Çok sayıda kullanıcı ve ekip ve hassas bilgiler içeren büyük bir iş zekası (BI) projesi, çok yönlü bir güvenlik mimarisi gerektirir. Bu tür bir mimari, BI yöneticilerine ve mimarlara, kullanıcıların erişebileceği bilgi miktarını en aza indirme yeteneği sağlamalıdır. Yönetmek için basit bir çözüm için Amazon QuickSight kullanıcı ve varlık erişim izinlerini kullanabilirsiniz. AWS Komut Satırı Arayüzü (AWS CLI) veya AWS Yönetim Konsolu QuickSight kullanıcı rolünü ve pano erişimini manuel olarak düzenlemek için. Ancak, belirli durumlarda, bir kuruluş kolayca yüzlerce veya binlerce kullanıcıya ve gruba sahip olabilir ve bu erişim yönetimi yöntemleri verimli değildir. Merkezi bir QuickSight güvenlik mimarisini dağıtmak ve yönetmek için gelişmiş bir programlanabilir yaklaşım sağlamaya yönelik çok sayıda talep aldık.
Bu gönderi, QuickSight kimlik doğrulaması ve yetkilendirme ayrıntılı erişim denetimi için en iyi uygulamaları açıklar ve bir merkezi bulut uygulaması sağlar. AWS Bulut Geliştirme Kiti (AWS CDK) yığını indirmek için. Çözümümüzün avantajlarından biri, kuruluşların AWS'den ayrılmadan BI'larının erişim denetimini yönetmek için güvenlik çerçevesini dağıtabilmesidir.
Tüm konfigürasyonlar şuraya kaydedilir: AWS Systems Manager Parametre Deposu. Parametre Deposu, yapılandırma veri yönetimi ve gizli dizi yönetimi için güvenli, hiyerarşik depolama sağlar. Kullanıcı adı, kullanıcı izinleri, parolalar ve veritabanı dizeleri gibi verileri parametre değerleri olarak saklayabilirsiniz. referans verebilirsiniz AWS Sistem Yöneticisi parametreleri, parametreyi oluştururken belirttiğiniz benzersiz adı kullanarak komut dosyalarınızdaki ve yapılandırma ve otomasyon iş akışlarınızdaki.
AWS CDK uygulama şablonu, sürekli entegrasyon ve sürekli dağıtım (CI/CD) altyapısına uyar ve AWS tarafından öngörülen tanımlanmış bir politikaya dayalı olarak tüm kimlik doğrulama ve yetkilendirmeleri verir veya iptal eder. Bu, BI geliştiricileri veya yöneticileri tarafından yapılan olası insan hatalarını önler. BI geliştiricileri, son kullanıcılara yeni panolar sunmak için yapılandırma parametrelerini düzenleyebilir. Aynı zamanda, BI yöneticileri, kullanıcıları veya grupları yönetmek için başka bir parametre grubunu düzenleyebilir. Bu AWS CDK CI/CD tasarımı, BI uygulamaları oluşturma ve dağıtmada otomasyonu zorunlu kılarak geliştirme ve operasyon etkinlikleri arasındaki boşlukları kapatır.
Güvenlik gereksinimleri
Kurumsal BI uygulama tasarımında, çoklu kiracılık, tek bir altyapı ile birden çok kullanıcı grubuna hizmet veren yaygın bir kullanım durumudur. Kiracılar, bağımsız bir yazılım satıcısının (ISV) farklı müşterileri veya bir işletmenin farklı departmanları olabilir. Çok kiracılı bir tasarımda, her kiracı panoları, analizleri ve diğer QuickSight varlıklarını paylaşır. Aynı kiracıya ait diğer tüm kullanıcıları görebilen her kullanıcı (örneğin, içerik paylaşırken), diğer kiracılara görünmez kalır. Her kiracı içinde, BI yönetici ekibi, varlık erişim izinleri ve ayrıntılı düzeyde veri erişimi dahil olmak üzere veri yetkilendirmesini kontrol etmek için farklı kullanıcı grupları oluşturmalıdır.
