פרויקט בינה עסקית (BI) גדול עם משתמשים וצוותים רבים ומידע רגיש דורש ארכיטקטורת אבטחה רב-גונית. ארכיטקטורה כזו צריכה לספק למנהלי ואדריכלי BI את היכולת למזער את כמות המידע הנגיש למשתמשים. לפתרון פשוט לניהול אמזון קוויקסייט הרשאות גישה למשתמש ולנכס, אתה יכול להשתמש ב- ממשק שורת הפקודה של AWS (AWS CLI) או קונסולת הניהול של AWS כדי לערוך באופן ידני את תפקיד המשתמש והגישה ללוח המחוונים של QuickSight. עם זאת, במקרים ספציפיים, לארגון יכול להיות בקלות מאות או אלפי משתמשים וקבוצות, ושיטות ניהול הגישה הללו אינן יעילות. קיבלנו מספר רב של בקשות לספק גישה מתקדמת הניתנת לתכנות לפריסה וניהול של ארכיטקטורת אבטחה מרוכזת של QuickSight.
פוסט זה מתאר את שיטות העבודה המומלצות לאימות QuickSight והרשאות בקרת גישה פרטנית, ומספק יישום ענן מרכזי עם ערכת פיתוח ענן AWS (AWS CDK) מחסנית להורדה. אחד היתרונות של הפתרון שלנו הוא שארגונים יכולים לפרוס את מסגרת האבטחה כדי לנהל בקרת גישה של ה-BI שלהם מבלי לעזוב את AWS.
כל התצורות נשמרות ב- חנות פרמטרים של מנהל מערכות AWS. Parameter Store מספק אחסון מאובטח, היררכי לניהול נתוני תצורה וניהול סודות. ניתן לאחסן נתונים כגון שם משתמש, הרשאות משתמש, סיסמאות ומחרוזות מסד נתונים כערכי פרמטרים. אתה יכול להתייחס מנהל מערכות AWS פרמטרים בסקריפטים ובזרימות העבודה של תצורה ואוטומציה שלך באמצעות השם הייחודי שציינת כשיצרת את הפרמטר.
תבנית היישום של AWS CDK משתלבת בתשתית האינטגרציה הרציפה והפריסה הרציפה (CI/CD) ומעניקה או מבטלת את כל האימות וההרשאות בהתבסס על מדיניות מוגדרת שנקבעה על ידי AWS. זה ימנע טעויות אנוש אפשריות שנעשו על ידי מפתחי BI או מנהלי מערכת. מפתחי BI יכולים לערוך פרמטרים של תצורה כדי לשחרר לוחות מחוונים חדשים למשתמשי קצה. במקביל, מנהלי BI יכולים לערוך קבוצה נוספת של פרמטרים לניהול משתמשים או קבוצות. עיצוב AWS CDK CI/CD זה מגשר על הפערים בין פעילויות פיתוח ותפעול על ידי אכיפת אוטומציה בבנייה ופריסה של יישומי BI.
דרישות אבטחה
בעיצוב יישומי BI ארגוניים, ריבוי דירות הוא מקרה שימוש נפוץ, המשרת מספר קבוצות של משתמשים עם תשתית אחת. הדיירים יכולים להיות לקוחות שונים של ספק תוכנה עצמאי (ISV), או מחלקות שונות של ארגון. בעיצוב ריבוי דיירים, כל דייר חולק את לוחות המחוונים, הניתוחים ושאר נכסי QuickSight. כל משתמש, שיכול לראות את כל שאר המשתמשים השייכים לאותו דייר (לדוגמה, בעת שיתוף תוכן), נשאר בלתי נראה לדיירים אחרים. בתוך כל דייר, צוות הניהול של BI צריך ליצור קבוצות משתמשים שונות כדי לשלוט בהרשאת הנתונים, כולל הרשאות גישה לנכסים וגישה לנתונים ברמה פרטנית.
