Duży projekt Business Intelligence (BI), obejmujący wielu użytkowników i zespoły oraz wrażliwe informacje, wymaga wieloaspektowej architektury bezpieczeństwa. Taka architektura powinna zapewniać administratorom i architektom BI możliwość minimalizacji ilości informacji dostępnych dla użytkowników. Aby uzyskać proste rozwiązanie do zarządzania Amazon QuickSight uprawnienia dostępu użytkowników i zasobów, możesz użyć Interfejs wiersza poleceń AWS (AWS CLI) lub Konsola zarządzania AWS aby ręcznie edytować rolę użytkownika QuickSight i dostęp do pulpitu nawigacyjnego. Jednak w określonych przypadkach przedsiębiorstwo może z łatwością mieć setki lub tysiące użytkowników i grup, a te metody zarządzania dostępem nie są wydajne. Otrzymaliśmy dużą liczbę próśb o zapewnienie zaawansowanego, programowalnego podejścia do wdrażania i zarządzania scentralizowaną architekturą zabezpieczeń QuickSight.
W tym poście opisano najlepsze praktyki dotyczące szczegółowej kontroli dostępu do uwierzytelniania i autoryzacji QuickSight oraz przedstawiono scentralizowaną aplikację w chmurze z funkcją Zestaw programistyczny AWS Cloud (AWS CDK) do pobrania. Jedną z zalet naszego rozwiązania jest to, że przedsiębiorstwa mogą wdrożyć ramy bezpieczeństwa do administrowania kontrolą dostępu do swojego BI bez opuszczania AWS.
Wszystkie konfiguracje są zapisywane w pliku Magazyn parametrów menedżera systemów AWS. Magazyn parametrów zapewnia bezpieczne, hierarchiczne przechowywanie danych konfiguracyjnych i zarządzanie sekretami. Możesz przechowywać dane, takie jak nazwa użytkownika, uprawnienia użytkownika, hasła i ciągi bazy danych, jako wartości parametrów. Możesz się odwołać Menedżer systemów AWS parametrów w skryptach oraz przepływach pracy związanych z konfiguracją i automatyzacją, używając unikalnej nazwy określonej podczas tworzenia parametru.
Szablon aplikacji AWS CDK pasuje do infrastruktury ciągłej integracji i ciągłego wdrażania (CI/CD) i przyznaje lub odwołuje wszystkie uwierzytelnienia i autoryzacje w oparciu o zdefiniowaną politykę określoną przez AWS. Pozwala to uniknąć ewentualnych błędów ludzkich popełnianych przez programistów lub administratorów BI. Programiści BI mogą edytować parametry konfiguracyjne, aby udostępnić użytkownikom końcowym nowe dashboardy. Jednocześnie administratorzy BI mogą edytować inny zestaw parametrów do zarządzania użytkownikami lub grupami. Ten projekt CI/CD AWS CDK wypełnia luki pomiędzy działaniami programistycznymi i operacyjnymi, wymuszając automatyzację tworzenia i wdrażania aplikacji BI.
Wymagania bezpieczeństwa
W projektowaniu aplikacji BI dla przedsiębiorstw częstym przypadkiem użycia jest wielodostępność, która obsługuje wiele zestawów użytkowników za pomocą jednej infrastruktury. Najemcami mogą być różni klienci niezależnego dostawcy oprogramowania (ISV) lub różne działy przedsiębiorstwa. W projekcie wielodostępnym każdy najemca udostępnia pulpity nawigacyjne, analizy i inne zasoby QuickSight. Każdy użytkownik, który widzi wszystkich innych użytkowników należących do tego samego dzierżawcy (na przykład podczas udostępniania treści), pozostaje niewidoczny dla innych dzierżawców. W ramach każdej dzierżawy zespół administratorów BI musi utworzyć różne grupy użytkowników, aby kontrolować autoryzację danych, w tym uprawnienia dostępu do zasobów i dostęp do danych na poziomie szczegółowym.
