Một dự án kinh doanh thông minh (BI) lớn với nhiều người dùng và nhiều nhóm cũng như thông tin nhạy cảm đòi hỏi một kiến trúc bảo mật đa diện. Kiến trúc như vậy sẽ cung cấp cho quản trị viên BI và kiến trúc sư khả năng giảm thiểu lượng thông tin mà người dùng có thể truy cập. Đối với một giải pháp đơn giản để quản lý Amazon QuickSight quyền truy cập tài sản và người dùng, bạn có thể sử dụng Giao diện dòng lệnh AWS (AWS CLI) hoặc Bảng điều khiển quản lý AWS để chỉnh sửa thủ công vai trò người dùng QuickSight và quyền truy cập bảng điều khiển. Tuy nhiên, trong những trường hợp cụ thể, một doanh nghiệp có thể dễ dàng có hàng trăm hoặc hàng nghìn người dùng và nhóm và các phương pháp quản lý truy cập này không hiệu quả. Chúng tôi đã nhận được một số lượng lớn yêu cầu cung cấp phương pháp tiếp cận có thể lập trình nâng cao để triển khai và quản lý kiến trúc bảo mật QuickSight tập trung.
Bài đăng này mô tả các phương pháp hay nhất để xác thực QuickSight và kiểm soát quyền truy cập chi tiết, đồng thời cung cấp một ứng dụng đám mây tập trung với một Bộ công cụ phát triển đám mây AWS (AWS CDK) để tải xuống. Một trong những ưu điểm của giải pháp của chúng tôi là doanh nghiệp có thể triển khai khung bảo mật để quản lý quyền kiểm soát truy cập BI của họ mà không cần rời khỏi AWS.
Tất cả các cấu hình được lưu trong Cửa hàng thông số trình quản lý hệ thống AWS. Cửa hàng tham số cung cấp bộ lưu trữ an toàn, có thứ bậc để quản lý dữ liệu cấu hình và quản lý bí mật. Bạn có thể lưu trữ dữ liệu như tên người dùng, quyền của người dùng, mật khẩu và chuỗi cơ sở dữ liệu dưới dạng giá trị tham số. Bạn có thể tham khảo Người quản lý hệ thống AWS tham số trong tập lệnh cũng như quy trình cấu hình và tự động hóa của bạn bằng cách sử dụng tên duy nhất mà bạn đã chỉ định khi tạo tham số.
Mẫu ứng dụng CDK của AWS phù hợp với cơ sở hạ tầng tích hợp liên tục và triển khai liên tục (CI/CD), đồng thời cấp hoặc thu hồi tất cả các xác thực và ủy quyền dựa trên chính sách xác định do AWS quy định. Điều này tránh được các lỗi có thể do con người gây ra bởi các nhà phát triển hoặc quản trị viên BI. Nhà phát triển BI có thể chỉnh sửa các tham số cấu hình để phát hành trang tổng quan mới cho người dùng cuối. Đồng thời, quản trị viên BI có thể chỉnh sửa một bộ tham số khác để quản lý người dùng hoặc nhóm. Thiết kế AWS CDK CI/CD này thu hẹp khoảng cách giữa các hoạt động phát triển và vận hành bằng cách thực thi tự động hóa trong việc xây dựng và triển khai các ứng dụng BI.
Yêu cầu bảo mật
Trong thiết kế ứng dụng BI doanh nghiệp, nhiều bên thuê là một trường hợp sử dụng phổ biến, phục vụ nhiều nhóm người dùng với một cơ sở hạ tầng. Người thuê có thể là khách hàng khác nhau của nhà cung cấp phần mềm độc lập (ISV) hoặc các bộ phận khác nhau của doanh nghiệp. Trong thiết kế nhiều bên thuê, mỗi bên thuê chia sẻ bảng thông tin, bản phân tích và các tài sản QuickSight khác. Mỗi người dùng, những người có thể nhìn thấy tất cả những người dùng khác thuộc cùng một đối tượng thuê (ví dụ: khi chia sẻ nội dung), vẫn ẩn đối với những đối tượng thuê khác. Trong mỗi đối tượng thuê, nhóm quản trị BI phải tạo các nhóm người dùng khác nhau để kiểm soát việc ủy quyền dữ liệu, bao gồm quyền truy cập nội dung và quyền truy cập dữ liệu ở cấp độ chi tiết.
