Maailmassa, jossa tietoturva on keskeinen huolenaihe, on erittäin tärkeää suojata tiedot jopa organisaation sisällä. Amazon QuickSight tarjoaa hienostuneen tavan toteuttaa tietoturva hakemalla rivitason suojaus joten voit rajoittaa visualisointien tietojen käyttöä.
Koko organisaatio saattaa tarvita pääsyn samaan koontinäyttöön, mutta saattaa myös haluta rajoittaa hallintapaneelin tietojen käyttöä organisaation hierarkkisen rakenteen mukaisesti. Esimerkiksi varapresidentit tarvitsevat näkyvyyttä kaikkiin organisaationsa tietoihin, tiimipäälliköiden on nähtävä kaikkiin suoriin raportteihinsa liittyvät tiedot ja yksittäisen avustajan tarvitsee vain nähdä omat tietonsa. Näiden tietoturvasääntöjen luominen ja ylläpito voi olla työlästä, jos niitä hallitaan manuaalisesti.
Tässä viestissä menemme yksityiskohtiin siitä, kuinka organisaation hierarkkinen rakenne voidaan poimia Kevyt Directory Access Protocol (LDAP) tiedot, litistä ne ja luo rivitason suojausoikeustiedosto jäljittelemään QuickSight-tietojoukon samantasoisia hierarkkisia käyttöoikeuksia. Näytämme tämän LDAP-tietojen ja lipputietojen valetietojoukoilla ja käytämme näitä tietoja käyttäjätason käyttöoikeuksien toteuttamiseen QuickSight-visualisoinneissa ja tietojoukoissa.
Katsaus ratkaisuun
Tässä viestissä esittelemme LDAP-tietojen käsittelyä ja rivitason suojauksen käyttöönottoa käyttäjätason käyttöoikeuksien hallitsemiseksi organisaatiohierarkioiden mukaisesti. Näytämme mallitietojoukon avulla, kuinka visualisointien takana olevaa dataa voidaan muuttaa dynaamisesti. Puhumme myös QuickSight-visualisaatioiden suojauksen toteuttamiseen tarvittavan käyttöoikeustiedoston automaattisesta luomisesta LDAP-tietojen avulla. Lisäksi luomme mallin hallintapaneelin ja käytämme luotua käyttöoikeustiedostoa hallitaksemme käyttäjien pääsyä tietoihin.
LDAP-hierarkkiset tiedot (työntekijätietojoukko)
Käytämme LDAP-mallidataa, joka on valeorganisaatiohierarkkinen rakenne. Mallikoodi hierarkkisten tietojen luomiseksi on saatavilla osoitteessa GitHub repo.
Perusideana on, että meillä on hierarkkinen tietojoukko, jossa työntekijä-johtaja tai työntekijä-esimiessuhde on olemassa. Esimerkkitietojoukossamme on employee_id
ja manager_id
sarakkeet, jotka edustavat työntekijän ja johtajan suhdetta. Seuraava kuvakaappaus on hierarkkinen esitys tietojoukon ensimmäisistä työntekijöistä ja taulukon ensimmäisistä riveistä. Data näyttää "Mies, Crin" (employee_id
0) on pääkäyttäjä. Huijaustiedoissamme työntekijätunnukset vaihtelevat välillä 0–249, ja niissä on 10 hierarkiatasoa.
Seuraavassa kuvakaappauksessa näkyy näytetietojen hierarkkinen rakenne.
Lippujen tietojoukko
Satunnaisesti luodussa näytelipputietojoukossamme on noin 250 lippua (katso seuraava kuvakaappaus). Jokainen näistä lipuista on määrätty työntekijälle. Kolumni assigned_to_emp_id
edustaa työntekijää, jolle lippu on määrätty. Koodi tiedoista satunnaisotoksen luomiseksi on saatavilla osoitteessa GitHub repo.
Voimme korvata emp_id
millä tahansa yksilöllisellä tunnisteella, kuten UID, RACF ID, sähköpostitunnus ja niin edelleen.
Esimerkki organisaatiorakenteesta
Rivitason suojaus, josta puhumme seuraavissa osissa, liittyy näihin kahteen tietojoukkoon. Esimerkiksi liput, jotka on määritetty mille tahansa sarakkeessa olevalle työntekijätunnukselle assigned_to_emp_id
pitäisi näkyä vain työntekijöille, jotka ovat ylempänä kyseisen työntekijän hierarkiassa. Työntekijätunnukselle 18 määritettyjä lippuja voi tarkastella vain työntekijätunnuksilla 18, 7, 5, 1 ja 0, koska työntekijätunnus 18 raportoi heille suoraan tai epäsuorasti. Seuraava kuvakaappaus näyttää esimerkin hierarkiasta.