Omówmy szczegółowo niektóre przypadki użycia uprawnień dostępu do zasobów. W aplikacji BI różne zasoby są zwykle kategoryzowane według domen biznesowych (takich jak pulpit operacyjny lub pulpit podsumowujący) i klasyfikacji danych (krytyczne, wysoce poufne, tylko wewnętrzne i publiczne). Na przykład możesz mieć dwa dashboardy do analizowania danych o wynikach sprzedaży. Wygląd i sposób działania obu pulpitów nawigacyjnych są podobne, ale klasyfikacja zabezpieczeń danych jest inna. Jeden pulpit nawigacyjny o nazwie Sales Critical Dashboard zawiera najważniejsze kolumny i wiersze danych. Drugi pulpit nawigacyjny, zwany Panelem sprzedażowym o wysokim stopniu poufności, zawiera kolumny i wiersze danych o wysokim stopniu poufności. Niektórzy użytkownicy mają uprawnienia do przeglądania obu pulpitów nawigacyjnych, a inni mają uprawnienia o niższym poziomie bezpieczeństwa i mogą uzyskać dostęp jedynie do pulpitu nawigacyjnego o wysokim stopniu poufności sprzedaży.
W następującym przypadku użycia dostęp do danych na poziomie szczegółowym rozwiązujemy w następujący sposób:
- Dostęp na poziomie wiersza (RLS) – W przypadku użytkowników, którzy mają dostęp do panelu Sales Critical Dashboard, niektórzy z nich mogą przeglądać tylko dane z USA. Jednak niektórzy użytkownicy globalni mogą przeglądać dane ze wszystkich krajów, w tym USA i Wielkiej Brytanii.
- Dostęp na poziomie kolumny (CLS) – Niektórzy użytkownicy mogą wyświetlać tylko kolumny zawierające informacje nieosobowe (PII) w zestawie danych, podczas gdy zespół HR może przeglądać wszystkie kolumny tego samego zestawu danych.
Duże projekty mogą mieć kilku dzierżawców, setki grup i tysiące użytkowników na jednym koncie QuickSight. Zespół lidera danych chce wdrożyć jeden protokół do tworzenia i uwierzytelniania użytkowników, aby zmniejszyć koszty utrzymania i ryzyko bezpieczeństwa. Architektura i przepływ pracy opisane w tym poście pomagają liderowi danych osiągnąć ten cel.
Dodatkowo, aby uniknąć błędów ludzkich w codziennej pracy, chcemy, aby te uprawnienia bezpieczeństwa były nadawane i cofane automatycznie i pasowały do infrastruktury CI/CD. Szczegóły wyjaśniono w dalszej części tego wpisu.
Przegląd architektury
Poniższy diagram przedstawia architekturę konta QuickSight tego rozwiązania.
- Autorzy tworzą dashboardy i aktualizują magazyn parametrów AWS Systems Manager, aby udostępnić dashboardy różnym grupom
- Administratorzy zatwierdzają prośby autorów
- Administratorzy aktualizują zarządzanie użytkownikami (role, przestrzeń nazw) poprzez edycję magazynu parametrów AWS Systems Manager
- DevOps wdraża aktualizacje za pomocą AWS CDK
*Grupy: Grupy uprawnień dostępu do obiektów kontrolują właściciela/przeglądającego obiekty. Grupy segmentów danych w połączeniu z RLS/CLS kontrolują dostęp do danych.
*Zbiory danych: Zawiera wszystkie dane, ograniczone zabezpieczeniami na poziomie wiersza (RLS) i zabezpieczeniami na poziomie kolumny (CLS)
Poniższy diagram ilustruje przepływ pracy uwierzytelniania w architekturze:
*Pierwsze logowanie do QuickSight: Jeśli użytkownik QuickSight nie jest zarejestrowany przed pierwszym logowaniem, tworzony jest czytnik i ten czytnik może jedynie przeglądać panel strony docelowej, który jest udostępniany wszystkim użytkownikom tego konta. Strona docelowa zawiera listę raportów, którą może przeglądać ten użytkownik.
Poniższy diagram ilustruje przepływ pracy autoryzacji w architekturze.
Szczegóły schematu autoryzacji:
- Informacje o użytkowniku (dział, zespół, lokalizacja geograficzna) są przechowywane w Amazon Redshift, Amazon Athena lub dowolnej innej bazie danych. W połączeniu z mapowaniem grupowo-użytkownikowym bazy danych RLS służą do kontroli dostępu do danych.