Hãy thảo luận chi tiết về một số trường hợp sử dụng quyền truy cập nội dung. Trong ứng dụng BI, các nội dung khác nhau thường được phân loại theo lĩnh vực kinh doanh (chẳng hạn như bảng điều khiển hoạt động hoặc bảng điều khiển tóm tắt điều hành) và phân loại dữ liệu (quan trọng, bảo mật cao, chỉ nội bộ và công khai). Ví dụ: bạn có thể có hai trang tổng quan để phân tích dữ liệu kết quả bán hàng. Giao diện của cả hai bảng điều khiển đều giống nhau, nhưng phân loại bảo mật của dữ liệu là khác nhau. Một trang tổng quan, có tên là Sales Critical Dashboard, chứa các cột và hàng quan trọng của dữ liệu. Bảng điều khiển khác, được gọi là Bảng điều khiển bảo mật cao về bán hàng, chứa các cột và hàng dữ liệu có tính bảo mật cao. Một số người dùng được cấp quyền để xem cả hai bảng điều khiển và những người khác có quyền ở mức bảo mật thấp hơn và chỉ có thể truy cập Bảng điều khiển bán hàng bảo mật cao.
Trong trường hợp sử dụng sau đây, chúng tôi giải quyết quyền truy cập dữ liệu ở cấp độ chi tiết như sau:
- Truy cập cấp hàng (RLS) – Đối với những người dùng có thể truy cập Bảng điều khiển quan trọng về bán hàng, một số người trong số họ chỉ có thể xem dữ liệu của Hoa Kỳ. Tuy nhiên, một số người dùng toàn cầu có thể xem dữ liệu của tất cả các quốc gia, bao gồm cả Hoa Kỳ và Vương quốc Anh.
- Truy cập cấp độ cột (CLS) – Một số người dùng chỉ có thể xem các cột dữ liệu thông tin không nhận dạng cá nhân (PII) của một tập dữ liệu, trong khi nhóm nhân sự có thể xem tất cả các cột của cùng một tập dữ liệu.
Các dự án lớn có thể có nhiều đối tượng thuê, hàng trăm nhóm và hàng nghìn người dùng trong một tài khoản QuickSight. Nhóm lãnh đạo dữ liệu muốn triển khai một giao thức để tạo và xác thực người dùng nhằm giảm chi phí bảo trì và rủi ro bảo mật. Kiến trúc và quy trình làm việc được mô tả trong bài đăng này giúp người lãnh đạo dữ liệu đạt được mục tiêu này.
Ngoài ra, để tránh lỗi của con người trong hoạt động hàng ngày, chúng tôi muốn các quyền bảo mật này được cấp và thu hồi tự động, đồng thời phù hợp với cơ sở hạ tầng CI/CD. Các chi tiết được giải thích sau trong bài viết này.
Tổng quan kiến trúc
Sơ đồ sau đây cho thấy cấu trúc tài khoản QuickSight của giải pháp này.
- Tác giả tạo bảng điều khiển và cập nhật Lưu trữ tham số AWS Systems Manager để phát hành bảng điều khiển cho các nhóm khác nhau
- Quản trị viên phê duyệt các yêu cầu từ các tác giả
- Quản trị viên cập nhật quản lý người dùng (vai trò, không gian tên) bằng cách chỉnh sửa AWS Systems ManagerParameter Store
- DevOps triển khai các bản cập nhật với AWS CDK
*Các nhóm: Các nhóm quyền truy cập đối tượng kiểm soát chủ sở hữu/người xem đối tượng. Nhóm phân đoạn dữ liệu kết hợp với RLS/CLS kiểm soát truy cập dữ liệu.