Esikäsittele lipputiedot tasoittamalla hierarkkisia suhteita
Meidän on ensin tasoitettava LDAP-tiedot, jotta saadaan työntekijätunnukset hierarkiaan peräkkäin. Nämä litistetyt tiedot on päivitettävä, jotta voidaan ottaa huomioon mahdolliset organisaatiomuutokset, kuten uusien työntekijöiden käyttöönotto. Tässä esimerkissä käytämme SYS_CONNECT_BY_PATH
toiminto an Amazon Relational Database -palvelu (Amazon RDS) -tietokannan saavuttamiseksi. Voimme saavuttaa saman tuloksen ohjelmallisesti tai käyttämällä yleisiä taulukon ilmaisuja (CTE:t) sisään Amazonin punainen siirto. Tavoitteena on luoda 10 saraketta, jotka sisältävät koko polun kyseisestä työntekijästä korkeimman tason johtajaan. Jokaisella työntekijällä ei ole arvoa jokaisessa sarakkeessa, olettaen, että työntekijä ei ole hierarkian alimmalla tasolla. Tietty työntekijätunnus näkyy omalla rivillään sekä riveillä työntekijöille, joiden suora tai välillinen johtaja on. Pyydämme tietoja seuraavalla koodilla:
Seuraava kuvakaappaus näyttää kyselyn lähdön.
Seuraavassa kuvakaappauksessa on esimerkki työntekijätunnuksen 147 hierarkiasta.
Työntekijätunnuksella 147 voimme nähdä, että hierarkian työntekijät on järjestetty sarakkeisiin tasoineen. Työntekijätunnus 147 raportoi numeroon 142, 142 raportoi numeroon 128 ja niin edelleen. Samoin työntekijätunnuksen 142 osalta voimme nähdä, että yli 142-vuotiaat työntekijät ovat läsnä vastaavissa sarakkeissaan.
Yhdistä lipunmyyntitiedot tasoitettuihin LDAP-tietoihin
Päästäksemme lopulliseen tietojoukkoon, jota tarvitsemme visualisointeja varten, meidän on yhdistettävä lipputiedot LDAP-tietoihin litteillä hierarkioilla. Esittelyämme varten loimme kaksi taulukkoa, Tickets
ja Employees
, ja kopioimme aiemmin näyttämämme tiedot näihin taulukoihin käyttämällä Amazon Redshift -kopiokomentoa Amazonin yksinkertainen tallennuspalvelu (Amazon S3). Seuraavassa on esimerkkituloste liitoskyselystä näiden taulukoiden välillä. Tämä tietojoukko tuomme SPICEen QuickSightissa. SPICE on QuickSightin huippunopea, rinnakkainen, muistissa oleva laskentakone, ja se on suunniteltu suorittamaan nopeasti kehittyneitä laskelmia ja palvelemaan tietoja.
Seuraava kuvakaappaus näyttää litistetyt tietomme.
Luo käyttöoikeustiedosto
Voit käyttää seuraavaa koodinpätkää luodaksesi käyttöoikeustiedoston, jota tarvitaan rivitason suojauksen käyttämiseen tietojoukossasi QuickSightissa:
Tämän toiminnon syöte on luettelo työntekijätunnuksistasi. Nämä työntekijätunnukset näkyvät omistajina myös lipputiedoissa. Tietojen saamiseen on useita tapoja. Jos lipputietojen omistajuus liittyy johonkin muuhun käyttäjäkohtaiseen tietoon, kuten sähköpostitunnukseen tai mihin tahansa yksilölliseen tunnisteeseen, luettelo näistä tiedoista on syöte tähän toimintoon. Toinen syöte on organisaatiosi tasojen lukumäärä (kokonaisluku). Tavoitteena on luoda CSV-tiedosto, jota käytetään QuickSightin tietojoukon käyttöoikeustiedostona.
Oletetaan, että organisaatiossasi on 10 hierarkkista tasoa. Tulostuslupatiedosto näyttää seuraavan kuvakaappauksen kaltaiselta.
Luo QuickSight-analyysejä
Käytämme nyt lupatiedostoa QuickSight-tietojoukossa. Katso ohjeet Rivitason suojauksen (RLS) käyttäminen tietojoukon käytön rajoittamiseen.
Nyt luomme esimerkkivisualisoinnin, joka näyttää tietyt työntekijän tai heidän raportoijiensa omistamat liput.
Kun olemme tuoneet käyttöoikeustiedoston ja soveltaneet sitä lopulliseen tietojoukkoon (joka luotiin yhdistämällä lipputiedot litteän LDAP-datan kanssa) SPICE:ssä, olemme luoneet seuraavan visualisoinnin. Tavoitteena on varmistaa, että kun eri käyttäjät kirjautuvat sisään ja näkevät visualisoinnin, he näkevät saman visualisoinnin eri tiedoilla, tässä tapauksessa ainoat heitä koskevat liput.
Seuraava kuvakaappaus näyttää visualisoinnin ilman rivitason suojausta.