- Przydział uprawnień godzinowych:
- Zgodnie z mapowaniem nazwa-pracownik (użytkownik) grupy (membership.csv) i mapowaniem ról grupowych (/qs/console/roles), funkcja AWS Lambda tworzy grupy, rejestruje, użytkowników, przypisuje członków grupy, usuwa członkostwo w grupach, awansuje czytelników do autora lub administratora i usuwa użytkowników, jeśli zostali zdegradowani z autora lub administratora do czytelnika.
- Zgodnie z mapowaniem panelu kontrolnego grupy w /qs/config/access funkcja AWS Lambda aktualizuje uprawnienia pulpitu nawigacyjnego dla grup QuickSight.
- Zgodnie z mapowaniem przestrzeni nazw grup w pliku Member.csv, funkcja AWS Lambda tworzy grupy QuickSight w określonej przestrzeni nazw.
- Przykładowe parametry uprawnień dostępu do obiektów i segmentów danych:
- Przykładowe parametry roli użytkownika QuickSight:
- Przykładowe dane członkostwa.csv:
W tym rozwiązaniu wdrażane są niestandardowe przestrzenie nazw w celu obsługi wielu dzierżawców. The default
przestrzeń nazw jest przeznaczona dla wszystkich wewnętrznych użytkowników firmy (nazywamy ją OkTank). OkTank tworzy 3rd-Party
przestrzeń nazw dla użytkowników zewnętrznych. Jeśli będziemy musieli obsługiwać więcej dzierżawców, możemy utworzyć więcej niestandardowych przestrzeni nazw. Domyślnie jesteśmy ograniczeni do 100 przestrzeni nazw na konto AWS. Aby zwiększyć ten limit, skontaktuj się z zespołem ds. produktu QuickSight. Aby uzyskać więcej informacji na temat wielodostępności, zobacz Osadzaj analitykę wielu dzierżawców w aplikacjach dzięki Amazon QuickSight.
W każdej przestrzeni nazw tworzymy różne typy grup. Na przykład w default
przestrzeni nazw, tworzymy BI-Admin
i BI-Developer
grupy dla admin
i author
użytkowników. Dla reader
, wdrażamy dwa typy grup QuickSight w celu kontrolowania uprawnień dostępu do zasobów i dostępu do danych: grupy uprawnień dostępu do obiektów i grupy segmentów danych.
Poniższa tabela podsumowuje sposób, w jaki grupy uprawnień dostępu do obiektów kontrolują uprawnienia.
Nazwa grupy | Przestrzeń nazw | pozwolenie | Uwagi |
critical |
Domyślnie | Wyświetl oba pulpity nawigacyjne (zawierające dane krytyczne i dane wysoce poufne) | |
highlyconfidential |
Domyślnie | Wyświetlaj tylko ściśle poufny panel sprzedaży | |
BI-Admin |
Domyślnie | Zarządzanie kontem i edycja wszystkich zasobów | Użytkownicy w BI-Admin grupie przypisano Admin Rola użytkownika QuickSight. |
BI-Developer |
Domyślnie | Edytuj wszystkie zasoby | Użytkownicy w BI-Developer grupie przypisana jest rola użytkownika Autor QuickSight. |
Power-reader |
Domyślnie | Przeglądaj wszystkie zasoby i twórz analizy ad hoc, aby generować samoobsługowe raporty analityczne |
Użytkownicy w Jednak ta grupa nie może zapisywać ani udostępniać swoich raportów ad hoc. |
3rd-party |
Niedomyślne przestrzenie nazw (3rd-party przestrzeń nazw, na przykład) |
Można udostępniać tylko czytelnikom (3rd-party-reader group) w tej samej przestrzeni nazw |
W innych niż domyślne przestrzeniach nazw możemy także tworzyć inne grupy uprawnień dostępu do obiektów, które działają podobnie do grupy krytycznej w domyślnej przestrzeni nazw. |
Aby uzyskać więcej informacji na temat grup QuickSight, użytkowników i ról użytkowników, zobacz Zarządzanie dostępem użytkowników w Amazon QuickSight, Aprowizacja użytkowników dla Amazon QuickSight, Korzystanie z administracyjnych pulpitów nawigacyjnych w celu scentralizowanego widoku obiektów Amazon QuickSight.
Drugi typ grup (grupy segmentów danych) połączony z zabezpieczenia na poziomie wiersza zbiory danych i bezpieczeństwo na poziomie kolumny, kontroluj dostęp do danych zgodnie z opisem w poniższej tabeli.