בואו נדון בכמה מקרי שימוש של הרשאות גישה לנכסים בפירוט. באפליקציית BI, נכסים שונים מסווגים בדרך כלל לפי תחומים עסקיים (כגון לוח מחוונים תפעולי או תקציר מנהלים) וסיווג נתונים (קריטי, סודי ביותר, פנימי בלבד וציבור). לדוגמה, אתה יכול לקבל שני לוחות מחוונים לניתוח נתוני תוצאות מכירות. המראה והתחושה של שני לוחות המחוונים דומים, אך סיווג האבטחה של הנתונים שונה. לוח מחוונים אחד, בשם Sales Critical Dashboard, מכיל עמודות ושורות נתונים קריטיות. לוח המחוונים השני, הנקרא Sales Highly-Confidential Dashboard, מכיל עמודות ושורות נתונים חסויים ביותר. לחלק מהמשתמשים ניתנת הרשאה להציג את שני לוחות המחוונים, ולאחרים יש הרשאה ברמת אבטחה נמוכה יותר ויכולים לגשת רק ללוח המחוונים בעל סודיות מכירה.
במקרה השימוש הבא, אנו מתייחסים לגישה לנתונים ברמה פרטנית באופן הבא:
- גישה ברמת השורה (RLS) - עבור המשתמשים שיכולים לגשת ללוח מחוונים קריטי למכירות, חלקם יכולים להציג רק נתונים בארה"ב. עם זאת, חלק מהמשתמשים הגלובליים יכולים להציג את הנתונים של כל המדינות, כולל ארה"ב ובריטניה.
- גישה ברמת העמודה (CLS) - חלק מהמשתמשים יכולים להציג רק עמודות מידע לא-אישיות מזהות (PII) של מערך נתונים, בעוד שצוות משאבי אנוש יכול להציג את כל העמודות של אותו מערך נתונים.
לפרויקטים גדולים עשויים להיות מספר דיירים, מאות קבוצות ואלפי משתמשים בחשבון QuickSight אחד. צוות מובילי הנתונים רוצה לפרוס פרוטוקול אחד ליצירת משתמשים ואימות על מנת להפחית את עלות התחזוקה ואת סיכוני האבטחה. הארכיטקטורה וזרימת העבודה המתוארת בפוסט זה עוזרות למנהיג הנתונים להשיג מטרה זו.
בנוסף, כדי למנוע טעויות אנוש בתפעול היומיומי, אנו רוצים שהרשאות אבטחה אלו יוענקו ויבוטלו באופן אוטומטי, וישתלבו בתשתית ה-CI/CD. הפרטים מוסברים בהמשך הפוסט הזה.
סקירה כללית של אדריכלות
התרשים הבא מציג את ארכיטקטורת חשבון QuickSight של פתרון זה.
- מחברים יוצרים לוחות מחוונים ומעדכנים את חנות הפרמטרים של מנהל מערכות AWS כדי לשחרר לוחות מחוונים לקבוצות שונות
- מנהלי מערכת מאשרים את הבקשות מהמחברים
- מנהלי מערכת מעדכנים את ניהול המשתמשים (תפקידים, מרחב שמות) על ידי עריכת AWS Systems ManagerParameter Store
- DevOps פורס את העדכונים עם AWS CDK
*קבוצות: קבוצות הרשאות גישה לאובייקט שולטות בבעלים/הצופה של האובייקטים. קבוצות מקטעי נתונים בשילוב עם RLS/CLS שולטות בגישה לנתונים.
* מערכי נתונים: מכיל את כל הנתונים, מוגבל על ידי אבטחה ברמת השורה (RLS) ואבטחה ברמת העמודה (CLS)
התרשים הבא ממחיש את זרימת העבודה של האימות של הארכיטקטורה:
*כניסה ראשונה ל-QuickSight: אם משתמש QuickSight אינו רשום לפני הכניסה הראשונה, נוצר קורא וקורא זה בלבד יכול להציג את לוח המחוונים של דף הנחיתה, המשתף עם כל המשתמשים בחשבון זה. דף הנחיתה מספק את רשימת הדוחות שמשתמש זה יכול להציג.
התרשים הבא ממחיש את זרימת העבודה של ההרשאה של הארכיטקטורה.
פרטי תרשים הרשאות:
- מידע המשתמש (מחלקה, צוות, מיקום גיאוגרפי) מאוחסן באמזון Redshift, Amazon Athena או כל מסד נתונים אחר. בשילוב עם מיפוי קבוצתי של משתמשים, מסדי נתונים של RLS בנויים עבור גישה לנתונים.
- הקצאת הרשאות לפי שעה:
- על פי מיפוי שם קבוצה-עובד (משתמש) (membership.csv) ומיפוי תפקידים קבוצתיים (/qs/console/roles), פונקציית AWS Lambda יוצרת קבוצות, רושמת, משתמשים, מקצה חברי קבוצה, מסירה חברות בקבוצה, מקדמת קוראים למחבר או למנהל, ומוחק משתמשים אם הם הורדו ממחבר או מנהל לקורא.
