아마존 퀵 사이트 완벽하게 관리되는 클라우드 네이티브 비즈니스 인텔리전스(BI) 서비스로, 데이터에 쉽게 연결하고, 대화형 대시보드를 만들고, QuickSight 자체 내에서 또는 소프트웨어에 포함된 수만 명의 사용자와 공유할 수 있습니다. 서비스(SaaS) 앱.
QuickSight Enterprise Edition은 최근 태그를 사용하는 행 수준 보안(RLS)을 추가했습니다. 이 새로운 기능은 개발자가 수만 명의 사용자와 단일 대시보드를 공유할 수 있도록 하는 동시에 각 사용자가 특정 데이터만 보고 액세스할 수 있도록 합니다. 즉, 독립 소프트웨어 공급업체(ISV)가 앱에 QuickSight 내장형 대시보드를 추가할 때 QuickSight에서 최종 사용자를 프로비저닝할 필요가 없으며 대시보드가 누구인지에 따라 데이터를 필터링하도록 태그를 설정하기만 하면 됩니다. 제공됩니다. 예를 들어, ISV가 앱 고객 20,000명의 100명의 사용자와 공유할 대시보드를 설정하고 고객 내의 모든 사용자가 동일한 데이터에 액세스할 수 있도록 하려는 경우 이 새로운 기능을 통해 단일 대시보드를 공유할 수 있습니다. QuickSight에서 20,000명의 사용자를 설정하거나 관리할 필요 없이 모든 사용자
태그를 사용하여 시행되는 RLS는 각 최종 사용자가 자신과 관련된 데이터만 볼 수 있도록 하는 반면, QuickSight는 사용자 동시성을 충족하도록 자동으로 확장되어 모든 최종 사용자가 지속적으로 빠른 성능을 볼 수 있도록 합니다. 이번 포스트에서는 어떻게 구현할 수 있는지 살펴보겠습니다.
솔루션 개요
사용자 프로비저닝 없이 대시보드를 삽입하기 위해 API를 사용합니다. 익명사용자를 위한 EmbedURL 생성, QuickSight와 함께 작동 세션 용량 가격. 이 API를 사용하여 포함 서버(SaaS 앱의 논리)는 대시보드가 표시되는 사용자의 ID를 결정하고 관리합니다(이 ID는 QuickSight 내에서 프로비저닝 및 관리됨).
다음 다이어그램은 태그가 있는 RLS를 사용하여 애플리케이션에 액세스하는 사람을 기반으로 데이터를 보호하는 내장된 대시보드의 예제 워크플로를 보여줍니다.
이 경우 ISV에는 두 명의 최종 사용자가 액세스하는 SaaS 애플리케이션이 있습니다. 하나는 관리자이고 다른 하나는 사이트 감독자입니다. 두 사용자 모두 동일한 애플리케이션과 애플리케이션에 내장된 동일한 QuickSight 대시보드에 액세스하며 QuickSight에서 프로비저닝되지 않습니다. 사이트 관리자가 대시보드에 액세스하면 자신의 사이트와 관련된 데이터만 볼 수 있고 관리자가 대시보드에 액세스하면 관리하는 모든 사이트와 관련된 데이터가 표시됩니다.
이 동작을 달성하기 위해 태그를 사용하여 행 수준 보안을 구성할 수 있는 새로운 기능을 사용합니다. 포함된 대시보드에서 데이터를 보호하는 이 방법은 대시보드가 사용자 프로비저닝 없이 포함된 경우에만 작동합니다. 익명 임베딩). 이 프로세스에는 다음 두 단계가 포함됩니다.
- 대시보드를 구축하는 데 사용되는 데이터 세트의 열에 태그 키를 설정합니다.
- 대시보드를 익명으로 포함할 때 런타임 시 태그 키에 대한 값을 설정합니다.