*Bộ dữ liệu: Chứa tất cả dữ liệu, bị hạn chế bởi bảo mật cấp hàng (RLS) và bảo mật cấp cột (CLS)
Sơ đồ sau đây minh họa quy trình xác thực của kiến trúc:
*Lần đầu đăng nhập QuickSight: Nếu người dùng QuickSight chưa được đăng ký trước khi đăng nhập lần đầu, một trình đọc sẽ được tạo và trình đọc này chỉ có thể xem bảng điều khiển trang đích, bảng điều khiển này sẽ chia sẻ với tất cả người dùng của tài khoản này. Trang đích cung cấp danh sách báo cáo mà người dùng này có thể xem.
Sơ đồ sau đây minh họa quy trình ủy quyền của kiến trúc.
Chi tiết sơ đồ ủy quyền:
- Thông tin người dùng (bộ phận, nhóm, vị trí địa lý) được lưu trữ trong Amazon Redshift, Amazon Athena hoặc bất kỳ cơ sở dữ liệu nào khác. Kết hợp với ánh xạ nhóm người dùng, cơ sở dữ liệu RLS được xây dựng để kiểm soát truy cập dữ liệu.
- Phân quyền hàng giờ:
- Theo ánh xạ tên (người dùng) nhóm-nhân viên (membership.csv) và ánh xạ vai trò nhóm (/qs/console/roles), một hàm AWS Lambda tạo nhóm, đăng ký, người dùng, chỉ định thành viên nhóm, xóa tư cách thành viên nhóm, quảng bá người đọc thành tác giả hoặc quản trị viên và xóa người dùng nếu họ bị hạ cấp từ tác giả hoặc quản trị viên xuống người đọc.
- Theo ánh xạ bảng điều khiển nhóm trong /qs/config/access, một hàm AWS Lambda cập nhật các quyền của bảng điều khiển cho các nhóm QuickSight.
- Theo ánh xạ không gian tên nhóm trong Membership.csv, một hàm AWS Lambda tạo các nhóm QuickSight trong không gian tên đã chỉ định.
- Tham số mẫu của quyền truy cập đối tượng và phân đoạn dữ liệu:
- Các tham số mẫu của vai trò người dùng QuickSight:
- Dữ liệu mẫu của thành viên.csv:
Trong giải pháp này, các không gian tên tùy chỉnh được triển khai để hỗ trợ nhiều bên thuê. Các default
không gian tên dành cho tất cả người dùng nội bộ của một công ty (chúng tôi gọi nó là OkTank). OkTank tạo ra 3rd-Party
không gian tên cho người dùng bên ngoài. Nếu chúng tôi phải hỗ trợ nhiều đối tượng thuê hơn, chúng tôi có thể tạo nhiều không gian tên tùy chỉnh hơn. Theo mặc định, chúng tôi giới hạn ở 100 không gian tên cho mỗi tài khoản AWS. Để tăng giới hạn này, hãy liên hệ với nhóm sản phẩm QuickSight. Để biết thêm thông tin về nhiều người thuê nhà, hãy xem Nhúng phân tích nhiều người thuê vào các ứng dụng với Amazon QuickSight.
Trong mỗi không gian tên, chúng tôi tạo các loại nhóm khác nhau. Ví dụ, trong default
không gian tên, chúng tôi tạo ra BI-Admin
và BI-Developer
các nhóm cho admin
và author
người dùng. Đối với reader
, chúng tôi triển khai hai loại nhóm QuickSight để kiểm soát quyền truy cập nội dung và quyền truy cập dữ liệu: nhóm quyền truy cập đối tượng và nhóm phân đoạn dữ liệu.
Bảng sau đây tóm tắt cách nhóm quyền truy cập đối tượng kiểm soát quyền.