- על פי מיפוי לוח המחוונים הקבוצתי ב-/qs/config/access, פונקציית AWS Lambda מעדכנת את הרשאות לוח המחוונים לקבוצות QuickSight.
- על פי מיפוי מרחבי קבוצה ב-membership.csv, פונקציית AWS Lambda יוצרת קבוצות QuickSight במרחב השמות שצוין.
- פרמטרים לדוגמה של הרשאות גישה לאובייקטים ופלחי נתונים:
- פרמטרים לדוגמה של תפקיד משתמש QuickSight:
- נתונים לדוגמה של membership.csv:
בפתרון זה, מרחבי שמות מותאמים אישית פרוסים לתמיכה בריבוי דירות. ה default
מרחב השמות מיועד לכל המשתמשים הפנימיים של חברה (אנחנו קוראים לזה OkTank). OkTank יוצר את 3rd-Party
מרחב שמות עבור משתמשים חיצוניים. אם נצטרך לתמוך ביותר דיירים, נוכל ליצור מרחבי שמות מותאמים אישית נוספים. כברירת מחדל, אנו מוגבלים ל-100 מרחבי שמות לכל חשבון AWS. כדי להגדיל מגבלה זו, צור קשר עם צוות המוצר של QuickSight. למידע נוסף על ריבוי דירות, ראה הטמע ניתוח ריבוי דיירים באפליקציות עם Amazon QuickSight.
בכל מרחב שמות אנו יוצרים סוגים שונים של קבוצות. לדוגמה, ב- default
מרחב שמות, אנו יוצרים את BI-Admin
ו BI-Developer
קבוצות עבור admin
ו author
משתמשים. ל reader
, אנו פורסים שני סוגים של קבוצות QuickSight כדי לשלוט בהרשאות גישה לנכסים וגישה לנתונים: קבוצות הרשאות גישה לאובייקטים וקבוצות מקטעי נתונים.
הטבלה הבאה מסכמת כיצד קבוצות הרשאות הגישה לאובייקט שולטות בהרשאות.
שם קבוצה | מרחב שמות | רשות | הערות |
critical |
בְּרִירַת מֶחדָל | הצג את שני לוחות המחוונים (המכילים את הנתונים הקריטיים ונתונים חסויים ביותר) | |
highlyconfidential |
בְּרִירַת מֶחדָל | הצג רק את לוח המחוונים בעל סודיות המכירות | |
BI-Admin |
בְּרִירַת מֶחדָל | ניהול חשבונות ועריכת כל הנכסים | משתמשים ב- BI-Admin לקבוצה מוקצים Admin תפקיד משתמש QuickSight. |
BI-Developer |
בְּרִירַת מֶחדָל | ערוך את כל הנכסים | משתמשים ב- BI-Developer לקבוצה מוקצה תפקיד המשתמש מחבר QuickSight. |
Power-reader |
בְּרִירַת מֶחדָל | הצג את כל הנכסים וצור ניתוח אד-הוק כדי להפעיל דוחות ניתוח בשירות עצמי |
משתמשים ב- עם זאת, הקבוצה הזו לא יכולה לשמור או לשתף את דוחות האד-הוק שלה. |
3rd-party |
מרחבי שמות שאינם ברירת מחדל (3rd-party מרחב שמות, למשל) |
יכול לשתף רק עם קוראים (3rd-party-reader קבוצה, למשל) באותו מרחב שמות |
במרחבי שמות שאינם ברירת מחדל, נוכל ליצור גם קבוצות הרשאות גישה לאובייקטים אחרים, הדומה לקבוצה הקריטית במרחב השמות המוגדר כברירת מחדל. |
למידע נוסף על קבוצות, משתמשים ותפקידי משתמשים של QuickSight, ראה ניהול גישת משתמשים בתוך Amazon QuickSight, הקצאת משתמשים עבור Amazon QuickSight, ו שימוש במרכזי מחוונים ניהוליים לתצוגה מרוכזת של אובייקטים של אמזון QuickSight.
הסוג השני של קבוצות (קבוצות פלח נתונים), בשילוב עם אבטחה ברמת השורה מערכי נתונים ו אבטחה ברמת העמודה, לשלוט בגישה לנתונים כמתואר בטבלה הבאה.