Varlık erişim izinlerinin bazı kullanım durumlarını ayrıntılı olarak tartışalım. Bir BI uygulamasında, farklı varlıklar genellikle iş alanlarına (operasyonel gösterge panosu veya yönetici özeti panosu gibi) ve veri sınıflandırmasına (kritik, son derece gizli, yalnızca dahili ve genel) göre kategorilere ayrılır. Örneğin, satış sonuçları verilerini analiz etmek için iki panonuz olabilir. Her iki gösterge panosunun görünümü ve hissi benzerdir, ancak verilerin güvenlik sınıflandırması farklıdır. Sales Critical Dashboard adlı bir pano, kritik sütunlar ve veri satırları içerir. Son Derece Gizli Satış Panosu olarak adlandırılan diğer pano, oldukça gizli sütunlar ve veri satırları içerir. Bazı kullanıcılara her iki gösterge panosunu görüntüleme izni verilirken, diğerlerine daha düşük güvenlik düzeyi izni verilir ve yalnızca Satış Son Derece Gizli Gösterge Tablosuna erişebilir.
Aşağıdaki kullanım durumunda, ayrıntılı düzeyde veri erişimini şu şekilde ele alıyoruz:
- Satır düzeyinde erişim (RLS) – Sales Critical Dashboard'a erişebilen kullanıcılardan bazıları yalnızca ABD verilerini görüntüleyebilir. Ancak, bazı küresel kullanıcılar ABD ve İngiltere dahil tüm ülkelerin verilerini görüntüleyebilir.
- Sütun düzeyinde erişim (CLS) – Bazı kullanıcılar bir veri kümesinin yalnızca kişisel olarak tanımlanamayan bilgiler (PII) veri sütunlarını görüntüleyebilirken İK ekibi aynı veri kümesinin tüm sütunlarını görüntüleyebilir.
Büyük projelerin tek bir QuickSight hesabında birkaç kiracısı, yüzlerce grubu ve binlerce kullanıcısı olabilir. Veri lideri ekibi, bakım maliyetini ve güvenlik riskini azaltmak için kullanıcı oluşturma ve kimlik doğrulama için tek bir protokol dağıtmak istiyor. Bu gönderide açıklanan mimari ve iş akışı, veri liderinin bu hedefe ulaşmasına yardımcı olur.
Ek olarak, günlük operasyonda insan hatalarını önlemek için bu güvenlik izinlerinin otomatik olarak verilmesini ve iptal edilmesini ve CI/CD altyapısına uymasını istiyoruz. Ayrıntılar bu yazının devamında açıklanmaktadır.
Mimariye genel bakış
Aşağıdaki şema, bu çözümün QuickSight hesap mimarisini göstermektedir.
- Yazarlar panolar oluşturur ve panoları farklı gruplara yayınlamak için AWS Systems Manager Parameter Store'u günceller
- Yöneticiler, yazarlardan gelen istekleri onaylar
- Yöneticiler, AWS Systems ManagerParameter Store'u düzenleyerek kullanıcı yönetimini (roller, ad alanı) günceller
- DevOps, güncellemeleri AWS CDK ile dağıtıyor
*Gruplar: Nesne erişim izin grupları, nesnelerin sahibini/izleyicisini kontrol eder. RLS/CLS ile birleştirilmiş veri segmenti grupları, veri erişimini kontrol eder.
*Veri kümeleri: Satır düzeyinde güvenlik (RLS) ve sütun düzeyinde güvenlik (CLS) ile kısıtlanmış tüm verileri içerir
Aşağıdaki şema, mimarinin kimlik doğrulama iş akışını göstermektedir:
*QuickSight'ta ilk kez oturum açma: QuickSight kullanıcısı ilk kez oturum açmadan önce kayıtlı değilse, bir okuyucu oluşturulur ve bu okuyucu yalnızca bu hesabın tüm kullanıcılarıyla paylaşılan açılış sayfası panosunu görüntüleyebilir. Açılış sayfası, bu kullanıcının görüntüleyebileceği raporlar listesini sağlar.
Aşağıdaki şema, mimarinin yetkilendirme iş akışını göstermektedir.
Yetkilendirme şeması ayrıntıları:
- Kullanıcı bilgileri (departman, ekip, coğrafi konum) Amazon Redshift, Amazon Athena veya başka herhangi bir veritabanında depolanır. Grup-kullanıcı eşlemesi ile birlikte RLS veritabanları, kontrol veri erişimi için oluşturulmuştur.
