Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Einbetten der Amazon Quick Sight Q-Suchleiste (Classic) Einbetten der Amazon Quick Sight Q-Suchleiste (Classic) | | | --- | |    Zielgruppe: Amazon Quick-Entwickler  | **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). In den folgenden Themen erfahren Sie, wie Sie die Amazon Quick Sight Q-Suchleiste in Amazon Quick Sight APIs einbetten. **Topics** + [ # Einbetten der Amazon Quick Sight Q-Suchleiste für registrierte Benutzer ](embedded-analytics-q-search-bar-for-authenticated-users.md) + [ # Einbetten der Amazon Quick Sight Q-Suchleiste für anonyme (nicht registrierte) Benutzer ](embedded-analytics-q-search-bar-for-anonymous-users.md) # Einbetten der Amazon Quick Sight Q-Suchleiste für registrierte Benutzer Einbetten der Q-Suchleiste für registrierte Benutzer | | | --- | |  Gilt für: Enterprise Edition  | | | | --- | |    Zielgruppe: Amazon Quick-Entwickler  | **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). In den folgenden Abschnitten finden Sie detaillierte Informationen zur Einrichtung einer eingebetteten Amazon Quick Sight Q-Suchleiste für registrierte Benutzer von Amazon Quick Sight. **Topics** + [ ## Schritt 1: Festlegen von Berechtigungen ](#embedded-q-bar-for-authenticated-users-step-1) + [ ## Schritt 2: Generieren Sie die URL mit dem angehängten Authentifizierungscode ](#embedded-q-bar-for-authenticated-users-step-2) + [ ## Schritt 3: Betten Sie die URL der Q-Suchleiste ein ](#embedded-q-bar-for-authenticated-users-step-3) + [ ## Optionale Funktionen zum Einbetten der Suchleiste von Amazon Quick Sight Q ](#embedded-q-bar-for-authenticated-users-step-4) ## Schritt 1: Festlegen von Berechtigungen Schritt 1: Festlegen von Berechtigungen **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie Berechtigungen für Ihre Back-End-Anwendung oder Ihren Webserver einrichten, um die Q-Suchleiste einzubetten. Für diese Aufgabe ist Administratorzugriff auf AWS Identity and Access Management (IAM) erforderlich. Jeder Benutzer, der auf ein Dashboard zugreift, nimmt eine Rolle ein, die ihm Amazon Quick Sight-Zugriff und Berechtigungen für das Dashboard gewährt. Um dies zu ermöglichen, erstellen Sie eine IAM-Rolle in Ihrem. AWS-Konto Verknüpfen Sie eine IAM-Richtlinie mit der Rolle, um Berechtigungen für alle Benutzer zu gewähren, die die Rolle annehmen. Die IAM-Rolle muss Berechtigungen zum Abrufen von Einbettungen URLs für einen bestimmten Benutzerpool bereitstellen. Mithilfe des Platzhalterzeichens *\$1* können Sie die Berechtigungen zum Generieren einer URL für alle Benutzer in einem bestimmten Namespace gewähren. Sie können auch Berechtigungen zum Generieren einer URL für eine Teilmenge von Benutzern in bestimmten Namespaces gewähren. Dazu fügen Sie `quicksight:GenerateEmbedUrlForRegisteredUser` hinzu. Sie können in Ihrer IAM-Richtlinie eine Bedingung erstellen, die die Domains einschränkt, die Entwickler im `AllowedDomains`-Parameter einer `GenerateEmbedUrlForRegisteredUser`-API-Operation auflisten können. Der `AllowedDomains`-Parameter ist ein optionaler Parameter. Es gibt Entwicklern die Möglichkeit, die statischen Domains, die im Menü **Amazon Quick Sight verwalten** konfiguriert sind, zu überschreiben und stattdessen bis zu drei Domains oder Subdomains aufzulisten, die auf eine generierte URL zugreifen können. Diese URL wird dann in die Website eines Entwicklers eingebettet. Nur die Domains, die im Parameter aufgeführt sind, können auf die eingebettete Q-Suchleiste zugreifen. Ohne diese Bedingung können Entwickler jede Domain im Internet im `AllowedDomains`-Parameter auflisten. Um die Domains einzuschränken, die Entwickler mit diesem Parameter verwenden können, fügen Sie Ihrer IAM-Richtlinie eine `AllowedEmbeddingDomains`-Bedingung hinzu. Weitere Informationen zu dem `AllowedDomains` Parameter finden Sie [GenerateEmbedUrlForRegisteredUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html)in der *Amazon Quick Sight API-Referenz*. **Bewährte Sicherheitsverfahren für IAM-Condition-Operatoren** Falsch konfigurierte IAM-Bedingungsoperatoren können über URL-Variationen unbefugten Zugriff auf Ihre eingebetteten Quick-Ressourcen ermöglichen. Verwenden Sie bei der Verwendung des `quicksight:AllowedEmbeddingDomains` Bedingungsschlüssels in Ihren IAM-Richtlinien Bedingungsoperatoren, die entweder bestimmte Domänen zulassen oder alle Domänen verweigern, die nicht ausdrücklich erlaubt sind. Weitere Informationen zu IAM-Bedingungsoperatoren finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) im IAM-Benutzerhandbuch. Viele verschiedene URL-Varianten können auf dieselbe Ressource verweisen. Die folgenden Dateien führen beispielsweise URLs alle zu demselben Inhalt: `https://example.com` `https://example.com/` `https://Example.com` Wenn in Ihrer Richtlinie Betreiber verwendet werden, die diese URL-Variationen nicht berücksichtigen, kann ein Angreifer Ihre Einschränkungen umgehen, indem er entsprechende URL-Varianten bereitstellt. Sie müssen überprüfen, ob Ihre IAM-Richtlinie geeignete Bedingungsoperatoren verwendet, um Sicherheitslücken zu umgehen und sicherzustellen, dass nur die von Ihnen vorgesehenen Domains auf Ihre eingebetteten Ressourcen zugreifen können. Die folgende Beispielrichtlinie gewährt diese Berechtigungen. Wenn Sie Erstbenutzer erstellen, die Amazon Quick Sight-Leser sein werden, stellen Sie außerdem sicher, dass Sie die `quicksight:RegisterUser` Erlaubnis in der Richtlinie hinzufügen. Die folgende Beispielrichtlinie gewährt Erstbenutzern, die Amazon Quick Sight-Leser sein sollen, die Erlaubnis, eine Einbettungs-URL abzurufen. Der IAM-Identität Ihrer Anwendung muss schließlich eine Vertrauensrichtlinie zugeordnet sein, um den Zugriff auf die soeben von Ihnen erstellte Rolle zu gewähren. Das heißt, wenn ein Benutzer auf Ihre Anwendung zugreift, kann Ihre Anwendung die Rolle im Namen des Benutzers übernehmen und den Benutzer in Amazon Quick Sight bereitstellen. Das folgende Beispiel zeigt eine Vertrauensrichtlinie. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Weitere Informationen bezüglich Vertrauensrichtlinien für die OpenId Connect- oder Security Assertion Markup Language (SAML)-Authentifizierung finden Sie in den folgenden Abschnitten im *IAM-Benutzerhandbuch: * + [Erstellen einer Rolle für Web-Identität oder OpenID-Connect-Verbund (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) + [Erstellen von Rollen für den SAML 2.0-Verbund (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html) ## Schritt 2: Generieren Sie die URL mit dem angehängten Authentifizierungscode Schritt 2: Generieren der URL **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie Ihren Benutzer authentifizieren und die einbettungsfähige Q-Themen-URL auf Ihrem Anwendungsserver abrufen. Wenn Sie die Q-Leiste für IAM- oder Amazon Quick Sight-Identitätstypen einbetten möchten, teilen Sie das Q-Thema den Benutzern mit. Wenn ein Benutzer auf Ihre App zugreift, übernimmt die App die IAM-Rolle für den Benutzer. Dann fügt die App den Benutzer zu Amazon Quick Sight hinzu, falls dieser Benutzer noch nicht existiert. Anschließend übergibt sie eine ID als eindeutige Rollensitzungs-ID. Durch die Ausführung der beschriebenen Schritte wird sichergestellt, dass jeder Betrachter des Q-Themas in Amazon Quick Sight eindeutig bereitgestellt wird. Dazu werden benutzerspezifische Einstellungen erzwungen, etwa Sicherheit auf niedriger Ebene sowie dynamische Standardwerte für Parameter. In den folgenden Beispielen wird die IAM-Authentifizierung im Namen des Benutzers durchgeführt. Dieser Code wird auf Ihrem App-Server ausgeführt. ### Java ``` import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.regions.Regions; import com.amazonaws.services.quicksight.AmazonQuickSight; import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult; import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration; import com.amazonaws.services.quicksight.model.RegisteredUserQSearchBarEmbeddingConfiguration; /** * Class to call QuickSight AWS SDK to get url for embedding the Q search bar. */ public class RegisteredUserQSearchBarEmbeddingConfiguration { private final AmazonQuickSight quickSightClient; public RegisteredUserQSearchBarEmbeddingConfiguration() { this.quickSightClient = AmazonQuickSightClientBuilder .standard() .withRegion(Regions.US_EAST_1.getName()) .withCredentials(new AWSCredentialsProvider() { @Override public AWSCredentials getCredentials() { // provide actual IAM access key and secret key here return new BasicAWSCredentials("access-key", "secret-key"); } @Override public void refresh() { } } ) .build(); } public String getQuicksightEmbedUrl( final String accountId, // AWS Account ID final String topicId, // Topic ID to embed final List allowedDomains, // Runtime allowed domain for embedding final String userArn // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find how to get user arn for a QuickSight user. ) throws Exception { final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration() .withQSearchBar(new RegisteredUserQSearchBarEmbeddingConfiguration().withInitialTopicId(topicId)); final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest(); generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId); generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn); generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains); generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(QSearchBar); final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest); return generateEmbedUrlForRegisteredUserResult.getEmbedUrl(); } } ``` ### JavaScript ``` global.fetch = require('node-fetch'); const AWS = require('aws-sdk'); function generateEmbedUrlForRegisteredUser( accountId, topicId, // Topic ID to embed openIdToken, // Cognito-based token userArn, // registered user arn roleArn, // IAM user role to use for embedding sessionName, // Session name for the roleArn assume role allowedDomains, // Runtime allowed domain for embedding getEmbedUrlCallback, // GetEmbedUrl success callback method errorCallback // GetEmbedUrl error callback method ) { const stsClient = new AWS.STS(); let stsParams = { RoleSessionName: sessionName, WebIdentityToken: openIdToken, RoleArn: roleArn } stsClient.assumeRoleWithWebIdentity(stsParams, function(err, data) { if (err) { console.log('Error assuming role'); console.log(err, err.stack); errorCallback(err); } else { const getQSearchBarParams = { "AwsAccountId": accountId, "ExperienceConfiguration": { "QSearchBar": { "InitialTopicId": topicId } }, "UserArn": userArn, "AllowedDomains": allowedDomains, "SessionLifetimeInMinutes": 600 }; const quicksightGetQSearchBar = new AWS.QuickSight({ region: process.env.AWS_REGION, credentials: { accessKeyId: data.Credentials.AccessKeyId, secretAccessKey: data.Credentials.SecretAccessKey, sessionToken: data.Credentials.SessionToken, expiration: data.Credentials.Expiration } }); quicksightGetQSearchBar.generateEmbedUrlForRegisteredUser(getQSearchBarParams, function(err, data) { if (err) { console.log(err, err.stack); errorCallback(err); } else { const result = { "statusCode": 200, "headers": { "Access-Control-Allow-Origin": "*", // Use your website domain to secure access to GetEmbedUrl API "Access-Control-Allow-Headers": "Content-Type" }, "body": JSON.stringify(data), "isBase64Encoded": false } getEmbedUrlCallback(result); } }); } }); } ``` ### Python3 ``` import json import boto3 from botocore.exceptions import ClientError sts = boto3.client('sts') # Function to generate embedded URL # accountId: AWS account ID # topicId: Topic ID to embed # userArn: arn of registered user # allowedDomains: Runtime allowed domain for embedding # roleArn: IAM user role to use for embedding # sessionName: session name for the roleArn assume role def getEmbeddingURL(accountId, topicId, userArn, allowedDomains, roleArn, sessionName): try: assumedRole = sts.assume_role( RoleArn = roleArn, RoleSessionName = sessionName, ) except ClientError as e: return "Error assuming role: " + str(e) else: assumedRoleSession = boto3.Session( aws_access_key_id = assumedRole['Credentials']['AccessKeyId'], aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'], aws_session_token = assumedRole['Credentials']['SessionToken'], ) try: quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2') response = quicksightClient.generate_embed_url_for_registered_user( AwsAccountId=accountId, ExperienceConfiguration = { "QSearchBar": { "InitialTopicId": topicId } }, UserArn = userArn, AllowedDomains = allowedDomains, SessionLifetimeInMinutes = 600 ) return { 'statusCode': 200, 'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"}, 'body': json.dumps(response), 'isBase64Encoded': bool('false') } except ClientError as e: return "Error generating embedding url: " + str(e) ``` ### Node.js Das folgende Beispiel zeigt die Datei JavaScript (Node.js), die Sie auf dem App-Server verwenden können, um die URL für das eingebettete Dashboard zu generieren. Sie können diese URL auf Ihrer Website oder in Ihrer App verwenden, um das Dashboard aufzurufen. **Example** ``` const AWS = require('aws-sdk'); const https = require('https'); var quicksightClient = new AWS.Service({ apiConfig: require('./quicksight-2018-04-01.min.json'), region: 'us-east-1', }); quicksightClient.generateEmbedUrlForRegisteredUser({ 'AwsAccountId': '111122223333', 'ExperienceConfiguration': { 'QSearchBar': { 'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f' } }, 'UserArn': 'REGISTERED_USER_ARN', 'AllowedDomains': allowedDomains, 'SessionLifetimeInMinutes': 100 }, function(err, data) { console.log('Errors: '); console.log(err); console.log('Response: '); console.log(data); }); ``` **Example** ``` //The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete. { Status: 200, EmbedUrl: "https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...", RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713' } ``` ### .NET/C\$1 Das folgende Beispiel zeigt den .NET/C \$1 Code, den Sie auf dem App-Server verwenden können, um die URL für die eingebettete Q-Suchleiste zu generieren. Sie können diese URL auf Ihrer Website oder in Ihrer App verwenden, um die Q-Suchleiste aufzurufen. **Example** ``` using System; using Amazon.QuickSight; using Amazon.QuickSight.Model; namespace GenerateDashboardEmbedUrlForRegisteredUser { class Program { static void Main(string[] args) { var quicksightClient = new AmazonQuickSightClient( AccessKey, SecretAccessKey, SessionToken, Amazon.RegionEndpoint.USEast1); try { RegisteredUserQSearchBarEmbeddingConfiguration registeredUserQSearchBarEmbeddingConfiguration = new RegisteredUserQSearchBarEmbeddingConfiguration { InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f" }; RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration { QSearchBar = registeredUserQSearchBarEmbeddingConfiguration }; Console.WriteLine( quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest { AwsAccountId = "111122223333", ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration, UserArn = "REGISTERED_USER_ARN", AllowedDomains = allowedDomains, SessionLifetimeInMinutes = 100 }).Result.EmbedUrl ); } catch (Exception ex) { Console.WriteLine(ex.Message); } } } } ``` ### AWS CLI Um die Rolle zu übernehmen, wählen Sie eine der folgenden API-Operationen AWS -Security-Token-Service (AWS STS): + [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Verwenden Sie diesen Vorgang, wenn Sie eine IAM-Identität verwenden, um die Rolle zu übernehmen. + [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Verwenden Sie diesen Vorgang, wenn Sie einen Web-Identitätsanbieter verwenden, um Ihren Benutzer zu authentifizieren. + [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Verwenden Sie diesen Vorgang, wenn Sie SAML zur Authentifizierung Ihrer Benutzer verwenden. Das folgende Beispiel zeigt den CLI-Befehl zum Festlegen der IAM-Rolle. Für die Rolle müssen die Berechtigungen für `quicksight:GenerateEmbedUrlForRegisteredUser` aktiviert sein. Wenn Sie Benutzer hinzufügen möchten, just-in-time wenn diese ein Thema in der Q-Suchleiste verwenden, müssen für die Rolle auch die entsprechenden Berechtigungen aktiviert sein. `quicksight:RegisterUser` ``` aws sts assume-role \ --role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \ --role-session-name john.doe@example.com ``` Die `assume-role`-Operation gibt drei Parameter zurück: den Zugriffsschlüssel, den geheimen Schlüssel und das Sitzungs-Token. **Anmerkung** Wenn beim Aufrufen der Operation `AssumeRole` der Fehler `ExpiredToken` gemeldet wird, liegt dies wahrscheinlich daran, dass sich der vorherige `SESSION TOKEN`-Wert noch in den Umgebungsvariablen befindet. Deaktivieren Sie dies, indem Sie die folgenden Variablen einstellen: *AWS\$1ACCESS\$1KEY\$1ID* *AWS\$1SECRET\$1ZUGANGSSCHLÜSSEL* *AWS\$1SESSION\$1TOKEN* Das folgende Beispiel zeigt, wie Sie diese drei Parameter in der CLI einrichten. Für einen Microsoft Windows-Computer verwenden Sie `set` anstelle von `export`. ``` export AWS_ACCESS_KEY_ID = "access_key_from_assume_role" export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role" export AWS_SESSION_TOKEN = "session_token_from_assume_role" ``` Diese Befehle setzen die Rollensitzungs-ID des Benutzers, der