대시보드를 구축하는 데 사용되는 데이터 세트의 열에 태그 키 설정
ISV 또는 개발자는 CreateDataset
or UpdateDataset
다음과 같은 API:
앞의 예제 코드에서 row-level-permission-tag-configuration
데이터 세트의 열에서 태그 키를 정의하는 데 사용할 수 있는 요소입니다. 각 태그에 대해 다음 선택적 항목을 정의할 수 있습니다.
- 태그다중값구분자 – 이 옵션을 열에 설정하면 런타임 시 둘 이상의 값을 태그에 전달할 수 있으며 값은 이 옵션에 대해 설정된 문자열로 구분됩니다. 이 샘플에서는 쉼표가 구분 기호 문자열로 설정됩니다.
- 모든 값 일치 – 이 옵션을 열에 설정하면 런타임 시 열의 모든 값을 전달할 수 있으며 값은 이 옵션에 대해 설정된 문자열로 표시됩니다. 이 샘플에서는 별표가 모두 일치 문자열로 설정됩니다.
태그를 정의한 후 다음을 사용하여 이러한 규칙을 활성화하거나 비활성화할 수 있습니다. Status
API의 요소. 이 경우 값은 다음으로 설정됩니다. ENABLED
. 규칙을 비활성화하려면 값은 DISABLED
. 태그가 활성화되면 런타임 시 태그에 값을 전달하여 대시보드에 액세스하는 사람에 따라 표시되는 데이터를 보호할 수 있습니다.
각 데이터 세트는 최대 50개의 태그 키를 가질 수 있습니다.
에 대해 다음과 같은 응답을 받았습니다. CreateDataset
or UpdateDataset
API :
작성자가 분석을 작성할 때 태그 키로 보호되는 데이터에 액세스할 수 있습니다.
데이터 세트에서 태그 키가 설정되고 활성화되면 보안이 유지됩니다. 이 데이터 세트를 사용하여 대시보드를 작성할 때 작성자에게는 데이터가 표시되지 않습니다. 대시보드를 작성할 때 데이터세트의 데이터를 볼 수 있는 권한이 부여되어야 합니다. QuickSight 작성자에게 데이터 세트의 데이터를 볼 수 있는 권한을 부여하려면 권한 파일 또는 규칙 데이터 세트를 생성하십시오. 자세한 내용은 다음을 참조하십시오. 행 수준 보안을 위한 데이터 세트 규칙 만들기. 다음은 예제 규칙 데이터 세트입니다.
사용자 이름 | 컬럼_이름_1 | 컬럼_이름_2 | 컬럼_이름_3 |
관리자/샘플 작성자 |
이 샘플 데이터 세트에는 UserName 열에 작성자의 사용자 이름이 나열되어 있습니다. 다른 세 열은 태그 키를 설정한 데이터 세트의 열입니다. 이 테이블에 추가된 작성자의 열에 대한 값은 비어 있습니다. 이를 통해 작성자는 분석을 작성할 때 제한 없이 이러한 열의 모든 데이터를 볼 수 있습니다.
대시보드 내장 시 런타임 시 태그 키에 값 설정
데이터 세트의 열에 대해 태그 키를 설정한 후 개발자는 대시보드를 포함할 때 런타임 시 키에 값을 설정합니다. 개발자가 API 호출 GenerateDashboardEmbedURLForAnonymousUser
대시보드를 포함하고 요소의 태그 키에 값을 전달하기 위해 SessionTags
, 다음 예제 코드와 같이
이 기능은 QuickSight에서 프로비저닝되지 않은 사용자의 데이터를 보호하기 때문에 API 호출은 AnonymousUser
따라서 이 기능은 API에서만 작동합니다. GenerateDashboardEmbedURLForAnonymousUser
.
앞의 예제 코드에는 다음 구성 요소가 있습니다.
- 럭셔리
tag_name_1
, 두 값을 설정합니다(value1
과value2
)을 사용하여TagMultiValueDelimiter
태그 키(이 경우 쉼표)를 설정할 때 정의됩니다. - 럭셔리
tag_name_2
, 하나의 값을 별표로 설정합니다. 이렇게 하면 별표를MatchAllValue
이전에 열에 태그 키를 설정할 때. - 럭셔리
tag_name_3
, 하나의 값을 설정합니다(value3
).