- Saatlik izin ataması:
- Grup-çalışan adı (kullanıcı) eşlemeye (membership.csv) ve grup rolü eşlemeye (/qs/console/roles) göre, bir AWS Lambda işlevi gruplar, kayıtlar, kullanıcılar oluşturur, grup üyeleri atar, grup üyeliklerini kaldırır, okuyucuları yükseltir yazara veya yöneticiye atanır ve yazar veya yönetici konumundan okuyucu konumuna düşürülen kullanıcıları siler.
- /qs/config/access içindeki grup-dashboard eşlemeye göre, bir AWS Lambda işlevi, QuickSight gruplarına pano izinlerini günceller.
- Üyelik.csv dosyasındaki grup ad alanı eşlemeye göre, bir AWS Lambda işlevi, belirtilen ad alanında QuickSight grupları oluşturur.
- Nesne erişim izinlerinin ve veri bölümlerinin örnek parametreleri:
- QuickSight kullanıcı rolünün örnek parametreleri:
- Üyelik.csv'nin örnek verileri:
Bu çözümde, çoklu kiracılığı desteklemek için özel ad alanları dağıtılır. bu default
ad alanı bir şirketin tüm dahili kullanıcıları içindir (biz buna OkTank diyoruz). OkTank oluşturur 3rd-Party
harici kullanıcılar için ad alanı. Daha fazla kiracıyı desteklememiz gerekiyorsa, daha fazla özel ad alanı oluşturabiliriz. Varsayılan olarak, AWS hesabı başına 100 ad alanıyla sınırlıyız. Bu sınırı artırmak için QuickSight ürün ekibiyle iletişime geçin. Çoklu kiracılık hakkında daha fazla bilgi için bkz. Amazon QuickSight ile uygulamalara çok kiracılı analitiği katın.
Her ad alanında farklı türde gruplar oluştururuz. Örneğin, default
namespace, biz BI-Admin
ve BI-Developer
için gruplar admin
ve author
kullanıcılar. İçin reader
, varlık erişim izinlerini ve veri erişimini kontrol etmek için iki tür QuickSight grubu dağıtıyoruz: nesne erişim izin grupları ve veri segmenti grupları.
Aşağıdaki tablo, nesne erişim izni gruplarının izinleri nasıl kontrol ettiğini özetler.
Grup ismi | Ad alanı | Izin | notlar |
critical |
Varsayılan | Her iki panoyu da görüntüleyin (kritik verileri ve son derece gizli verileri içeren) | |
highlyconfidential |
Varsayılan | Yalnızca Satışlar İçin Son Derece Gizli Gösterge Tablosunu görüntüleyin | |
BI-Admin |
Varsayılan | Hesap yönetimi ve tüm varlıkları düzenleyin | Kullanıcılar BI-Admin gruba atanır Admin QuickSight kullanıcı rolü. |
BI-Developer |
Varsayılan | Tüm varlıkları düzenle | Kullanıcılar BI-Developer grubuna Yazar QuickSight kullanıcı rolü atanır. |
Power-reader |
Varsayılan | Self servis analiz raporlarını çalıştırmak için tüm varlıkları görüntüleyin ve geçici analiz oluşturun |
Kullanıcılar Ancak bu grup, geçici raporlarını kaydedemez veya paylaşamaz. |
3rd-party |
Varsayılan olmayan ad alanları (3rd-party örneğin ad alanı) |
Yalnızca okuyucularla paylaşabilir (3rd-party-reader grup, örneğin) aynı ad alanında |
Varsayılan olmayan ad alanlarında, varsayılan ad alanındaki kritik gruba benzer başka nesne erişim izin grupları da oluşturabiliriz. |
QuickSight grupları, kullanıcılar ve kullanıcı rolleri hakkında daha fazla bilgi için bkz. Amazon QuickSight İçinde Kullanıcı Erişimini Yönetme, Amazon QuickSight için Kullanıcıları Sağlama, ve Amazon QuickSight nesnelerinin merkezi bir görünümü için yönetim panolarını kullanma.
İle birleştirilmiş ikinci grup türü (veri segmenti grupları), satır düzeyinde güvenlik veri kümeleri ve sütun düzeyinde güvenlik, aşağıdaki tabloda açıklandığı gibi veri erişimini kontrol edin.