שם קבוצה | מרחב שמות | רשות | היקף |
USA |
בְּרִירַת מֶחדָל | הצג נתונים בארה"ב רק בכל לוח מחוונים | ברמת השורה |
GBR |
בְּרִירַת מֶחדָל | הצג רק נתונים בבריטניה בכל לוח מחוונים | ברמת השורה |
All countries |
בְּרִירַת מֶחדָל | הצג נתונים של כל המדינות בכל לוח מחוונים | ברמת השורה |
non-PII |
בְּרִירַת מֶחדָל | לא ניתן להציג מספרי ביטוח לאומי, הכנסה שנתית וכל שאר העמודות של נתוני PII | ברמת העמודה |
PII |
בְּרִירַת מֶחדָל | יכול להציג את כל העמודות כולל נתוני PII | ברמת העמודה |
אנו יכולים להגדיר קבוצות דומות במרחבי שמות שאינם ברירת מחדל.
קבוצות שונות אלו יכולות לחפוף זו את זו. לדוגמה, אם משתמש שייך לקבוצות USA
, Critical
, ו PII
, הם יכולים להציג נתונים בארה"ב בשני לוחות המחוונים, עם כל העמודות. דיאגרמת Venn הבאה ממחישה את היחסים בין הקבוצות הללו.
לסיכום, אנו יכולים להגדיר ארכיטקטורת אבטחה רבת פנים על ידי שילוב של תכונות QuickSight, כולל מרחב שמות, קבוצה, משתמש, RLS ו-CLS. כל התצורות הקשורות נשמרות במאגר הפרמטרים. רשימת המשתמשים של QuickSight ופרטי המיפוי של קבוצת המשתמשים נמצאים ב- שירות אחסון פשוט של אמזון (Amazon S3) דלי כקובץ CSV (שמו membership.csv
). קובץ CSV זה יכול להיות תוצאות פלט של שאילתות LDAP. כַּמָה AWS למבדה פונקציות מתוכננות לפעול מדי שעה (אתה יכול גם להפעיל את הפונקציות האלה לפי דרישה, כגון פירוט יומי, שבועי או בכל זמן שתתאים לדרישות שלך) כדי לקרוא את הפרמטרים ואת membership.csv
. על פי התצורה שהוגדרה, פונקציות Lambda יוצרות, מעדכנות או מוחקות קבוצות, משתמשים והרשאות גישה לנכסים.
לאחר השלמת תצורות האבטחה הדרושות, פונקציית Lambda קוראת ל-QuickSight APIs כדי לקבל את המידע המעודכן ולתעד את התוצאות בדלי S3 כקובצי CSV. צוות הניהול של BI יכול לבנות מערכי נתונים עם קבצים אלה ולהמחיש את התוצאות באמצעות לוחות מחוונים. למידע נוסף, ראה שימוש במרכזי מחוונים ניהוליים לתצוגה מרוכזת של אובייקטים של אמזון QuickSight ו בניית מסוף ניהול באמזון QuickSight לניתוח מדדי שימוש.
בנוסף, השגיאות של פונקציות Lambda ואירועי מחיקת המשתמש מאוחסנות בדלי S3 זה לבדיקה של צוות המנהלים.
אוטומציה
התרשים הבא ממחיש את זרימת העבודה הכוללת של פונקציות Lambda.
אנו משתמשים בשיטה הניתנת לתכנות כדי ליצור ולהגדיר את הקבוצות והמשתמשים באופן אוטומטי. עבור כל בקשת רישום משתמש אד-הוק (כגון שהמשתמש אינו מתועד ב membership.csv
אך עקב השהיה), כל עוד ניתן לאמת את המשתמש, הם יכולים להניח את AWS זהות וניהול גישה תפקיד (IAM) quicksight-fed-user
לאספקה עצמית כקורא QuickSight. קורא בניהול עצמי זה יכול להציג רק לוח מחוונים של דף נחיתה, המספק את רשימת לוחות המחוונים והקבוצות המתאימות. על פי מיפוי קבוצת המחוונים, הקורא החדש הזה יכול להגיש בקשה לחברות בקבוצה נתונה כדי לגשת ללוחות המחוונים. אם בעל הקבוצה מאשר את האפליקציה, פונקציות ה-Lambda השעתיות מוסיפות את המשתמש החדש לקבוצה בפעם הבאה שהם פועלים.