API 응답 정의
API의 응답에는 EmbedURL
, Status
및 RequestID
. 이 URL을 HTML 페이지에 삽입할 수 있습니다. 이 대시보드의 데이터는 임베딩 API 호출 시 태그 키에 전달된 값을 기반으로 보안됩니다. GenerateDashboardEmbedURLForAnonymousUser
:
- EmbedUrl(문자열) – 대시보드를 내장하기 위해 서버 측 웹 페이지에 넣을 수 있는 일회용 URL입니다. 이 URL은 5분 동안 유효합니다. API 작업은 URL에
auth_code
최대 10시간 동안 유효한 사용자 세션에 대한 하나의 사인온을 활성화하는 값입니다. 이 URL은 RLS 태그 키에 대해 설정된 값을 기반으로 적용된 RLS 규칙으로 대시보드를 렌더링합니다. - 상태(정수) – 요청의 HTTP 상태.
- 요청 ID(문자열) – 이 작업에 대한 AWS 요청 ID입니다.
세분화 된 액세스 제어
동적 사용을 통해 세분화된 액세스 제어를 달성할 수 있습니다. AWS 자격 증명 및 액세스 관리 (IAM) 정책 생성. 자세한 내용은 다음을 참조하십시오. 동적으로 생성된 IAM 정책으로 SaaS 테넌트 격리. 사용할 때 GenerateEmbedUrlForAnonymousUser
임베딩용 API를 사용하려면 IAM 정책에서 두 가지 리소스 유형, 즉 익명 사용자가 가상으로 속한 네임스페이스 ARN과 다음에서 사용할 수 있는 대시보드 ARN을 언급해야 합니다. AuthorizedResourceArns
입력 매개변수 값. 이 API를 사용하여 생성된 세션은 승인된 리소스 및 네임스페이스와 공유되는 리소스(대시보드)에 액세스할 수 있습니다.
익명 사용자는 네임스페이스의 일부이므로 네임스페이스를 통해 명시적으로 전달되는지 여부에 관계없이 네임스페이스와 공유되는 모든 대시보드에 액세스할 수 있습니다. AuthorizedResourceArns
매개 변수입니다.
호출자 ID가 모든 사용자 및 대시보드에 대한 URL을 생성할 수 있도록 하려면 Resource
정책 차단을 다음으로 설정할 수 있습니다. *
. 호출자 ID가 특정 네임스페이스(예: Tenant1
) Resource
정책의 일부를 다음과 같이 설정할 수 있습니다. arn:aws:quicksight:us-east-1:<YOUR_AWS_ACCOUNT_ID>:namespace/Tenant1
. 대시보드 ID도 마찬가지입니다. 동적 정책 생성의 경우 네임스페이스 및 사용자에 대한 자리 표시자를 사용할 수도 있습니다.
다음 코드는 IAM 정책의 예입니다.
유스 케이스
OkTank는 의료 분야의 ISV입니다. 그들은 수익을 관리하기 위해 국가의 여러 지역에 있는 여러 병원에서 사용하는 SaaS 애플리케이션을 보유하고 있습니다. OkTank에는 수천 명의 의료 직원이 애플리케이션에 액세스하고 있으며 애플리케이션의 QuickSight 대시보드에 비즈니스와 관련된 작업이 내장되어 있습니다. OkTank는 QuickSight에서 사용자를 별도로 관리하기를 원하지 않으며, 어느 병원에서 어떤 사용자가 애플리케이션에 액세스하는지에 따라 데이터를 보호하고자 합니다. OkTank는 태그를 사용하는 행 수준 보안을 사용하여 런타임에 대시보드의 데이터를 보호합니다.
OkTank는 Central, East, South 및 West 지역에 병원(North Hospital, South Hospital 및 Downtown Hospital)을 보유하고 있습니다.
