunto
- Tila
- Technologies
- Elektroniikka
- aika
- ylin
- liikenne
- Päivitykset
- Käyttäjät
- arvo
- verkko
- web-sovellukset
- Länsi
- KUKA
- sisällä
- työnkulku
- toimii
- maailman-
- vuotta
- Jooga