צינור ה-CI/CD מתחיל מ-AWS CDK. מנהל ה-BI והמחבר יכולים לעדכן את הפרמטרים של מנהל המערכות כדי לשחרר לוחות מחוונים חדשים או נכסי QuickSight אחרים בערימת CDK של AWS granular_access_stack.py
. מנהל ה-BI יכול לעדכן את הפרמטרים של מנהל המערכות באותה מחסנית כדי ליצור, לעדכן או למחוק מרחבי שמות, קבוצות או משתמשים. לאחר מכן, צוות DevOps יכול לפרוס את ערימת ה-CDK המעודכנת של AWS כדי להחיל את השינויים הללו על פרמטרי מנהל המערכות או משאבי AWS אחרים. פונקציות Lambda מופעלות מדי שעה כדי להתקשר לממשקי API כדי להחיל שינויים בחשבון QuickSight הקשור.
סולם
פונקציות למבדה מוגבלות על ידי זמן ריצה מרבי של 15 דקות. כדי להתגבר על מגבלה זו, אנו יכולים להמיר את פונקציות למבדה ל דבק AWS סקריפטים של מעטפת Python עם השלבים הבאים ברמה גבוהה:
- הורדה Boto3 קבצי גלגל מ pypi.org.
- העלה את קובץ הגלגלים לתוך דלי S3.
- הורד פונקציות למבדה ומזג אותם לסקריפט אחד של Python וצור סקריפט מעטפת של AWS Glue Python.
- הוסף את נתיב S3 של קובץ הגלגל Boto3 לנתיב ספריית Python. אם יש לך מספר קבצים להוסיף, הפרד אותם באמצעות פסיק.
- תזמן את עבודת הדבק הזו של AWS להפעלה יומית.
לקבלת מידע נוסף, ראה תוכנית AWS Glue ETL Scripts ב- Python ו שימוש בספריות Python עם דבק AWS.
תנאים מוקדמים
כדי ליישם את הפתרון הזה, עליך להיות בעל התנאים המוקדמים הבאים:
- חשבון QuickSight Enterprise
- ידע בסיסי בפייתון
- ידע בסיסי ב-SQL
- ידע בסיסי ב-BI
צור את המשאבים
צור את המשאבים שלך על ידי הורדת ערימת CDK של AWS מה- GitHub ריפו.
ב granular_access
תיקיה, הפעל את הפקודה cdk deploy granular-access
לפרוס את המשאבים. למידע נוסף, ראה סדנת מבוא של AWS CDK: סדנת פייתון.
פרוס את הפתרון
כאשר אתה פורס את ערימת CDK של AWS, הוא יוצר חמש פונקציות Lambda, כפי שמוצג בצילום המסך הבא.
המחסנית גם יוצרת משאבים תומכים נוספים בחשבון שלך.
אל האני granular_user_governance
הפונקציה מופעלת על ידי ה אמזון CloudWatch כלל האירוע qs-gc-everyhour
. המידע של קבוצות ומשתמשים מוגדר בקובץ membership.csv
. שם הדלי S3 מאוחסן במאגר הפרמטרים /qs/config/groups
. התרשים הבא מציג את תרשים הזרימה של פונקציה זו.
- הגדר את היעד של
granular_user_governance
לפונקציית למדה אחרת,downgrade_user
עםsource=Asynchronous invocation
וcondition=On Success
.
התרשים הבא הוא תרשים זרימה של פונקציה זו.
כדי למנוע שבירת גישה קריטית לנכסי QuickSight המנוהלים על ידי מנהל או מחבר, אנו מורידים מנהל או מחבר על ידי מחיקת משתמש המנהל או המחבר ויצירת משתמש קורא חדש עם פונקציית Lambda downgrade_user
. ה granular_user_governance
הפונקציה מטפלת בשדרוג לאחור של מנהל למחבר, או בשדרוג מחבר למנהל.
- הגדר את היעד של
downgrade_user
לפונקציית Lambdagranular_access_assets_govenance
עםsource=Asynchronous invocation
וcondition=On Success
.
התרשים הבא מציג תרשים זרימה של פונקציה זו.
- הגדר את היעד של
downgrade_user
לפונקציית Lambdacheck_team_members
עםsource=Asynchronous invocation
וcondition=On Failure
.
אל האני check_team_members
function פשוט קוראת ל-QuickSight APIs כדי לקבל את מרחבי השמות, הקבוצות, המשתמשים והנכסים, ושומרת את התוצאות בדלי S3. מפתח S3 הוא monitoring/quicksight/group_membership/group_membership.csv
ו monitoring/quicksight/object_access/object_access.csv
.