Nazwa grupy | Przestrzeń nazw | pozwolenie | Zakres |
USA |
Domyślnie | Wyświetlaj tylko dane z USA na dowolnym pulpicie nawigacyjnym | Na poziomie wiersza |
GBR |
Domyślnie | Wyświetlaj tylko dane z Wielkiej Brytanii na dowolnym pulpicie nawigacyjnym | Na poziomie wiersza |
All countries |
Domyślnie | Przeglądaj dane wszystkich krajów na dowolnym panelu | Na poziomie wiersza |
non-PII |
Domyślnie | Nie można wyświetlić numerów ubezpieczenia społecznego, rocznego dochodu ani wszystkich innych kolumn danych umożliwiających identyfikację | Poziom kolumny |
PII |
Domyślnie | Może wyświetlać wszystkie kolumny, w tym dane umożliwiające identyfikację osób | Poziom kolumny |
Podobne grupy możemy skonfigurować w innych niż domyślne przestrzeniach nazw.
Te różne grupy mogą się na siebie nakładać. Na przykład, jeśli użytkownik należy do grup USA
, Critical
, PII
, mogą wyświetlać dane z USA na obu pulpitach nawigacyjnych, ze wszystkimi kolumnami. Poniższy diagram Venna ilustruje relacje pomiędzy tymi grupami.
Podsumowując, możemy zdefiniować wieloaspektową architekturę bezpieczeństwa, łącząc funkcje QuickSight, w tym przestrzeń nazw, grupę, użytkownika, RLS i CLS. Wszystkie powiązane konfiguracje są zapisywane w magazynie parametrów. Lista użytkowników QuickSight i informacje o mapowaniu grup użytkowników znajdują się w pliku Usługa Amazon Simple Storage (Amazon S3) jako plik CSV (o nazwie membership.csv
). Ten plik CSV może stanowić wyjściowe wyniki zapytań LDAP. Kilka AWS Lambda funkcje są zaplanowane do uruchamiania co godzinę (możesz także wywoływać te funkcje na żądanie, np. codziennie, co tydzień lub z dowolną szczegółowością czasu, która odpowiada Twoim wymaganiom), aby odczytać parametry i membership.csv
. Zgodnie ze zdefiniowaną konfiguracją funkcje Lambda tworzą, aktualizują lub usuwają grupy, użytkowników i uprawnienia dostępu do zasobów.
Po zakończeniu niezbędnych konfiguracji zabezpieczeń funkcja Lambda wywołuje interfejsy API QuickSight w celu uzyskania zaktualizowanych informacji i zapisania wyników w zasobniku S3 w postaci plików CSV. Zespół administratorów BI może tworzyć zestawy danych przy użyciu tych plików i wizualizować wyniki za pomocą pulpitów nawigacyjnych. Aby uzyskać więcej informacji, zobacz Korzystanie z administracyjnych pulpitów nawigacyjnych w celu scentralizowanego widoku obiektów Amazon QuickSight i Budowanie konsoli administracyjnej w Amazon QuickSight w celu analizy wskaźników użytkowania.
Ponadto błędy funkcji Lambda i zdarzenia usunięcia użytkownika są przechowywane w tym zasobniku S3, aby zespół administratorów mógł je przejrzeć.
Automatyzacja
Poniższy diagram ilustruje ogólny przebieg funkcji Lambda.
Używamy programowalnej metody do automatycznego tworzenia i konfigurowania grup i użytkowników. W przypadku dowolnego żądania rejestracji użytkownika ad hoc (takiego jak użytkownik nie jest zarejestrowany w membership.csv
jeszcze ze względu na opóźnienia), o ile użytkownik może zostać uwierzytelniony, może założyć AWS Zarządzanie tożsamością i dostępem (IAM) rola quicksight-fed-user
do samodzielnego zaopatrzenia się w czytnik QuickSight. Ten samodzielnie udostępniany czytnik może wyświetlać jedynie pulpit nawigacyjny strony docelowej, który zawiera listę pulpitów nawigacyjnych i odpowiednich grup. Zgodnie z mapowaniem dashboard-group, ten nowy czytelnik może ubiegać się o członkostwo w danej grupie w celu uzyskania dostępu do dashboardów. Jeśli właściciel grupy zatwierdzi aplikację, cogodzinne funkcje Lambda dodadzą nowego użytkownika do grupy przy następnym uruchomieniu.