Hierarkiaamme varten olemme luoneet QuickSight-käyttäjiä, joiden käyttäjätunnukset ovat samat kuin heidän työntekijätunnuksensa (työntekijällä, jolla on tunnus 142, on QuickSight-käyttäjänimi 142; tämä voidaan helposti korvata millä tahansa organisaatiosi käyttämillä yksilöllisillä tunnisteilla). Kirjaudumme sisään työntekijätunnuksilla 232, 147, 61, 84 ja 28 ja varmistamme, että he näkevät vain itseään koskevat liput. Visualisoinnista "Näytät näitä työntekijöitä koskevia lippuja" näemme, kenen liput sisäänkirjautuneella käyttäjällä on oikeus nähdä. Koska pilkatut tiedot koostuvat vain noin 250 lipusta satunnaisesti 250 työntekijälle, jotkin visualisoinnit eivät välttämättä näytä tietoja.
Seuraava kuvakaappaus näyttää esimerkkihierarkian. Työntekijätunnus 232 on lehtisolmu (kukaan ei raportoi heille).
Työntekijällä 232 on oikeus tarkastella vain omia lippujaan, kuten seuraavassa visualisoinnissa näkyy.
Vastaavasti, koska työntekijätunnus 147 on myös lehtisolmu, he voivat tarkastella vain heille määrättyjä lippuja.
Esimerkkihierarkiassamme työntekijätunnukset 72, 75, 174, 229 ja 134 raportoivat työntekijälle 61. Tietojoukossamme näille työntekijöille on määritetty vain neljä lippua. Seuraava kuvakaappaus näyttää huolta aiheuttavat liput työntekijätunnukselle 61.
Seuraava kuvakaappaus näyttää visualisoinnit, jotka näkyvät työntekijätunnukselle 61.
Vastaavasti, kun kirjaudumme sisään työntekijätunnuksilla 84 ja 28, voimme varmistaa, että he näkevät vain itseään koskevat liput.
Julkaise kojelauta
Jaa-toiminnolla voit julkaista analyysin kojelautaan ja jakaa tiedot sidosryhmien kanssa.
Puhdistaa
Jotta vältyt tulevilta maksuilta, muista poistaa luomasi resurssit, kun olet lopettanut niiden käytön.
Yhteenveto
Tietoturva on tärkeä huolenaihe monille organisaatioille. Tämä ratkaisu on helppo tapa käyttää organisaation LDAP-tietoja tietoturvan toteuttamiseen QuickSightin rivitason suojauksella. Organisaation uudelleenjärjestelyjen myötä hierarkiat muuttuvat väistämättä ajan myötä. Siksi LDAP-tiedot voidaan polttaa säännöllisin väliajoin ja päivittää vastaavaan Amazon Redshift -taulukkoon. Tämä antaa käyttäjille paremman näkyvyyden datassa organisaatiohierarkiassa.
kirjailijasta
Anand Sakhare on Big Data Architect, jolla on AWS. Hän auttaa asiakkaita rakentamaan suurta dataa, analytiikkaa ja koneoppimismahdollisuuksia eri tekniikoiden avulla. Hän on innostunut innovaatioista ja monimutkaisten ongelmien ratkaisemisesta.
Rohan Jamadagni on vanhempi data -arkkitehti, joka on työskennellyt AWS: n kanssa viimeiset 5 vuotta. Hän tekee tiivistä yhteistyötä asiakkaiden kanssa toteuttaakseen data- ja analytiikkaratkaisuja AWS: ssä. Hän nauttii tietojen sisällön ymmärtämisestä ja auttaa asiakkaita visualisoimaan tietonsa saadakseen merkityksellisiä tietoja.
Umair Navaz on DevOps -insinööri Amazon Web Services -palvelussa New Yorkissa. Hän työskentelee turvallisten arkkitehtuurien rakentamisessa ja neuvoo yrityksiä ketterässä ohjelmistotoimituksessa. Hän on motivoitunut ratkaisemaan ongelmia strategisesti hyödyntämällä nykyaikaista tekniikkaa.
- "
- 100
- 11
- 7
- 84
- 9
- pääsy
- Tili
- Kaikki
- Amazon
- Amazon Web Services
- analyysi
- Analytics
- noin
- AWS
- rakentaa
- Rakentaminen
- toimitusjohtaja
- muuttaa
- maksut
- Kaupunki
- koodi
- Sarake
- Luominen
- Asiakkaat
- kojelauta
- tiedot
- tietojen käyttö
- tietoturva
- tietokanta
- toimitus
- DevOps
- työntekijää
- insinööri
- Etunimi
- toiminto
- tulevaisuutta
- mennä
- Miten
- Miten
- HTTPS
- ajatus
- tiedot
- Innovaatio
- oivalluksia
- IT
- yhdistää
- ldap
- oppiminen
- Taso
- Lista
- koneoppiminen
- New York
- new york city
- perehdytyksessä
- tilata
- Muut
- omistajat
- esittää
- julkaista
- alue
- raportti
- Raportit
- Esittelymateriaalit
- säännöt
- turvallisuus
- Palvelut
- Jaa:
- Yksinkertainen
- So
- Tuotteemme
- Ratkaisumme
- SOLVE
- Alkaa
- Levytila
- Technologies
- aika
- Käyttäjät
- arvo
- Näytä
- näkyvyys
- visualisointi
- W
- verkko
- verkkopalvelut
- wikipedia
- sisällä
- toimii
- maailman-
- kirjailija
- vuotta