Ihre Website besucht, auf `embedding_quicksight_q_search_bar_role/john.doe@example.com`. Die Rollensitzungs-ID besteht aus dem Rollennamen `role-arn` und dem `role-session-name`-Wert. Die Verwendung der eindeutigen Rollensitzungs-ID für jeden Benutzer garantiert, dass fpr jeden benutzer die korrekten Berechtigungen eingerichtet werden. Außerdem wird eine Drosselung des Benutzerzugriffs verhindert. *Throttling* ist eine Sicherheitsfunktion, die verhindert, dass derselbe Benutzer von mehreren Standorten aus auf Amazon Quick Sight zugreift. Die Rollensitzungs-ID wird auch zum Benutzernamen in Amazon Quick Sight. Sie können dieses Muster verwenden, um Ihre Benutzer in Amazon Quick Sight im Voraus bereitzustellen oder um sie beim ersten Zugriff auf die Q-Suchleiste bereitzustellen. Das folgende Beispiel zeigt den CLI-Befehl, den Sie verwenden können, um einen Benutzer bereitstellen. Weitere Informationen zu [RegisterUser[DescribeUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_DescribeUser.html)](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html), und anderen Amazon Quick Sight API-Vorgängen finden Sie in der [Amazon Quick Sight API-Referenz](https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html). ``` aws quicksight register-user \ --aws-account-id 111122223333 \ --namespace default \ --identity-type IAM \ --iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \ --user-role READER \ --user-name jhnd \ --session-name "john.doe@example.com" \ --email john.doe@example.com \ --region us-east-1 \ --custom-permissions-name TeamA1 ``` Wenn der Benutzer durch Microsoft AD authentifiziert wird, müssen Sie `RegisterUser` nicht verwenden, um sie einzurichten. Stattdessen sollten sie beim ersten Zugriff auf Amazon Quick Sight automatisch abonniert werden. Für Microsoft AD-Benutzer können Sie `DescribeUser` verwenden, um den Amazon-Ressourcennamen (ARN) des Benutzers zu erhalten. Wenn ein Benutzer zum ersten Mal auf Amazon Quick Sight zugreift, können Sie diesen Benutzer auch zu der Gruppe hinzufügen, mit der das Dashboard geteilt wird. Das folgende Beispiel zeigt den CLI-Befehl zum Hinzufügen eines Benutzers zu einer Gruppe. ``` aws quicksight create-group-membership \ --aws-account-id=111122223333 \ --namespace=default \ --group-name=financeusers \ --member-name="embedding_quicksight_q_search_bar_role/john.doe@example.com" ``` Sie haben jetzt einen Benutzer Ihrer App, der auch Amazon Quick Sight verwendet und Zugriff auf das Dashboard hat. Um eine signierte URL für das Dashboard zu erhalten, rufen Sie schließlich `generate-embed-url-for-registered-user` vom App-Server auf. Dies gibt die einbettungsfähige Dashboard-URL zurück. Das folgende Beispiel zeigt, wie Sie die URL für ein eingebettetes Dashboard mithilfe eines serverseitigen Aufrufs für Benutzer generieren, die über AWS Managed Microsoft AD oder Single Sign-On (IAM Identity Center) authentifiziert wurden. ``` aws quicksight generate-embed-url-for-registered-user \ --aws-account-id 111122223333 \ --session-lifetime-in-minutes 600 \ --user-arn arn:aws:quicksight:us-east-1:111122223333:user/default/embedding_quicksight_q_search_bar_role/embeddingsession --allowed-domains '["domain1","domain2"]' \ --experience-configuration QSearchBar={InitialTopicId=U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f} ``` Weitere Informationen zur Verwendung dieser Operation finden Sie unter [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Sie können diese und andere API-Operationen in Ihrem eigenen Code verwenden. ## Schritt 3: Betten Sie die URL der Q-Suchleiste ein Schritt 3: Einbetten der URL **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie die Q-Suchleisten-URL aus Schritt 3 in Ihre Website oder Anwendungsseite einbetten. Sie tun dies mit dem [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript). Mit dem SDK können Sie folgende Aktionen ausführen: + Platzieren Sie die Q-Suchleiste auf einer HTML-Seite. + Übergeben Sie Parameter an die Q-Suchleiste. + Umgang mit Fehlerstatus mit Meldungen, die an Ihre Anwendung angepasst wurden. Rufen Sie die `GenerateEmbedUrlForRegisteredUser`-API-Operation auf, um die URL zu generieren, die Sie in Ihre App einbetten können. Diese URL ist für 5 Minuten gültig, die resultierende Sitzung für bis zu 10 Stunden. Die API-Operation stellt die URL mit einem `auth_code`-Wert bereit, der eine Single-Sign-On-Sitzung unterstützt. Es folgt eine Beispielantwort von `generate-embed-url-for-registered-user`: ``` //The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete. { "Status": "200", "EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...", "RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713" } ``` Betten Sie die Q-Suchleiste in Ihre Webseite ein, indem Sie das [Amazon Quick Sight-Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) verwenden oder diese URL zu einem Iframe hinzufügen. Wenn Sie eine feste Zahl für Höhe und Breite (in Pixeln) festlegen, verwendet Amazon Quick Sight diese und ändert Ihr Erscheinungsbild nicht, wenn sich die Größe Ihres Fensters ändert. Wenn Sie Höhe und Breite in Prozent angeben, bietet Amazon Quick Sight ein responsives Layout, das sich an die Fenstergröße anpasst. Stellen Sie dazu sicher, dass die Domain, die die eingebettete Q-Suchleiste hosten soll, auf der *Zulassungsliste* steht, der Liste der zugelassenen Domains für Ihr Amazon Quick Sight-Abonnement. Diese Voraussetzung schützt die Daten, indem unzulässige Domains daran gehindert werden, eingebettete Dashboards zu hosten. Weitere Informationen zum Hinzufügen von Domains für eine eingebettete Q-Suchleiste finden Sie unter [Domains verwalten und einbetten](https://docs.aws.amazon.com/quicksight/latest/user/manage-qs-domains-and-embedding.html). Wenn Sie das Amazon Quick Sight Embedding SDK verwenden, wird die Größe der Q-Suchleiste auf Ihrer Seite je nach Status dynamisch angepasst. Mithilfe des Amazon Quick Sight Embedding SDK können Sie auch Parameter in der Q-Suchleiste steuern und Rückrufe in Bezug auf den Abschluss des Seitenladevorgangs und Fehler erhalten. Im folgenden Beispiel wird gezeigt, wie Sie die generierte URL nutzen. Dieser Code wird auf Ihrem App-Server generiert. ### SDK 2.0 ``` Q Search Bar Embedding Example