Potok CI/CD zaczyna się od AWS CDK. Administrator BI i autor mogą aktualizować parametry Systems Manager, aby udostępnić nowe dashboardy lub inne zasoby QuickSight na stosie AWS CDK granular_access_stack.py
. Administrator BI może aktualizować parametry Menedżera systemów na tym samym stosie, aby tworzyć, aktualizować lub usuwać przestrzenie nazw, grupy lub użytkowników. Następnie zespół DevOps może wdrożyć zaktualizowany stos AWS CDK, aby zastosować te zmiany do parametrów Systems Manager lub innych zasobów AWS. Funkcje Lambda są wyzwalane co godzinę w celu wywołania interfejsów API w celu zastosowania zmian na powiązanym koncie QuickSight.
Skala
Funkcje Lambda są ograniczone maksymalnym czasem działania wynoszącym 15 minut. Aby pokonać to ograniczenie, możemy przekonwertować funkcje Lambda na Klej AWS Skrypty powłoki Pythona z następującymi krokami wysokiego poziomu:
- Do pobrania Boto3 pliki kół z pypi.org.
- Prześlij plik koła do wiadra S3.
- Pobierz Funkcje lambda i połącz je w jeden skrypt Pythona i utwórz skrypt powłoki AWS Glue Python.
- Dodaj ścieżkę S3 pliku koła Boto3 do ścieżki biblioteki Pythona. Jeśli chcesz dodać wiele plików, oddziel je przecinkami.
- Zaplanuj codzienne uruchamianie tego zadania klejenia AWS.
Aby uzyskać więcej informacji, zobacz Programuj skrypty ETL AWS w Pythonie i Używanie bibliotek Pythona z klejem AWS.
Wymagania wstępne
Aby wdrożyć to rozwiązanie, musisz spełnić następujące wymagania wstępne:
- Konto QuickSight Enterprise
- Podstawowa znajomość Pythona
- Podstawowa znajomość SQL
- Podstawowa znajomość BI
Utwórz zasoby
Utwórz zasoby, pobierając stos AWS CDK z GitHub repo.
W granular_access
folderze, uruchom polecenie cdk deploy granular-access
rozmieścić zasoby. Aby uzyskać więcej informacji, zobacz Warsztaty wprowadzające do AWS CDK: Warsztaty dotyczące języka Python.
Wdróż rozwiązanie
Po wdrożeniu stosu AWS CDK tworzy się pięć funkcji Lambda, jak pokazano na poniższym zrzucie ekranu.
Stos tworzy również dodatkowe zasoby pomocnicze na Twoim koncie.
Połączenia granular_user_governance
funkcja jest uruchamiana przez Amazon Cloud Watch reguła zdarzenia qs-gc-everyhour
. Informacje o grupach i użytkownikach są zdefiniowane w pliku membership.csv
. Nazwa segmentu S3 jest przechowywana w magazynie parametrów /qs/config/groups
. Poniższy diagram przedstawia schemat blokowy tej funkcji.
- Ustaw miejsce docelowe
granular_user_governance
do innej funkcji Lambda,downgrade_user
Zsource=Asynchronous invocation
icondition=On Success
.
Poniższy diagram przedstawia schemat działania tej funkcji.
Aby uniknąć przerwania krytycznego dostępu do zasobów QuickSight zarządzanych przez administratora lub autora, degradujemy administratora lub autora, usuwając administratora lub autora i tworząc nowego użytkownika-czytnika z funkcją Lambda downgrade_user
, granular_user_governance
funkcja obsługuje zmianę poziomu administratora na autora lub uaktualnienie autora do poziomu administratora.
- Ustaw miejsce docelowe
downgrade_user
do funkcji Lambdagranular_access_assets_govenance
wsource=Asynchronous invocation
icondition=On Success
.
Poniższy diagram przedstawia schemat działania tej funkcji.
- Ustaw miejsce docelowe
downgrade_user
do funkcji Lambdacheck_team_members
wsource=Asynchronous invocation
icondition=On Failure
.