Tên nhóm | Không gian tên | Sự cho phép | Chú ý |
critical |
Mặc định | Xem cả hai bảng điều khiển (chứa dữ liệu quan trọng và dữ liệu có tính bảo mật cao) | |
highlyconfidential |
Mặc định | Chỉ xem Bảng điều khiển bảo mật cao về bán hàng | |
BI-Admin |
Mặc định | Quản lý tài khoản và chỉnh sửa tất cả tài sản | Người dùng trong BI-Admin nhóm được phân công Admin Vai trò người dùng QuickSight. |
BI-Developer |
Mặc định | Chỉnh sửa tất cả nội dung | Người dùng trong BI-Developer nhóm được chỉ định vai trò người dùng Tác giả QuickSight. |
Power-reader |
Mặc định | Xem tất cả nội dung và tạo phân tích đặc biệt để chạy báo cáo phân tích tự phục vụ |
Người dùng trong Tuy nhiên, nhóm này không thể lưu hoặc chia sẻ các báo cáo đặc biệt của họ. |
3rd-party |
Không gian tên không mặc định (3rd-party không gian tên chẳng hạn) |
Chỉ có thể chia sẻ với bạn đọc (3rd-party-reader nhóm chẳng hạn) trong cùng một không gian tên |
Trong các không gian tên không mặc định, chúng ta cũng có thể tạo các nhóm quyền truy cập đối tượng khác, tương tự như nhóm quan trọng trong không gian tên mặc định. |
Để biết thêm thông tin về nhóm QuickSight, người dùng và vai trò người dùng, hãy xem Quản lý quyền truy cập của người dùng bên trong Amazon QuickSight, Cấp phép người dùng cho Amazon QuickSightvà Sử dụng bảng thông tin quản trị để có chế độ xem tập trung các đối tượng Amazon QuickSight.
Loại nhóm thứ hai (nhóm phân đoạn dữ liệu), được kết hợp với bảo mật cấp hàng bộ dữ liệu và bảo mật cấp cột, kiểm soát quyền truy cập dữ liệu như được mô tả trong bảng sau.
Tên nhóm | Không gian tên | Sự cho phép | Phạm vi |
USA |
Mặc định | Chỉ xem dữ liệu của Hoa Kỳ trên bất kỳ trang tổng quan nào | cấp hàng |
GBR |
Mặc định | Chỉ xem dữ liệu của Vương quốc Anh trên bất kỳ trang tổng quan nào | cấp hàng |
All countries |
Mặc định | Xem dữ liệu của tất cả các quốc gia trên bất kỳ bảng điều khiển nào | cấp hàng |
non-PII |
Mặc định | Không thể xem số An sinh xã hội, thu nhập hàng năm và tất cả các cột dữ liệu PII khác | cấp cột |
PII |
Mặc định | Có thể xem tất cả các cột bao gồm dữ liệu PII | cấp cột |
Chúng ta có thể thiết lập các nhóm tương tự trong các không gian tên không mặc định.
Các nhóm khác nhau này có thể chồng lên nhau. Ví dụ: nếu người dùng thuộc nhóm USA
, Critical
và PII
, họ có thể xem dữ liệu của Hoa Kỳ trên cả hai trang tổng quan, với tất cả các cột. Biểu đồ Venn sau minh họa mối quan hệ giữa các nhóm này.
Tóm lại, chúng ta có thể xác định kiến trúc bảo mật nhiều mặt bằng cách kết hợp các tính năng của QuickSight, bao gồm không gian tên, nhóm, người dùng, RLS và CLS. Tất cả các cấu hình liên quan được lưu trong Cửa hàng tham số. Danh sách người dùng QuickSight và thông tin ánh xạ nhóm-người dùng nằm trong một Dịch vụ lưu trữ đơn giản của Amazon (Amazon S3) dưới dạng tệp CSV (có tên membership.csv
). Tệp CSV này có thể là kết quả đầu ra của các truy vấn LDAP. Một số AWS Lambda các chức năng được lên lịch để chạy hàng giờ (bạn cũng có thể gọi các chức năng này theo yêu cầu, chẳng hạn như mức độ chi tiết hàng ngày, hàng tuần hoặc bất kỳ lúc nào phù hợp với yêu cầu của bạn) để đọc các tham số và membership.csv
. Theo cấu hình được xác định, các hàm Lambda tạo, cập nhật hoặc xóa các nhóm, người dùng và quyền truy cập nội dung.