``` ### SDK 1.0 ``` QuickSight Q Search Bar Embedding
``` Damit dieses Beispiel funktioniert, stellen Sie sicher, dass Sie das Amazon Quick Sight Embedding SDK verwenden, um das eingebettete Dashboard auf Ihre Website mit JavaScript zu laden. Führen Sie für den Erhalt dieser Kopie einen der folgenden Schritte aus: + Laden Sie das [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) von GitHub herunter. Dieses Repository wird von einer Gruppe von Amazon Quick Sight-Entwicklern verwaltet. + Laden Sie die neueste Version des eingebetteten SDK von [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)herunter. + Wenn Sie `npm` for JavaScript dependencies verwenden, laden Sie es herunter und installieren Sie es, indem Sie den folgenden Befehl ausführen. ``` npm install amazon-quicksight-embedding-sdk ``` ## Optionale Funktionen zum Einbetten der Suchleiste von Amazon Quick Sight Q Optionale Funktionalitäten **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Die folgenden optionalen Funktionen sind für die eingebettete Q-Suchleiste mithilfe des eingebetteten SDK verfügbar. ### Rufen Sie Aktionen in der Q-Suchleiste auf Die folgenden Optionen werden nur für die Einbettung von Q-Suchleisten unterstützt. + Stellen Sie ein Feature in der Q-Suchleiste ein — Dieses Feature sendet eine Frage an die Q-Suchleiste und fragt die Abfrage sofort ab. Außerdem wird das Q-Popover automatisch geöffnet. ``` qBar.setQBarQuestion('show me monthly revenue'); ``` + Q-Popover schließen — Dieses Feature schließt das Q-Popover und setzt den iframe auf die ursprüngliche Größe der Q-Suchleiste zurück. ``` qBar.closeQPopover(); ``` Weitere Informationen finden Sie im [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk). # Einbetten der Amazon Quick Sight Q-Suchleiste für anonyme (nicht registrierte) Benutzer Einbetten der Amazon Quick Sight Q-Suchleiste für anonyme Benutzer | | | --- | |    Zielgruppe: Amazon Quick-Entwickler  | **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). In den folgenden Abschnitten finden Sie detaillierte Informationen zum Einrichten einer eingebetteten Amazon Quick Sight Q-Suchleiste für anonyme (nicht registrierte) Benutzer. **Topics** + [ ## Schritt 1: Festlegen von Berechtigungen ](#embedded-q-bar-for-anonymous-users-step-1) + [ ## Schritt 2: Generieren Sie die URL mit dem angehängten Authentifizierungscode ](#embedded-q-bar-for-anonymous-users-step-2) + [ ## Schritt 3: Betten Sie die URL der Q-Suchleiste ein ](#embedded-q-bar-for-anonymous-users-step-3) + [ ## Optionale Funktionen zum Einbetten der Suchleiste von Amazon Quick Sight Q ](#embedded-q-bar-for-anonymous-users-step-4) ## Schritt 1: Festlegen von Berechtigungen Schritt 1: Festlegen von Berechtigungen **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie Berechtigungen für Ihre Back-End-Anwendung oder Ihren Webserver einrichten, um die Q-Suchleiste einzubetten. Für diese Aufgabe ist Administratorzugriff auf AWS Identity and Access Management (IAM) erforderlich. Jeder Benutzer, der auf eine Q-Suchleiste zugreift, nimmt eine Rolle ein, die ihm Amazon Quick Sight-Zugriff und Berechtigungen für die Q-Suchleiste gewährt. Um dies zu ermöglichen, erstellen Sie eine IAM-Rolle in Ihrem. AWS-Konto Verknüpfen Sie eine IAM-Richtlinie mit der Rolle, um Berechtigungen für alle Benutzer zu gewähren, die die Rolle annehmen. Die IAM-Rolle muss Berechtigungen zum Abrufen von Einbettungen URLs für einen bestimmten Benutzerpool bereitstellen. Mithilfe des Platzhalterzeichens *\$1* können Sie die Berechtigungen zum Generieren einer URL für alle Benutzer in einem bestimmten Namespace gewähren. Sie können auch Berechtigungen zum Generieren einer URL für eine Teilmenge von Benutzern in bestimmten Namespaces gewähren. Dazu fügen Sie `quicksight:GenerateEmbedUrlForAnonymousUser` hinzu. Sie können in Ihrer IAM-Richtlinie eine Bedingung erstellen, die die Domains einschränkt, die Entwickler im `AllowedDomains`-Parameter einer `GenerateEmbedUrlForAnonymousUser`-API-Operation auflisten können. Der `AllowedDomains`-Parameter ist ein optionaler Parameter. Es gibt Entwicklern die Möglichkeit, die statischen Domains, die im Menü **Amazon Quick Sight verwalten** konfiguriert sind, zu überschreiben und stattdessen bis zu drei Domains oder Subdomains aufzulisten, die auf eine generierte URL zugreifen können. Diese URL wird dann in die Website eines Entwicklers eingebettet. Nur die Domains, die im Parameter aufgeführt sind, können auf die eingebettete Q-Suchleiste zugreifen. Ohne diese Bedingung können Entwickler jede Domain im Internet im `AllowedDomains`-Parameter auflisten. Um die Domains einzuschränken, die Entwickler mit diesem Parameter verwenden können, fügen Sie Ihrer IAM-Richtlinie eine `AllowedEmbeddingDomains`-Bedingung hinzu. Weitere Informationen zu dem `AllowedDomains` Parameter finden Sie [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com//quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)in der *Amazon Quick Sight API-Referenz*. **Bewährte Sicherheitsverfahren für IAM-Condition-Operatoren** Falsch konfigurierte IAM-Bedingungsoperatoren können über URL-Variationen unbefugten Zugriff auf Ihre eingebetteten Quick-Ressourcen ermöglichen. Verwenden Sie bei der Verwendung