מלבד שני קובצי הפלט של השלב הקודם, יומני השגיאות ויומני המחיקה של המשתמשים (יומנים של downgrade_user
) נשמרים גם ב- monitoring/quicksight
תיקייה.
- הגדר את היעד של
granular_access_assets_govenance
לפונקציית Lambdacheck_team_members
עםsource=Asynchronous invocation
וcondition=On Success
orcondition=On Failure
.
צור מערכי אבטחה ברמת השורה
כשלב אחרון, אנו יוצרים מערכי נתונים של RLS. זה מאפשר לך לשנות את רשומות לוח המחוונים בהתבסס על המשתמשים שמציגים את לוחות המחוונים.
QuickSight תומך ב-RLS על ידי החלת מערך נתונים מנוהל מערכת שבוחר משנה רשומות ממערך הנתונים של לוח המחוונים. המנגנון מאפשר למנהל לספק מערך סינון (מערך הנתונים של RLS). username
or groupname
עמודות, המסוננות אוטומטית למשתמש המחובר. לדוגמה, משתמש בשם YingWang
שייך לקבוצת QuickSight BI
, כך שכל השורות של מערך הנתונים RLS שמתאימות לשם המשתמש YingWang
או שם הקבוצה BI
מסוננים. השורות שנותרו ב-RLS לאחר החלת שם המשתמש ומסנני שמות הקבוצה משמשות לאחר מכן לסינון מערכי הנתונים של לוח המחוונים על ידי התאמת עמודות עם אותם שמות. למידע נוסף על אבטחה ברמת השורה, ראה שימוש באבטחה ברמת שורה (RLS) כדי להגביל גישה למערך נתונים.
בפתרון זה, אנו מייצאים את פרטי המשתמש לדוגמה לקובץ membership.csv
, אשר מאוחסן בדלי S3. בקובץ זה, אנו מספקים כמה קבוצות לדוגמה להגדרת מערך RLS. קבוצות אלו הן קבוצות מקטעי הנתונים, כמתואר בתכנון הארכיטקטורה הכולל. צילום המסך הבא מציג חלק מהקבוצות והמשתמשים בקבוצות הללו.
אל האני granular_user_governance
הפונקציה יוצרת קבוצות אלו ומוסיפה את המשתמשים הקשורים להיות חברים בקבוצות אלו.
כיצד אנו יוצרים את מערך הנתונים של RLS? נניח שיש לנו טבלה בשם employee_information
במסד הנתונים של משאבי אנוש של הארגון שלנו. צילום המסך הבא מציג כמה נתונים לדוגמה.
מבוסס על ה employee_information
טבלה, אנו יוצרים תצוגה שנקראת rls
עבור מערך נתונים של RLS. ראה את קוד ה-SQL הבא:
צילום המסך הבא מציג את הנתונים לדוגמה שלנו.
כעת יש לנו את הטבלה מוכנה, נוכל ליצור את מערך הנתונים של RLS עם ה-SQL המותאם אישית הבא:
צילום המסך הבא מציג את הנתונים לדוגמה שלנו.
בשביל הקבוצה quicksight-fed-all-countries
, אנחנו מגדירים את username
, country
, ו city
כ-null, כלומר כל המשתמשים בקבוצה זו יכולים להציג את הנתונים של כל המדינות.
ברמת המדינה, רק כללי האבטחה המוגדרים ב- groupname
ומדינה columns
משמשים לסינון. ה username
ו city
העמודות מוגדרות כ-null. המשתמשים ב- quicksight-fed-usa
הקבוצה יכולה להציג את הנתונים של ארה"ב, והמשתמשים ב- quicksight-fed-gbr
הקבוצה יכולה להציג את הנתונים של GBR.
לכל משתמש עם groupname
מוגדר כ-null, הם יכולים להציג רק את המדינה והעיר הספציפיות שהוקצו לשם המשתמש שלהם. לדוגמה, TerryRigaud
יכול להציג רק נתונים של אוסטין, בארה"ב.
ב-QuickSight, כללים מרובים במערך נתונים של RLS משולבים יחד עם OR.
עם כללי RLS רב-צדדיים אלה, אנו יכולים להגדיר דפוס גישה מקיף לנתונים.