Połączenia check_team_members
Funkcja po prostu wywołuje interfejsy API QuickSight, aby uzyskać informacje o przestrzeniach nazw, grupach, użytkownikach i zasobach, a następnie zapisuje wyniki w segmencie S3. Klucz S3 jest monitoring/quicksight/group_membership/group_membership.csv
i monitoring/quicksight/object_access/object_access.csv
.
Oprócz dwóch plików wyjściowych z poprzedniego kroku, dzienniki błędów i dzienniki usuwania użytkowników (dzienniki plików downgrade_user
) są również zapisywane w pliku monitoring/quicksight
teczka.
- Ustaw miejsce docelowe
granular_access_assets_govenance
do funkcji Lambdacheck_team_members
wsource=Asynchronous invocation
icondition=On Success
orcondition=On Failure
.
Utwórz zestawy danych zabezpieczeń na poziomie wiersza
Na ostatnim etapie tworzymy zbiory danych RLS. Umożliwia to zmianę rekordów pulpitów nawigacyjnych w oparciu o użytkowników przeglądających pulpity nawigacyjne.
QuickSight obsługuje RLS, stosując zbiór danych zarządzany przez system, który wybiera rekordy ze zbioru danych panelu kontrolnego. Mechanizm umożliwia administratorowi udostępnienie zbioru danych filtrujących (zbiór RLS). username
or groupname
kolumny, które są automatycznie filtrowane według zalogowanego użytkownika. Na przykład użytkownik o nazwie YingWang
należy do grupy QuickSight BI
, czyli wszystkie wiersze zbioru danych RLS odpowiadające nazwie użytkownika YingWang
lub nazwa grupy BI
są filtrowane. Wiersze, które pozostają w RLS po zastosowaniu filtrów nazwy użytkownika i grupy, są następnie używane do dalszego filtrowania zestawów danych panelu kontrolnego poprzez dopasowywanie kolumn o tych samych nazwach. Aby uzyskać więcej informacji na temat zabezpieczeń na poziomie wiersza, zobacz Korzystanie z zabezpieczeń na poziomie wiersza (RLS) w celu ograniczenia dostępu do zbioru danych.
W tym rozwiązaniu eksportujemy przykładowe informacje o użytkowniku do pliku membership.csv
, który jest przechowywany w wiadrze S3. W tym pliku udostępniamy kilka przykładowych grup do definicji zbioru danych RLS. Grupy te to grupy segmentów danych, zgodnie z opisem w ogólnym projekcie architektury. Poniższy zrzut ekranu przedstawia niektóre grupy i użytkowników w tych grupach.
Połączenia granular_user_governance
Funkcja tworzy te grupy i dodaje powiązanych użytkowników jako członków tych grup.
Jak tworzymy zbiór danych RLS? Powiedzmy, że mamy tabelę o nazwie employee_information
w bazie HR naszej organizacji. Poniższy zrzut ekranu przedstawia przykładowe dane.
Na podstawie employee_information
tabeli tworzymy widok tzw rls
dla zbioru danych RLS. Zobacz następujący kod SQL:
Poniższy zrzut ekranu przedstawia nasze przykładowe dane.
Teraz mamy już gotową tabelę i możemy utworzyć zbiór danych RLS z następującym niestandardowym kodem SQL:
Poniższy zrzut ekranu przedstawia nasze przykładowe dane.
Dla grupy quicksight-fed-all-countries
, ustawiamy username
, country
, city
jako null, co oznacza, że wszyscy użytkownicy w tej grupie mogą przeglądać dane ze wszystkich krajów.
Na poziomie krajowym obowiązują wyłącznie zasady bezpieczeństwa określone w groupname
i kraj columns
służą do filtrowania. The username
i city
kolumny mają wartość null. Użytkownicy w quicksight-fed-usa
grupa może przeglądać dane z USA i użytkowników w quicksight-fed-gbr
grupa może przeglądać dane GBR.
Dla każdego użytkownika z groupname
ustawione na null, będą mogły wyświetlać tylko konkretny kraj i miasto przypisane do ich nazwy użytkownika. Na przykład, TerryRigaud
może wyświetlać tylko dane z Austin w USA.
W QuickSight wiele reguł w zestawie danych RLS jest łączonych za pomocą OR.
Dzięki tym wieloaspektowym regułom RLS możemy zdefiniować kompleksowy wzorzec dostępu do danych.