des `quicksight:AllowedEmbeddingDomains` Bedingungsschlüssels in Ihren IAM-Richtlinien Bedingungsoperatoren, die entweder bestimmte Domänen zulassen oder alle Domänen verweigern, die nicht ausdrücklich erlaubt sind. Weitere Informationen zu IAM-Bedingungsoperatoren finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) im IAM-Benutzerhandbuch. Viele verschiedene URL-Varianten können auf dieselbe Ressource verweisen. Die folgenden Dateien führen beispielsweise URLs alle zu demselben Inhalt: `https://example.com` `https://example.com/` `https://Example.com` Wenn in Ihrer Richtlinie Betreiber verwendet werden, die diese URL-Variationen nicht berücksichtigen, kann ein Angreifer Ihre Einschränkungen umgehen, indem er entsprechende URL-Varianten bereitstellt. Sie müssen überprüfen, ob Ihre IAM-Richtlinie geeignete Bedingungsoperatoren verwendet, um Sicherheitslücken zu umgehen und sicherzustellen, dass nur die von Ihnen vorgesehenen Domains auf Ihre eingebetteten Ressourcen zugreifen können. Der IAM-Identität Ihrer Anwendung muss eine Vertrauensrichtlinie zugeordnet sein, um den Zugriff auf die soeben erstellte Rolle zu gewähren. Dies bedeutet: Wenn ein Benutzer auf Ihre Anwendung zugreift, kann Ihre Anwendung die Rolle für den Benutzer übernehmen, um die Q-Suchleiste zu öffnen. Das folgende Beispiel zeigt eine Vertrauensrichtlinie. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowLambdaFunctionsToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Sid": "AllowEC2InstancesToAssumeThisRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Weitere Informationen bezüglich Vertrauensrichtlinien finden Sie unter [Temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) im *IAM-Benutzerhandbuch*. ## Schritt 2: Generieren Sie die URL mit dem angehängten Authentifizierungscode Schritt 2: Generieren der URL **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie Ihren Benutzer authentifizieren und die einbettungsfähige Q-Themen-URL auf Ihrem Anwendungsserver abrufen. Wenn ein Benutzer auf Ihre App zugreift, übernimmt die App die IAM-Rolle für den Benutzer. Dann fügt die App den Benutzer zu Amazon Quick Sight hinzu, falls dieser Benutzer noch nicht existiert. Anschließend übergibt sie eine ID als eindeutige Rollensitzungs-ID. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/quicksight/latest/APIReference/AnonymousUserQSearchBarEmbeddingConfiguration.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/AnonymousUserQSearchBarEmbeddingConfiguration.html). ### Java ``` import java.util.List; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.regions.Regions; import com.amazonaws.services.quicksight.AmazonQuickSight; import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder; import com.amazonaws.services.quicksight.model.AnonymousUserQSearchBarEmbeddingConfiguration; import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult; import com.amazonaws.services.quicksight.model.SessionTag; /** * Class to call QuickSight AWS SDK to generate embed url for anonymous user. */ public class GenerateEmbedUrlForAnonymousUserExample { private final AmazonQuickSight quickSightClient; public GenerateEmbedUrlForAnonymousUserExample() { quickSightClient = AmazonQuickSightClientBuilder .standard() .withRegion(Regions.US_EAST_1.getName()) .withCredentials(new AWSCredentialsProvider() { @Override public AWSCredentials getCredentials() { // provide actual IAM access key and secret key here return new BasicAWSCredentials("access-key", "secret-key"); } @Override public void refresh() { } } ) .build(); } public String GenerateEmbedUrlForAnonymousUser( final String accountId, // YOUR AWS ACCOUNT ID final String initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS AND SEARCHBAR PREPOPULATES INITIALLY final String namespace, // ANONYMOUS EMBEDDING REQUIRES SPECIFYING A VALID NAMESPACE FOR WHICH YOU WANT THE EMBEDDING URL final List authorizedResourceArns, // Q SEARCHBAR TOPIC ARN LIST TO EMBED final List allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING final List sessionTags // SESSION TAGS USED FOR ROW-LEVEL SECURITY ) throws Exception { AnonymousUserEmbeddingExperienceConfiguration experienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration(); AnonymousUserQSearchBarEmbeddingConfiguration qSearchBarConfiguration = new AnonymousUserQSearchBarEmbeddingConfiguration(); qSearchBarConfiguration.setInitialTopicId(initialTopicId); experienceConfiguration.setQSearchBar(qSearchBarConfiguration); GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest = new GenerateEmbedUrlForAnonymousUserRequest() .withAwsAccountId(accountId) .withNamespace(namespace) .withAuthorizedResourceArns(authorizedResourceArns) .withExperienceConfiguration(experienceConfiguration) .withSessionTags(sessionTags) .withSessionLifetimeInMinutes(600L); // OPTIONAL: VALUE CAN BE [15-600]. DEFAULT: 600 .withAllowedDomains(allowedDomains); GenerateEmbedUrlForAnonymousUserResult qSearchBarEmbedUrl = quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest); return qSearchBarEmbedUrl.getEmbedUrl(); } } ``` ### JavaScript ``` global.fetch = require('node-fetch'); const AWS = require('aws-sdk'); function generateEmbedUrlForAnonymousUser( accountId, // YOUR AWS ACCOUNT ID initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS quicksightNamespace, // VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING authorizedResourceArns, // Q SEARCHBAR TOPIC ARN LIST TO EMBED allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING sessionTags, // SESSION TAGS USED FOR ROW-LEVEL SECURITY generateEmbedUrlForAnonymousUserCallback, // SUCCESS CALLBACK METHOD errorCallback // ERROR CALLBACK METHOD ) { const experienceConfiguration = { "QSearchBar": { "InitialTopicId": initialTopicId // TOPIC ID CAN BE FOUND IN THE URL ON THE TOPIC AUTHOR PAGE } }; const generateEmbedUrlForAnonymousUserParams = { "AwsAccountId": accountId, "Namespace": quicksightNamespace, "AuthorizedResourceArns": authorizedResourceArns, "AllowedDomains": allowedDomains, "ExperienceConfiguration": experienceConfiguration, "SessionTags": sessionTags, "SessionLifetimeInMinutes": 600 }; const quicksightClient = new AWS.QuickSight({ region: process.env.AWS_REGION, credentials: { accessKeyId: AccessKeyId, secretAccessKey: SecretAccessKey, sessionToken: SessionToken, expiration: Expiration } }); quicksightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserParams, function(err, data) { if (err) { console.log(err, err.stack); errorCallback(err); } else { const result = { "statusCode": 200, "headers": { "Access-Control-Allow-Origin": "*", // USE YOUR WEBSITE DOMAIN TO SECURE ACCESS TO THIS API "Access-Control-Allow-Headers": "Content-Type" }, "body": JSON.stringify(data), "isBase64Encoded": false } generateEmbedUrlForAnonymousUserCallback(result); } }); } ``` ### Python3 ``` import json import boto3 from botocore.exceptions import ClientError import time # Create QuickSight and STS clients quicksightClient = boto3.client('quicksight',region_name='us-west-2') sts = boto3.client('sts') # Function to generate embedded URL for anonymous user # accountId: YOUR AWS ACCOUNT ID # quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING # authorizedResourceArns: TOPIC ARN LIST TO EMBED # allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING # experienceConfiguration: configuration which specifies the TOPIC ID to point URL to # sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, experienceConfiguration, sessionTags): try: response = quicksightClient.generate_embed_url_for_anonymous_user( AwsAccountId = accountId, Namespace = quicksightNamespace, AuthorizedResourceArns = authorizedResourceArns, AllowedDomains = allowedDomains, ExperienceConfiguration = experienceConfiguration, SessionTags = sessionTags, SessionLifetimeInMinutes = 600 ) return { 'statusCode': 200, 'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"}, 'body': json.dumps(response), 'isBase64Encoded': bool('false') } except ClientError as e: print(e) return "Error generating embeddedURL: " + str(e) ``` ### Node.js Das folgende Beispiel zeigt die Datei JavaScript (Node.js), die Sie auf dem App-Server verwenden können, um die URL für das eingebettete Dashboard zu generieren. Sie können diese URL auf Ihrer Website oder in Ihrer App verwenden, um das Dashboard aufzurufen. **Example** ``` const AWS = require('aws-sdk'); const https = require('https'); var quicksightClient = new AWS.Service({ apiConfig: require('./quicksight-2018-04-01.min.json'), region: 'us-east-1', }); quicksightClient.generateEmbedUrlForAnonymousUser({ 'AwsAccountId': '111122223333', 'Namespace': 'DEFAULT' 'AuthorizedResourceArns': '["topic-arn-topicId1","topic-arn-topicId2"]', 'AllowedDomains': allowedDomains, 'ExperienceConfiguration': { 'QSearchBar': { 'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f' } }, 'SessionTags': '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]', 'SessionLifetimeInMinutes': 15 }, function(err, data) { console.log('Errors: '); console.log(err); console.log('Response: '); console.log(data); }); ``` **Example** ``` //The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete. { Status: 200, EmbedUrl : 'https://quicksightdomain/embed/12345/dashboards/67890/sheets/12345/visuals/67890...', RequestId: '7bee030e-f191-45c4-97fe-d9faf0e03713' } ``` ### .NET/C\$1 Das folgende Beispiel zeigt den .NET/C \$1 Code, den Sie auf dem App-Server verwenden können, um die URL für die eingebettete Q-Suchleiste zu generieren. Sie können diese URL auf Ihrer Website oder in Ihrer App verwenden, um die Q-Suchleiste aufzurufen. **Example** ``` using System; using Amazon.QuickSight; using Amazon.QuickSight.Model; namespace GenerateQSearchBarEmbedUrlForAnonymousUser { class Program { static void Main(string[] args) { var quicksightClient = new AmazonQuickSightClient( AccessKey, SecretAccessKey, SessionToken, Amazon.RegionEndpoint.USEast1); try { AnonymousUserQSearchBarEmbeddingConfiguration anonymousUserQSearchBarEmbeddingConfiguration = new AnonymousUserQSearchBarEmbeddingConfiguration { InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f" }; AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration { QSearchBar = anonymousUserQSearchBarEmbeddingConfiguration }; Console.WriteLine( quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest { AwsAccountId = "111122223333", Namespace = "DEFAULT", AuthorizedResourceArns '["topic-arn-topicId1","topic-arn-topicId2"]', AllowedDomains = allowedDomains, ExperienceConfiguration = anonymousUserEmbeddingExperienceConfiguration, SessionTags = '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]', SessionLifetimeInMinutes = 15, }).Result.EmbedUrl ); } catch (Exception ex) { Console.WriteLine(ex.Message); } } } } ``` ### AWS CLI Um die Rolle zu übernehmen, wählen Sie eine der folgenden API-Operationen AWS -Security-Token-Service (AWS STS): + [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)— Verwenden Sie diesen Vorgang, wenn Sie eine IAM-Identität verwenden, um die Rolle zu übernehmen. + [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)— Verwenden Sie diesen Vorgang, wenn Sie einen Web-Identitätsanbieter verwenden, um Ihren Benutzer zu authentifizieren. + [AssumeRoleWithSaml](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)— Verwenden Sie diesen Vorgang, wenn Sie SAML zur Authentifizierung Ihrer Benutzer verwenden. Das folgende Beispiel zeigt den CLI-Befehl zum Festlegen der IAM-Rolle. Für die Rolle müssen die Berechtigungen