이 예에서 다음 사용자는 OkTank의 애플리케이션 및 내장된 대시보드에 액세스합니다. 각 사용자에게는 대시보드에서 액세스할 수 있는 데이터를 정의하는 특정 수준의 제한 규칙이 있습니다. PowerUser
모든 병원과 지역의 데이터를 볼 수 있는 슈퍼 유저입니다.
OkTank의 애플리케이션 사용자 | 병원 | 지역 |
북부 사용자 | 노스 병원 | 중부 및 동부 |
노스어드민 | 노스 병원 | 모든 지역 |
남쪽사용자 | 사우스 병원 | 남쪽 |
사우스어드민 | 사우스 병원 | 모든 지역 |
파워유저 | 모든 병원 | 모든 지역 |
이러한 사용자는 QuickSight에서 프로비저닝되지 않았습니다. OkTank는 자체 애플리케이션에서 이러한 사용자를 관리하므로 각 사용자가 속한 지역과 병원을 알고 있습니다. 이러한 사용자가 애플리케이션에 내장된 QuickSight 대시보드에 액세스할 때 OkTank는 사용자가 자신의 지역 및 병원에 대한 데이터만 볼 수 있도록 대시보드의 데이터를 보호해야 합니다.
먼저 OkTank는 대시보드를 구동하는 데 사용하는 데이터 세트에 태그 키를 생성했습니다. 그들의 UpdateDataset
API 호출, RowLevelPermissionTagConfiguration
데이터 세트의 요소는 다음과 같습니다.
둘째, 런타임에 대시보드를 포함할 때 GenerateDashboardEmbedURLForAnonymousUser
API, 설정 SessionTags
각 사용자에 대해.
SessionTags
for
NorthUser
FBI 증오 범죄 보고서 GenerateDashboardEmbedURLForAnonymousUser
API 호출은 다음과 같습니다.
SessionTags
for
NorthAdmin
다음과 같습니다 :
SessionTags
for
SouthUser
다음과 같습니다 :
SessionTags
for
SouthAdmin
다음과 같습니다 :
SessionTags
for
PowerUser
다음과 같습니다 :
다음 스크린샷은 SouthUser
남부 지역의 남부 병원과 관련된 참조.
다음 스크린샷은 SouthAdmin
모든 지역의 남부 병원과 관련된 참조.
다음 스크린샷은 PowerUser
모든 지역의 모든 병원에 해당하는 것을 봅니다.
세션 태그를 기반으로 OkTank는 각 사용자가 액세스에 따라 특정 데이터만 볼 수 있도록 내장된 대시보드의 데이터를 보호했습니다. 당신은 할 수 있습니다 대시보드에 액세스 사용자 중 한 명으로(오른쪽 상단의 드롭다운 메뉴에서 사용자 변경) 선택한 사용자에 따라 데이터가 어떻게 변경되는지 확인합니다.
전반적으로 OkTank는 태그를 사용하는 행 수준 보안을 통해 SaaS 애플리케이션 내에서 강력한 분석 경험을 제공할 수 있으며 QuickSight에서 사용자를 프로비저닝하고 관리할 필요 없이 각 사용자가 적절한 데이터만 볼 수 있도록 합니다. QuickSight는 이전에는 몇 주 또는 몇 달이 아니라 며칠 만에 설정하고 프로덕션으로 롤아웃할 수 있는 확장성이 뛰어난 안전한 분석 옵션을 제공합니다.
결론
QuickSight에 프로비저닝되지 않은 사용자를 위한 임베딩 대시보드와 태그를 사용하는 행 수준 보안의 조합을 통해 개발자와 ISV는 인프라 설정이나 관리 없이 애플리케이션 사용자를 위한 정교한 맞춤형 분석을 쉽고 빠르게 설정할 수 있으며 수백만 명의 사용자로 확장할 수 있습니다. . 더 많은 업데이트는 QuickSight 임베디드 분석참조 Amazon QuickSight 사용 설명서의 새로운 기능.