Grup ismi | Ad alanı | Izin | kapsam |
USA |
Varsayılan | Herhangi bir gösterge panosunda yalnızca ABD verilerini görüntüleyin | satır düzeyi |
GBR |
Varsayılan | Herhangi bir gösterge panosunda yalnızca İngiltere verilerini görüntüleyin | satır düzeyi |
All countries |
Varsayılan | Tüm ülkelerin verilerini herhangi bir kontrol panelinde görüntüleyin | satır düzeyi |
non-PII |
Varsayılan | Sosyal Güvenlik numaralarını, yıllık geliri ve diğer tüm PII verileri sütunlarını görüntüleyemiyorum | sütun düzeyi |
PII |
Varsayılan | PII verileri dahil tüm sütunları görüntüleyebilir | sütun düzeyi |
Varsayılan olmayan ad alanlarında benzer gruplar kurabiliriz.
Bu farklı gruplar birbiriyle örtüşebilir. Örneğin, bir kullanıcı gruplara aitse USA
, Critical
, ve PII
, ABD verilerini tüm sütunlarla birlikte her iki panoda da görüntüleyebilirler. Aşağıdaki Venn şeması bu gruplar arasındaki ilişkileri göstermektedir.
Özetle, ad alanı, grup, kullanıcı, RLS ve CLS dahil olmak üzere QuickSight özelliklerini birleştirerek çok yönlü bir güvenlik mimarisi tanımlayabiliriz. İlgili tüm konfigürasyonlar Parametre Deposuna kaydedilir. QuickSight kullanıcıları listesi ve grup-kullanıcı eşleme bilgileri bir Amazon Basit Depolama Hizmeti CSV dosyası olarak (Amazon S3) kovası (adlandırılmış membership.csv
). Bu CSV dosyası, LDAP sorgularının çıktı sonuçları olabilir. Birçok AWS Lambda işlevleri, parametreleri ve membership.csv
. Tanımlanan yapılandırmaya göre, Lambda işlevleri grupları, kullanıcıları ve varlık erişim izinlerini oluşturur, günceller veya siler.
Gerekli güvenlik yapılandırmaları tamamlandığında, bir Lambda işlevi, güncellenmiş bilgileri almak ve sonuçları bir S3 klasörüne CSV dosyaları olarak kaydetmek için QuickSight API'lerini çağırır. BI yönetici ekibi bu dosyalarla veri kümeleri oluşturabilir ve sonuçları panolarla görselleştirebilir. Daha fazla bilgi için, bkz Amazon QuickSight nesnelerinin merkezi bir görünümü için yönetim panolarını kullanma ve Kullanım ölçümlerini analiz etmek için Amazon QuickSight'ta bir yönetim konsolu oluşturma.
Ayrıca, Lambda işlevlerinin hataları ve kullanıcı silme olayları, yönetici ekibinin incelemesi için bu S3 klasöründe depolanır.
Otomasyon
Aşağıdaki şema, Lambda işlevlerinin genel iş akışını göstermektedir.
Grupları ve kullanıcıları otomatik olarak oluşturmak ve yapılandırmak için programlanabilir bir yöntem kullanıyoruz. Herhangi bir ad hoc kullanıcı kaydı isteği için (kullanıcının membership.csv
gecikme nedeniyle), kullanıcının kimliği doğrulanabildiği sürece, AWS Kimlik ve Erişim Yönetimi (IAM) rolü quicksight-fed-user
QuickSight okuyucu olarak kendi kendine provizyon. Bu kendi kendine sağlanan okuyucu, yalnızca gösterge tablolarının ve ilgili grupların listesini sağlayan bir açılış sayfası gösterge tablosunu görüntüleyebilir. Pano grubu eşlemeye göre, bu yeni okuyucu, panolara erişmek için belirli bir grubun üyeliğine başvurabilir. Grup sahibi uygulamayı onaylarsa saatlik Lambda işlevleri, bir sonraki çalıştırmalarında yeni kullanıcıyı gruba ekler.