Khi các cấu hình bảo mật cần thiết hoàn tất, một hàm Lambda sẽ gọi các API QuickSight để nhận thông tin cập nhật và ghi lại kết quả vào vùng lưu trữ S3 dưới dạng tệp CSV. Nhóm quản trị BI có thể xây dựng bộ dữ liệu với các tệp này và trực quan hóa kết quả bằng bảng điều khiển. Để biết thêm thông tin, xem Sử dụng bảng thông tin quản trị để có chế độ xem tập trung các đối tượng Amazon QuickSight và Xây dựng bảng điều khiển quản trị trong Amazon QuickSight để phân tích chỉ số sử dụng.
Ngoài ra, lỗi của các chức năng Lambda và sự kiện xóa người dùng được lưu trữ trong bộ chứa S3 này để nhóm quản trị viên xem xét.
Tự động hóa
Sơ đồ sau đây minh họa toàn bộ quy trình làm việc của các hàm Lambda.
Chúng tôi sử dụng một phương pháp có thể lập trình để tự động tạo và định cấu hình các nhóm và người dùng. Đối với bất kỳ yêu cầu đăng ký người dùng đặc biệt nào (chẳng hạn như người dùng không được ghi lại trong membership.csv
nhưng do độ trễ), miễn là người dùng có thể được xác thực, họ có thể cho rằng Quản lý truy cập và nhận dạng AWS (IAM) vai trò quicksight-fed-user
để tự cung cấp như một đầu đọc QuickSight. Trình đọc tự cung cấp này chỉ có thể xem bảng điều khiển trang đích cung cấp danh sách các bảng điều khiển và các nhóm tương ứng. Theo ánh xạ nhóm trang tổng quan, người đọc mới này có thể đăng ký làm thành viên của một nhóm nhất định để truy cập trang tổng quan. Nếu chủ sở hữu nhóm phê duyệt ứng dụng, các hàm Lambda hàng giờ sẽ thêm người dùng mới vào nhóm trong lần chạy tiếp theo của họ.
Quy trình CI/CD bắt đầu từ AWS CDK. Quản trị viên BI và tác giả có thể cập nhật các tham số Trình quản lý hệ thống để phát hành bảng thông tin mới hoặc tài sản QuickSight khác trong ngăn xếp AWS CDK granular_access_stack.py
. Quản trị viên BI có thể cập nhật các tham số Trình quản lý hệ thống trong cùng một ngăn xếp để tạo, cập nhật hoặc xóa không gian tên, nhóm hoặc người dùng. Sau đó, nhóm DevOps có thể triển khai ngăn xếp AWS CDK đã cập nhật để áp dụng những thay đổi này cho các tham số Trình quản lý hệ thống hoặc các tài nguyên AWS khác. Các hàm Lambda được kích hoạt hàng giờ để gọi các API nhằm áp dụng các thay đổi cho tài khoản QuickSight có liên quan.
Quy mô
Các hàm Lambda bị hạn chế bởi thời gian chạy tối đa là 15 phút. Để khắc phục hạn chế này, chúng ta có thể chuyển đổi các hàm Lambda thành Keo AWS Tập lệnh shell Python với các bước cấp cao sau:
- Tải về boto3 tập tin bánh xe từ pypi.org.
- Tải tệp bánh xe lên vùng chứa S3.
- Tải về Các hàm lambda và hợp nhất chúng thành một tập lệnh Python và tạo tập lệnh shell AWS Glue Python.
- Thêm đường dẫn S3 của tệp bánh xe Boto3 vào đường dẫn thư viện Python. Nếu bạn có nhiều tệp để thêm, hãy phân tách chúng bằng dấu phẩy.
- Lên lịch chạy công việc AWS Glue này hàng ngày.
Để biết thêm thông tin, xem Lập trình Tập lệnh AWS Glue ETL bằng Python và Sử dụng thư viện Python với keo AWS.