לנקות את
כדי להימנע מחיובים עתידיים, מחק את המשאבים שיצרת על ידי הפעלת הפקודה הבאה:
סיכום
פוסט זה דן כיצד מנהלי BI יכולים לעצב ולהפוך בקרת גישה פרטנית של QuickSight לאימות והרשאות. שילבנו תכונות אבטחה של QuickSight כמו אבטחה ברמת השורה והעמודה, קבוצות ומרחבי שמות כדי לספק פתרון מקיף. ניהול שינויים אלה באמצעות "BIOps" מבטיח מנגנון חזק וניתן להרחבה לניהול אבטחת QuickSight. ללמוד 'יותר, הירשם להדגמה של QuickSight.
על הכותבים
יינג וואנג הוא מהנדס בכיר להדמיית נתונים עם התמחות גלובלית בתחום הנתונים והאנליטיקה בשירותים מקצועיים של AWS.
אמיר בר אור הוא ארכיטקט נתונים ראשי בשירותים מקצועיים של AWS. לאחר 20 שנה שהוביל ארגוני תוכנה ופיתוח פלטפורמות ומוצרים לניתוח נתונים, הוא חולק כעת את הניסיון שלו עם לקוחות ארגוניים גדולים ועוזר להם להרחיב את ניתוח הנתונים שלהם בענן.
- "
- &
- 100
- גישה
- ניהול גישה
- חֶשְׁבּוֹן
- פעילויות
- Ad
- נוסף
- מנהל
- תעשיות
- אמזון בעברית
- אנליזה
- ניתוח
- ממשקי API
- בקשה
- יישומים
- ארכיטקטורה
- נכס
- נכסים
- אוסטין
- אימות
- אישור
- אוטומציה
- AWS
- AWS למבדה
- הטוב ביותר
- שיטות עבודה מומלצות
- גבול
- לִבנוֹת
- בִּניָן
- עסקים
- מודיעין עסקי
- שיחה
- מקרים
- שינוי
- חיובים
- עִיר
- מיון
- ענן
- קוד
- Common
- חברה
- תוכן
- מדינות
- יוצרים
- לקוחות
- לוח מחוונים
- נתונים
- גישה למידע
- ניתוח נתונים
- ניהול נתונים
- נתונים להדמיה
- מסד נתונים
- מאגרי מידע
- דרישה
- עיצוב
- להרוס
- פרט
- מפתחים
- צעצועי התפתחות
- דופים
- תחומים
- מהנדס
- מִפְעָל
- לקוחות ארגוניים
- אירוע
- אירועים
- מנהלים
- יצוא
- תכונות
- מסננים
- ראשון
- firsttime
- מתאים
- מסגרת
- פונקציה
- עתיד
- גלוֹבָּלִי
- מענקים
- קְבוּצָה
- איך
- hr
- HTTPS
- מאות
- IAM
- זהות
- כולל
- הַכנָסָה
- להגדיל
- מידע
- תשתית
- השתלבות
- מוֹדִיעִין
- IT
- עבודה
- להצטרף
- מפתח
- ידע
- דף נחיתה
- גָדוֹל
- ldap
- מוביל
- לִלמוֹד
- רמה
- סִפְרִיָה
- מוגבל
- קו
- רשימה
- מיקום
- ארוך
- ניהול
- להרשם/להתחבר
- שמות
- מספרים
- להזמין
- אחר
- אחרים
- בעלים
- סיסמאות
- תבנית
- pii
- פלטפורמות
- מדיניות
- מנהל
- המוצר
- מוצרים
- פּרוֹיֶקט
- פרויקטים
- ציבורי
- פיתון
- קורא
- הקוראים
- רשום
- להפחית
- הַרשָׁמָה
- מערכות יחסים
- דוחות לדוגמא
- דרישות
- משאבים
- תוצאות
- סקירה
- הסיכון
- כללי
- הפעלה
- ריצה
- מכירות
- סולם
- אבטחה
- שירות עצמי
- שירותים
- סט
- שיתוף
- שיתופים
- פָּגָז
- פָּשׁוּט
- So
- חֶברָתִי
- תוכנה
- SQL
- אחסון
- חנות
- תמיכה
- תומך
- מערכות
- זמן
- Uk
- התאחדות
- עדכון
- עדכונים
- us
- ארה"ב
- משתמשים
- לצפיה
- ראיה
- שבועי
- גַלגַל
- מי
- בתוך
- זרימת עבודה
- שנים