CI/CD ardışık düzeni AWS CDK'den başlar. BI yöneticisi ve yazarı, AWS CDK yığınında yeni panolar veya diğer QuickSight varlıklarını yayınlamak için Sistem Yöneticisi parametrelerini güncelleyebilir granular_access_stack.py
. BI yöneticisi, ad alanları, gruplar veya kullanıcılar oluşturmak, güncellemek veya silmek için aynı yığındaki Systems Manager parametrelerini güncelleyebilir. Ardından DevOps ekibi, bu değişiklikleri Systems Manager parametrelerine veya diğer AWS kaynaklarına uygulamak için güncellenmiş AWS CDK yığınını dağıtabilir. Lambda işlevleri, değişiklikleri ilgili QuickSight hesabına uygulamak için API'leri çağırmak için saatlik olarak tetiklenir.
ölçek
Lambda işlevleri, maksimum 15 dakikalık çalışma süresi ile sınırlandırılmıştır. Bu sınırlamanın üstesinden gelmek için Lambda fonksiyonlarını şuna çevirebiliriz: AWS Tutkal Aşağıdaki üst düzey adımlarla Python kabuğu komut dosyaları:
- İndir Boto3 tekerlek dosyaları pypi.org.
- Tekerlek dosyasını bir S3 kovasına yükleyin.
- Atomic Cüzdanı indirin : Lambda işlevleri ve bunları bir Python betiğinde birleştirin ve bir AWS Glue Python kabuk betiği oluşturun.
- Boto3 tekerlek dosyasının S3 yolunu Python kitaplık yoluna ekleyin. Eklenecek birden fazla dosyanız varsa, bunları virgülle ayırın.
- Bu AWS Glue işini günlük çalışacak şekilde planlayın.
Daha fazla bilgi için bkz: Python'da AWS Glue ETL Komut Dosyalarını Programlayın ve AWS Glue ile Python Kitaplıklarını Kullanma.
Önkoşullar
Bu çözümü uygulamak için aşağıdaki ön koşullara sahip olmanız gerekir:
- QuickSight Enterprise hesabı
- Temel Python bilgisi
- Temel SQL bilgisi
- Temel BI bilgisi
Kaynakları oluşturun
AWS CDK yığınını şu adresten indirerek kaynaklarınızı oluşturun: GitHub repo.
içinde granular_access
klasörü, komutu çalıştırın cdk deploy granular-access
kaynakları dağıtmak için. Daha fazla bilgi için, bkz AWS CDK Giriş Çalıştayı: Python Çalıştayı.
Çözümü dağıtın
AWS CDK yığınını dağıttığınızda, aşağıdaki ekran görüntüsünde gösterildiği gibi beş Lambda işlevi oluşturur.
Yığın ayrıca hesabınızda ek destekleyici kaynaklar oluşturur.
The granular_user_governance
işlevi tarafından tetiklenir Amazon Bulut İzleme olay kuralı qs-gc-everyhour
. Grupların ve kullanıcıların bilgileri dosyada tanımlanır membership.csv
. S3 kova adı parametre deposunda saklanır /qs/config/groups
. Aşağıdaki diyagram bu fonksiyonun akış şemasını göstermektedir.
- Hedefini ayarla
granular_user_governance
başka bir Lambda işlevine,downgrade_user
Ilesource=Asynchronous invocation
vecondition=On Success
.
Aşağıdaki diyagram bu fonksiyonun bir akış şemasıdır.
Yönetici veya Yazar tarafından yönetilen QuickSight varlıklarına kritik erişimin kesilmesini önlemek için, yönetici veya yazar kullanıcıyı silerek ve Lambda işleviyle yeni bir okuyucu kullanıcı oluşturarak bir yönetici veya yazarın rütbesini düşürürüz downgrade_user
. granular_user_governance
işlev, yöneticiyi yazara düşürmeyi veya yazarı yöneticiye yükseltmeyi işler.
- Hedefini ayarla
downgrade_user
Lambda işlevinegranular_access_assets_govenance
ilesource=Asynchronous invocation
vecondition=On Success
.
Aşağıdaki şema, bu işlevin bir akış şemasını göstermektedir.
- Hedefini ayarla
downgrade_user
Lambda işlevinecheck_team_members
ilesource=Asynchronous invocation
vecondition=On Failure
.
The check_team_members
işlevi, ad alanlarını, grupları, kullanıcıları ve varlık bilgilerini almak için QuickSight API'lerini çağırır ve sonuçları S3 klasörüne kaydeder. S3 tuşu monitoring/quicksight/group_membership/group_membership.csv
ve monitoring/quicksight/object_access/object_access.csv
.