Điều kiện tiên quyết
Bạn phải có các điều kiện tiên quyết sau đây để triển khai giải pháp này:
- Tài khoản Doanh nghiệp QuickSight
- Kiến thức cơ bản về Python
- Kiến thức cơ bản về SQL
- Kiến thức cơ bản về BI
Tạo tài nguyên
Tạo tài nguyên của bạn bằng cách tải xuống ngăn xếp AWS CDK từ Repo GitHub.
Trong tạp chí granular_access
thư mục, chạy lệnh cdk deploy granular-access
để triển khai các tài nguyên. Để biết thêm thông tin, xem Hội thảo giới thiệu AWS CDK: Hội thảo Python.
Triển khai giải pháp
Khi bạn triển khai ngăn xếp AWS CDK, ngăn xếp này sẽ tạo ra năm hàm Lambda, như minh họa trong ảnh chụp màn hình sau đây.
Ngăn xếp cũng tạo ra các tài nguyên hỗ trợ bổ sung trong tài khoản của bạn.
Sản phẩm granular_user_governance
chức năng được kích hoạt bởi amazoncloudwatch quy tắc sự kiện qs-gc-everyhour
. Thông tin của các nhóm và người dùng được xác định trong tệp membership.csv
. Tên bộ chứa S3 được lưu trữ trong kho lưu trữ tham số /qs/config/groups
. Sơ đồ sau đây cho thấy lưu đồ của chức năng này.
- Đặt điểm đến của
granular_user_governance
đến một hàm Lambda khác,downgrade_user
, vớisource=Asynchronous invocation
vàcondition=On Success
.
Sơ đồ sau đây là sơ đồ của chức năng này.
Để tránh phá vỡ quyền truy cập quan trọng vào nội dung QuickSight do Quản trị viên hoặc Tác giả quản lý, chúng tôi giáng cấp quản trị viên hoặc tác giả bằng cách xóa người dùng quản trị viên hoặc tác giả và tạo người dùng trình đọc mới bằng chức năng Lambda downgrade_user
. Các granular_user_governance
chức năng xử lý hạ cấp quản trị viên xuống tác giả hoặc nâng cấp tác giả lên quản trị viên.
- Đặt điểm đến của
downgrade_user
đến hàm Lambdagranular_access_assets_govenance
vớisource=Asynchronous invocation
vàcondition=On Success
.
Sơ đồ sau đây cho thấy một lưu đồ của chức năng này.
- Đặt điểm đến của
downgrade_user
đến hàm Lambdacheck_team_members
vớisource=Asynchronous invocation
vàcondition=On Failure
.
Sản phẩm check_team_members
chỉ cần gọi API QuickSight để lấy thông tin về không gian tên, nhóm, người dùng và nội dung, đồng thời lưu kết quả vào bộ chứa S3. Phím S3 là monitoring/quicksight/group_membership/group_membership.csv
và monitoring/quicksight/object_access/object_access.csv
.
Ngoài hai tệp đầu ra của bước trước, nhật ký lỗi và nhật ký xóa người dùng (nhật ký của downgrade_user
) cũng được lưu trong monitoring/quicksight
thư mục.
- Đặt điểm đến của
granular_access_assets_govenance
đến hàm Lambdacheck_team_members
vớisource=Asynchronous invocation
vàcondition=On Success
orcondition=On Failure
.
Tạo bộ dữ liệu bảo mật cấp hàng
Bước cuối cùng, chúng tôi tạo bộ dữ liệu RLS. Điều này cho phép bạn thay đổi bản ghi bảng điều khiển dựa trên người dùng xem bảng điều khiển.