Sprzątać
Aby uniknąć przyszłych opłat, usuń utworzone zasoby, uruchamiając następującą komendę:
Wnioski
W tym poście omówiono, w jaki sposób administratorzy BI mogą projektować i automatyzować uwierzytelnianie QuickSight i szczegółową kontrolę dostępu autoryzacyjną. Połączyliśmy funkcje zabezpieczeń QuickSight, takie jak zabezpieczenia na poziomie wierszy i kolumn, grupy i przestrzenie nazw, aby zapewnić kompleksowe rozwiązanie. Zarządzanie tymi zmianami za pomocą „BIOps” zapewnia solidny, skalowalny mechanizm zarządzania bezpieczeństwem QuickSight. Uczyć się więcej, zarejestruj się, aby skorzystać z wersji demonstracyjnej programu QuickSight.
O autorach
Ying Wang jest starszym inżynierem wizualizacji danych w globalnej praktyce specjalistycznej Data & Analytics w AWS Professional Services.
Amira Bara Or jest głównym architektem danych w AWS Professional Services. Po 20 latach kierowania organizacjami zajmującymi się oprogramowaniem oraz opracowywania platform i produktów do analizy danych, obecnie dzieli się swoim doświadczeniem z dużymi klientami korporacyjnymi i pomaga im skalować analitykę danych w chmurze.
- "
- &
- 100
- dostęp
- zarządzanie dostępem
- Konto
- zajęcia
- Ad
- Dodatkowy
- Admin
- Wszystkie kategorie
- Amazonka
- analiza
- analityka
- Pszczoła
- Zastosowanie
- aplikacje
- architektura
- kapitał
- Aktywa
- Austin
- Uwierzytelnianie
- autoryzacja
- Automatyzacja
- AWS
- AWS Lambda
- BEST
- Najlepsze praktyki
- granica
- budować
- Budowanie
- biznes
- business intelligence
- wezwanie
- Etui
- zmiana
- Opłaty
- Miasto
- klasyfikacja
- Chmura
- kod
- wspólny
- sukcesy firma
- zawartość
- kraje
- Tworzenie
- Klientów
- tablica rozdzielcza
- dane
- dostęp do danych
- Analityka danych
- zarządzanie danymi
- Wizualizacja danych
- Baza danych
- Bazy danych
- Kreowanie
- Wnętrze
- zniszczyć
- detal
- deweloperzy
- oprogramowania
- DevOps
- domeny
- inżynier
- Enterprise
- klienci korporacyjni
- wydarzenie
- wydarzenia
- wykonawczy
- eksport
- Korzyści
- filtry
- i terminów, a
- pierwszy raz
- dopasować
- Framework
- funkcjonować
- przyszłość
- Globalne
- Dotacje
- Zarządzanie
- W jaki sposób
- hr
- HTTPS
- Setki
- IAM
- tożsamość
- Włącznie z
- Dochód
- Zwiększać
- Informacja
- Infrastruktura
- integracja
- Inteligencja
- IT
- Praca
- przystąpić
- Klawisz
- wiedza
- strona docelowa
- duży
- ldap
- prowadzący
- UCZYĆ SIĘ
- poziom
- Biblioteka
- Ograniczony
- Linia
- Lista
- lokalizacja
- długo
- i konserwacjami
- Użytkownicy
- Nazwy
- z naszej
- zamówienie
- Inne
- Pozostałe
- właściciel
- hasła
- Wzór
- pii
- Platformy
- polityka
- Główny
- Produkt
- Produkty
- projekt
- projektowanie
- publiczny
- Python
- Czytelnik
- czytelnicy
- dokumentacja
- zmniejszyć
- Rejestracja
- Relacje
- Raporty
- wymagania
- Zasoby
- Efekt
- przeglądu
- Ryzyko
- reguły
- run
- bieganie
- sole
- Skala
- bezpieczeństwo
- Samoobsługa
- Usługi
- zestaw
- Share
- Akcje
- Powłoka
- Prosty
- So
- Obserwuj Nas
- Tworzenie
- SQL
- przechowywanie
- sklep
- wsparcie
- podpory
- systemy
- czas
- Uk
- unia
- Aktualizacja
- Nowości
- us
- USA
- Użytkownicy
- Zobacz i wysłuchaj
- wyobrażanie sobie
- tygodniowy
- Koło
- KIM
- w ciągu
- workflow
- lat