Önceki adımın iki çıktı dosyasının yanı sıra, hata günlükleri ve kullanıcı silme günlükleri (günlükler) downgrade_user
) ayrıca kaydedilir monitoring/quicksight
klasör.
- Hedefini ayarla
granular_access_assets_govenance
Lambda işlevinecheck_team_members
ilesource=Asynchronous invocation
vecondition=On Success
orcondition=On Failure
.
Satır düzeyinde güvenlik veri kümeleri oluşturun
Son bir adım olarak, RLS veri kümeleri oluşturuyoruz. Bu, gösterge tablolarını görüntüleyen kullanıcılara göre gösterge tablosu kayıtlarını değiştirmenize olanak tanır.
QuickSight, gösterge panosu veri kümesinden kayıtları alt seçen sistem tarafından yönetilen bir veri kümesi uygulayarak RLS'yi destekler. Mekanizma, yöneticinin aşağıdakilerle birlikte bir filtreleme veri kümesi (RLS veri kümesi) sağlamasına olanak tanır: username
or groupname
giriş yapan kullanıcıya göre otomatik olarak filtrelenen sütunlar. Örneğin, YingWang
QuickSight grubuna aittir BI
, böylece kullanıcı adına karşılık gelen RLS veri kümesinin tüm satırları YingWang
veya grup adı BI
filtre edilir. Kullanıcı adı ve grup adı filtreleri uygulandıktan sonra RLS'de kalan satırlar, aynı adlara sahip sütunları eşleştirerek pano veri kümelerini daha fazla filtrelemek için kullanılır. Satır düzeyinde güvenlik hakkında daha fazla bilgi için bkz. Bir Veri Kümesine Erişimi Kısıtlamak için Satır Düzeyinde Güvenlik (RLS) Kullanma.
Bu çözümde örnek kullanıcı bilgilerini dosyaya aktarıyoruz. membership.csv
, bir S3 kovasında depolanır. Bu dosyada, RLS veri kümesi tanımı için bazı örnek gruplar sağlıyoruz. Bu gruplar, genel mimari tasarımında açıklandığı gibi veri segmenti gruplarıdır. Aşağıdaki ekran görüntüsü bazı grupları ve bu gruplardaki kullanıcıları göstermektedir.
The granular_user_governance
işlevi bu grupları oluşturur ve ilgili kullanıcıları bu grupların üyesi olarak ekler.
RLS veri setini nasıl oluştururuz? Diyelim ki adında bir tablomuz var. employee_information
kuruluşumuzun İK veritabanında. Aşağıdaki ekran görüntüsü bazı örnek verileri göstermektedir.
Göre employee_information
tablo adında bir görünüm oluşturuyoruz. rls
RLS veri seti için. Aşağıdaki SQL koduna bakın:
Aşağıdaki ekran görüntüsü örnek verilerimizi göstermektedir.
Artık tablomuz hazır, aşağıdaki özel SQL ile RLS veri setini oluşturabiliriz:
Aşağıdaki ekran görüntüsü örnek verilerimizi göstermektedir.
grup için quicksight-fed-all-countries
, biz ayarladık username
, country
, ve city
null olarak, bu gruptaki tüm kullanıcıların tüm ülkelerin verilerini görüntüleyebileceği anlamına gelir.
Ülke düzeyi için, yalnızca aşağıdaki bölümde tanımlanan güvenlik kuralları groupname
ve ülke columns
filtrelemek için kullanılır. bu username
ve city
sütunlar null olarak ayarlanır. içindeki kullanıcılar quicksight-fed-usa
grup ABD'nin verilerini ve içindeki kullanıcıları görüntüleyebilir. quicksight-fed-gbr
grup GBR verilerini görüntüleyebilir.
ile her kullanıcı için groupname
null olarak ayarladığınızda, yalnızca kullanıcı adlarına atanan belirli ülke ve şehri görüntüleyebilirler. Örneğin, TerryRigaud
yalnızca ABD'deki Austin verilerini görüntüleyebilir.
QuickSight'ta, bir RLS veri kümesindeki birden çok kural VEYA ile birleştirilir.
Bu çok yönlü RLS kuralları ile kapsamlı bir veri erişim modeli tanımlayabiliriz.