QuickSight hỗ trợ RLS bằng cách áp dụng tập dữ liệu do hệ thống quản lý để chọn phụ các bản ghi từ tập dữ liệu bảng điều khiển. Cơ chế này cho phép quản trị viên cung cấp bộ dữ liệu lọc (bộ dữ liệu RLS) với username
or groupname
các cột được lọc tự động theo người dùng đã đăng nhập. Ví dụ: người dùng có tên YingWang
thuộc nhóm QuickSight BI
, vì vậy tất cả các hàng của tập dữ liệu RLS tương ứng với tên người dùng YingWang
hoặc tên nhóm BI
được lọc. Sau đó, các hàng còn lại trong RLS sau khi áp dụng bộ lọc tên người dùng và tên nhóm sẽ được sử dụng để lọc thêm bộ dữ liệu bảng điều khiển bằng cách khớp các cột có cùng tên. Để biết thêm thông tin về bảo mật cấp hàng, hãy xem Sử dụng Bảo mật cấp hàng (RLS) để hạn chế quyền truy cập vào tập dữ liệu.
Trong giải pháp này, chúng tôi xuất thông tin người dùng mẫu vào tệp membership.csv
, được lưu trữ trong bộ chứa S3. Trong tệp này, chúng tôi cung cấp một số nhóm mẫu cho định nghĩa tập dữ liệu RLS. Các nhóm này là các nhóm phân đoạn dữ liệu, như được mô tả trong thiết kế kiến trúc tổng thể. Ảnh chụp màn hình sau đây hiển thị một số nhóm và người dùng trong các nhóm đó.
Sản phẩm granular_user_governance
chức năng tạo các nhóm này và thêm người dùng có liên quan làm thành viên của các nhóm này.
Làm cách nào để chúng tôi tạo bộ dữ liệu RLS? Giả sử chúng ta có một bảng tên là employee_information
trong cơ sở dữ liệu nhân sự của tổ chức chúng tôi. Ảnh chụp màn hình sau đây hiển thị một số dữ liệu mẫu.
Dựa vào employee_information
bảng, chúng tôi tạo một khung nhìn được gọi là rls
cho tập dữ liệu RLS. Xem mã SQL sau:
Ảnh chụp màn hình sau đây hiển thị dữ liệu mẫu của chúng tôi.
Bây giờ chúng ta đã có sẵn bảng, chúng ta có thể tạo bộ dữ liệu RLS bằng SQL tùy chỉnh sau:
Ảnh chụp màn hình sau đây hiển thị dữ liệu mẫu của chúng tôi.
cho nhóm quicksight-fed-all-countries
, chúng tôi đặt username
, country
và city
là null, có nghĩa là tất cả người dùng trong nhóm này có thể xem dữ liệu của tất cả các quốc gia.
Đối với cấp quốc gia, chỉ các quy tắc bảo mật được xác định trong groupname
và đất nước columns
được sử dụng để lọc. Các username
và city
các cột được đặt là null. Người dùng trong quicksight-fed-usa
nhóm có thể xem dữ liệu của Hoa Kỳ và người dùng trong quicksight-fed-gbr
nhóm có thể xem dữ liệu của GBR.
Đối với mỗi người dùng có groupname
được đặt là null, họ chỉ có thể xem quốc gia và thành phố cụ thể được chỉ định cho tên người dùng của họ. Ví dụ, TerryRigaud
chỉ có thể xem dữ liệu của Austin, ở Hoa Kỳ.
Trong QuickSight, nhiều quy tắc trong bộ dữ liệu RLS được kết hợp cùng với OR.
Với các quy tắc RLS nhiều mặt này, chúng tôi có thể xác định mẫu truy cập dữ liệu toàn diện.
Làm sạch
Để tránh bị tính phí trong tương lai, hãy xóa các tài nguyên bạn đã tạo bằng cách chạy lệnh sau:
Kết luận
Bài đăng này đã thảo luận về cách quản trị viên BI có thể thiết kế và tự động hóa kiểm soát truy cập chi tiết và xác thực QuickSight. Chúng tôi đã kết hợp các tính năng bảo mật QuickSight như bảo mật cấp hàng và cấp cột, nhóm và không gian tên để cung cấp giải pháp toàn diện. Việc quản lý những thay đổi này thông qua “BIOps” đảm bảo một cơ chế mạnh mẽ, có thể mở rộng để quản lý bảo mật QuickSight. Để tìm hiểu thêm, đăng ký bản demo QuickSight.