저자에 관하여
라지 시바수브라마니암 분석에 중점을 둔 AWS의 전문 솔루션 설계자입니다. Raji는 Fortune지 선정 20대 기업 및 Fortune지 선정 500대 기업을 위한 엔드투엔드 엔터프라이즈 데이터 관리, 비즈니스 인텔리전스 및 분석 솔루션을 설계하는 데 100년의 경험을 가지고 있습니다. 그녀는 관리 시장, 의사 타겟팅 및 환자 분석을 포함한 다양한 의료 데이터 세트를 사용하여 통합 의료 데이터 및 분석에 대한 심층적인 경험을 가지고 있습니다. 여가 시간에 Raji는 하이킹, 요가, 정원 가꾸기를 즐깁니다.
스리칸트 바헤티 Amazon QuickSight의 전문 World Wide Sr. 솔루션 설계자입니다. 그는 컨설턴트로 경력을 시작했으며 여러 민간 및 정부 기관에서 근무했습니다. 나중에 그는 PerkinElmer Health and Sciences & eResearch Technology Inc에서 근무하면서 트래픽이 많은 웹 애플리케이션, AWS 서비스 및 서버리스 컴퓨팅을 사용하는 보고 플랫폼을 위한 확장성과 유지 관리가 용이한 데이터 파이프라인을 설계 및 개발하는 일을 담당했습니다.
카림 사이드-모하메드 Amazon QuickSight의 제품 관리자입니다. 그는 임베디드 분석, API 및 개발자 경험에 중점을 둡니다. QuickSight에 합류하기 전에는 AWS Marketplace 및 Amazon 소매업에서 PM으로 근무했습니다. Kareem은 개발자로 경력을 시작한 후 콜센터 기술, 지역 전문가 및 Expedia 광고 PM으로 경력을 시작했습니다. 그는 잠시 동안 McKinsey and Company에서 컨설턴트로 일했습니다.
- '
- "
- &
- 000
- 100
- 11
- ACCESS
- 계정
- 동작
- 광고
- All
- 아마존
- 분석
- API를
- API
- 앱
- 어플리케이션
- 어플리케이션
- 앱
- 작성자
- AWS
- 빌드
- 사업
- 비즈니스 인텔리전스
- 전화
- 생산 능력
- 채용
- 암호
- 단
- 기업
- 회사
- 컴퓨팅
- 컨설턴트
- 고객
- 계기반
- 데이터
- 데이터 관리
- 개발자
- 개발자
- 도심
- 직원
- Enterprise
- 경험
- FAST
- 특색
- Government
- 건강
- 건강 관리
- 여기에서 지금 확인해 보세요.
- 높은
- 하이킹
- 병원
- 병원
- 방법
- HTTPS
- IAM
- 통합 인증
- 포함
- 정보
- 인프라
- 인텔리전스
- 대화형
- IT
- 키
- 키
- 레벨
- 지방의
- 유튜브 영상을 만드는 것은
- 구축
- 시장
- 시장
- 경기
- 개월
- 새로운 기능
- North
- 행정부
- 선택권
- 기타
- 성능
- 내과 의사
- 플랫폼
- 정책
- 힘
- 사설
- 프로덕트
- 생산
- 의지
- 자료
- 응답
- 소매
- 수익
- 롤
- 규칙
- SaaS는
- 스케일링
- 과학
- 보안
- 보고
- 선택된
- 서버리스
- 서비스
- 세트
- 설정
- 공유
- 공유
- 짧은
- 사이트
- So
- 소프트웨어
- 솔루션
- 남쪽
- 스페이스 버튼
- 시작
- 성명서
- Status
- 기술
- Technology
- 시간
- 상단
- 교통
- 업데이트
- 사용자
- 가치
- 웹
- 웹 애플리케이션
- West
- 누구
- 이내
- 워크플로우
- 일
- 세계
- 년
- 요가