Temizlemek
Gelecekte ücret alınmasını önlemek için, aşağıdaki komutu çalıştırarak oluşturduğunuz kaynakları silin:
Sonuç
Bu gönderi, BI yöneticilerinin QuickSight kimlik doğrulamasını ve yetkilendirme ayrıntılı erişim kontrolünü nasıl tasarlayıp otomatikleştirebileceğini tartıştı. Kapsamlı bir çözüm sağlamak için satır düzeyinde ve sütun düzeyinde güvenlik, gruplar ve ad alanları gibi QuickSight güvenlik özelliklerini birleştirdik. Bu değişiklikleri "BIOps" aracılığıyla yönetmek, QuickSight güvenliğini yönetmek için sağlam, ölçeklenebilir bir mekanizma sağlar. Daha fazla öğrenmek için, QuickSight demosu için kaydolun.
Yazarlar Hakkında
Ying Wang AWS Profesyonel Hizmetlerde Veri ve Analitik Küresel Uzmanlık Uygulamasına sahip Kıdemli Veri Görselleştirme Mühendisidir.
Emir Bar Veya AWS Professional Services'de Baş Veri Mimarıdır. 20 yıllık lider yazılım kuruluşlarının ve veri analizi platformları ve ürünleri geliştirmesinin ardından, şimdi deneyimini büyük kurumsal müşterilerle paylaşıyor ve veri analizlerini bulutta ölçeklendirmelerine yardımcı oluyor.
- "
- &
- 100
- erişim
- erişim yönetimi
- Hesap
- faaliyetler
- Ad
- Ek
- Gizem
- Türkiye
- Amazon
- analiz
- analytics
- API'ler
- Uygulama
- uygulamaları
- mimari
- varlık
- Varlıklar
- austin
- Doğrulama
- yetki
- Otomasyon
- AWS
- AWS Lambda
- İYİ
- en iyi uygulamalar
- sınır
- inşa etmek
- bina
- iş
- iş zekası
- çağrı
- durumlarda
- değişiklik
- yükler
- Şehir
- sınıflandırma
- bulut
- kod
- ortak
- şirket
- içerik
- ülkeler
- Oluşturma
- Müşteriler
- gösterge paneli
- veri
- veri erişim
- Veri Analizi
- veri yönetimi
- veri goruntuleme
- veritabanı
- veritabanları
- Talep
- Dizayn
- yıkmak
- ayrıntı
- geliştiriciler
- gelişme
- DevOps
- etki
- mühendis
- kuruluş
- kurumsal müşteriler
- Etkinlikler
- olaylar
- yürütme
- ihracat
- Özellikler
- filtreler
- Ad
- ilk kez
- uygun
- iskelet
- işlev
- gelecek
- Küresel
- yardımlar
- grup
- Ne kadar
- hr
- HTTPS
- Yüzlerce
- IAM
- Kimlik
- Dahil olmak üzere
- Gelir
- Artırmak
- bilgi
- Altyapı
- bütünleşme
- İstihbarat
- IT
- İş
- kaydol
- anahtar
- bilgi
- açılış sayfası
- büyük
- ldap
- önemli
- ÖĞRENİN
- seviye
- Kütüphane
- Sınırlı
- çizgi
- Liste
- yer
- Uzun
- yönetim
- Üyeler
- isimleri
- sayılar
- sipariş
- Diğer
- Diğer
- sahip
- şifreleri
- model
- pii
- Platformlar
- politika
- Anapara
- PLATFORM
- Ürünler
- proje
- Projeler
- halka açık
- Python
- Okuyucu
- okuyucular
- kayıtlar
- azaltmak
- kayıtlar
- İlişkiler
- Raporlar
- Yer Alan Kurallar
- Kaynaklar
- Sonuçlar
- yorum
- Risk
- kurallar
- koşmak
- koşu
- satış
- ölçek
- güvenlik
- Self servis
- Hizmetler
- set
- paylaş
- Paylar
- Kabuk
- Basit
- So
- Sosyal Medya
- Software
- SQL
- hafızası
- mağaza
- destek
- Destekler
- Sistemler
- zaman
- Uk
- sendikasının
- Güncelleme
- Güncellemeler
- us
- Amerika Birleşik Devletleri
- kullanıcılar
- Görüntüle
- görüntüleme
- haftalık
- tekerlek
- DSÖ
- içinde
- iş akışı
- yıl