Về các tác giả
Ưng Vương là Kỹ sư trực quan hóa dữ liệu cấp cao với Chuyên môn thực hành chuyên môn toàn cầu về dữ liệu & phân tích trong Dịch vụ chuyên nghiệp AWS.
Thanh Amir Hoặc là Kiến trúc sư dữ liệu chính tại AWS Professional Services. Sau 20 năm lãnh đạo các tổ chức phần mềm và phát triển các sản phẩm và nền tảng phân tích dữ liệu, giờ đây anh ấy đang chia sẻ kinh nghiệm của mình với các khách hàng doanh nghiệp lớn và giúp họ mở rộng quy mô phân tích dữ liệu của mình trên đám mây.
- "
- &
- 100
- truy cập
- Quản lý truy cập
- Tài khoản
- hoạt động
- Ad
- thêm vào
- quản trị viên
- Tất cả
- đàn bà gan dạ
- phân tích
- phân tích
- API
- Các Ứng Dụng
- các ứng dụng
- kiến trúc
- tài sản
- Tài sản
- austin
- Xác thực
- ủy quyền
- Tự động hóa
- AWS
- AWS Lambda
- BEST
- thực hành tốt nhất
- biên giới
- xây dựng
- Xây dựng
- kinh doanh
- kinh doanh thông minh
- cuộc gọi
- trường hợp
- thay đổi
- tải
- City
- phân loại
- đám mây
- mã
- Chung
- công ty
- nội dung
- nước
- Tạo
- khách hàng
- bảng điều khiển
- dữ liệu
- truy cập dữ liệu
- Phân tích dữ liệu
- quản lý dữ liệu
- trực quan hóa dữ liệu
- Cơ sở dữ liệu
- cơ sở dữ liệu
- Nhu cầu
- Thiết kế
- phá hủy
- chi tiết
- phát triển
- Phát triển
- DevOps
- lĩnh vực
- ky sư
- Doanh nghiệp
- khách hàng doanh nghiệp
- Sự kiện
- sự kiện
- điều hành
- xuất khẩu
- Tính năng
- bộ lọc
- Tên
- lần đầu tiên
- phù hợp với
- Khung
- chức năng
- tương lai
- Toàn cầu
- tài trợ
- Nhóm
- Độ đáng tin của
- hr
- HTTPS
- Hàng trăm
- IAM
- Bản sắc
- Bao gồm
- lợi tức
- Tăng lên
- thông tin
- Cơ sở hạ tầng
- hội nhập
- Sự thông minh
- IT
- Việc làm
- tham gia
- Key
- kiến thức
- trang đích
- lớn
- ldap
- hàng đầu
- LEARN
- Cấp
- Thư viện
- Hạn chế
- Dòng
- Danh sách
- địa điểm thư viện nào
- dài
- quản lý
- Các thành viên
- tên
- số
- gọi món
- Nền tảng khác
- Khác
- chủ sở hữu
- Mật khẩu
- Họa tiết
- ngoan đạo
- Nền tảng
- điều luật
- Hiệu trưởng
- Sản phẩm
- Sản phẩm
- dự án
- dự án
- công khai
- Python
- Người đọc
- độc giả
- hồ sơ
- giảm
- Đăng Ký
- Mối quan hệ
- Báo cáo
- Yêu cầu
- Thông tin
- Kết quả
- xem xét
- Nguy cơ
- quy tắc
- chạy
- chạy
- bán hàng
- Quy mô
- an ninh
- Tự phục vụ
- DỊCH VỤ
- định
- Chia sẻ
- cổ phiếu
- Shell
- Đơn giản
- So
- Mạng xã hội
- Phần mềm
- SQL
- là gắn
- hàng
- hỗ trợ
- Hỗ trợ
- hệ thống
- thời gian
- Uk
- công đoàn
- Cập nhật
- Cập nhật
- us
- US
- Người sử dụng
- Xem
- hình dung
- hàng tuần
- Wheel
- CHÚNG TÔI LÀ
- ở trong
- quy trình làm việc
- năm