für `quicksight:GenerateEmbedUrlForAnonymousUser` aktiviert sein. ``` aws sts assume-role \ --role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_search_bar_role" \ --role-session-name anonymous caller ``` Die `assume-role`-Operation gibt drei Parameter zurück: den Zugriffsschlüssel, den geheimen Schlüssel und das Sitzungs-Token. **Anmerkung** Wenn beim Aufrufen der Operation `AssumeRole` der Fehler `ExpiredToken` gemeldet wird, liegt dies wahrscheinlich daran, dass sich der vorherige `SESSION TOKEN`-Wert noch in den Umgebungsvariablen befindet. Deaktivieren Sie dies, indem Sie die folgenden Variablen einstellen: *AWS\$1ACCESS\$1KEY\$1ID* *AWS\$1SECRET\$1ZUGANGSSCHLÜSSEL* *AWS\$1SESSION\$1TOKEN* Das folgende Beispiel zeigt, wie Sie diese drei Parameter in der CLI einrichten. Für einen Microsoft Windows-Computer verwenden Sie `set` anstelle von `export`. ``` export AWS_ACCESS_KEY_ID = "access_key_from_assume_role" export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role" export AWS_SESSION_TOKEN = "session_token_from_assume_role" ``` Diese Befehle setzen die Rollensitzungs-ID des Benutzers, der Ihre Website besucht, auf `embedding_quicksight_q_search_bar_role/QuickSightEmbeddingAnonymousPolicy`. Die Rollensitzungs-ID besteht aus dem Rollennamen `role-arn` und dem `role-session-name`-Wert. Die Verwendung der eindeutigen Rollensitzungs-ID für jeden Benutzer garantiert, dass fpr jeden benutzer die korrekten Berechtigungen eingerichtet werden. Außerdem wird eine Drosselung des Benutzerzugriffs verhindert. *Throttling* ist eine Sicherheitsfunktion, die verhindert, dass derselbe Benutzer von mehreren Standorten aus auf Amazon Quick Sight zugreift. Darüber hinaus hält sie auch jede Sitzung getrennt und unterscheidbar. Wenn Sie eine Reihe von Webservern verwenden, z. B. für den Lastenausgleich, und eine Sitzung erneut mit einem anderen Server verbunden wird, beginnt eine neue Sitzung. Um eine signierte URL für das Dashboard zu erhalten, rufen Sie `generate-embed-url-for-anynymous-user` vom App-Server auf. Dies gibt die einbettungsfähige Dashboard-URL zurück. Das folgende Beispiel zeigt, wie Sie die URL für ein eingebettetes Dashboard mithilfe eines serverseitigen Aufrufs für Benutzer generieren, die Ihr Webportal oder Ihre App anonym besuchen. ``` aws quicksight generate-embed-url-for-anonymous-user \ --aws-account-id 111122223333 \ --namespace default-or-something-else \ --authorized-resource-arns '["topic-arn-topicId1","topic-arn-topicId2"]' \ --allowed-domains '["domain1","domain2"]' \ --experience-configuration 'QSearchBar={InitialTopicId="topicId1"}' \ --session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \ --session-lifetime-in-minutes 15 ``` Weitere Informationen zur Verwendung dieser Operation finden Sie unter [https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForRegisteredUser.html). Sie können diese und andere API-Operationen in Ihrem eigenen Code verwenden. ## Schritt 3: Betten Sie die URL der Q-Suchleiste ein Schritt 3: Einbetten der URL **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Im folgenden Abschnitt erfahren Sie, wie Sie die Q-Suchleisten-URL aus Schritt 3 in Ihre Website oder Anwendungsseite einbetten. Sie tun dies mit dem [Amazon Quick Sight Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) (JavaScript). Mit dem SDK können Sie folgende Aktionen ausführen: + Platzieren Sie die Q-Suchleiste auf einer HTML-Seite. + Übergeben Sie Parameter an die Q-Suchleiste. + Umgang mit Fehlerstatus mit Meldungen, die an Ihre Anwendung angepasst wurden. Rufen Sie die `GenerateEmbedUrlForAnonymousUser`-API-Operation auf, um die URL zu generieren, die Sie in Ihre App einbetten können. Diese URL ist für 5 Minuten gültig, die resultierende Sitzung für bis zu 10 Stunden. Die API-Operation stellt die URL mit einem `auth_code`-Wert bereit, der eine Single-Sign-On-Sitzung unterstützt. Es folgt eine Beispielantwort von `generate-embed-url-for-anonymous-user`: ``` //The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete. { "Status": "200", "EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...", "RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713" } ``` Betten Sie die Q-Suchleiste in Ihre Webseite ein, indem Sie das [Amazon Quick Sight-Embedding SDK](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk) verwenden oder diese URL zu einem Iframe hinzufügen. Wenn Sie eine feste Zahl für Höhe und Breite (in Pixeln) festlegen, verwendet Amazon Quick Sight diese und ändert Ihr Erscheinungsbild nicht, wenn sich die Größe Ihres Fensters ändert. Wenn Sie Höhe und Breite in Prozent angeben, bietet Amazon Quick Sight ein responsives Layout, das sich an die Fenstergröße anpasst. Stellen Sie dazu sicher, dass die Domain, die die eingebettete Q-Suchleiste hosten soll, auf der *Zulassungsliste* steht, der Liste der zugelassenen Domains für Ihr Amazon Quick Sight-Abonnement. Diese Voraussetzung schützt die Daten, indem unzulässige Domains daran gehindert werden, eingebettete Q-Suchleiste zu hosten. Weitere Informationen zum Hinzufügen von Domains für eine eingebettete Q-Suchleiste finden Sie unter [Domains verwalten und einbetten](https://docs.aws.amazon.com/quicksight/latest/user/manage-qs-domains-and-embedding.html). Wenn Sie das Amazon Quick Sight Embedding SDK verwenden, wird die Größe der Q-Suchleiste auf Ihrer Seite je nach Status dynamisch angepasst. Mithilfe des Amazon Quick Sight Embedding SDK können Sie auch Parameter in der Q-Suchleiste steuern und Rückrufe in Bezug auf den Abschluss des Seitenladevorgangs und Fehler erhalten. Im folgenden Beispiel wird gezeigt, wie Sie die generierte URL nutzen. Dieser Code wird auf Ihrem App-Server generiert. ### SDK 2.0 ``` Q Search Bar Embedding Example
``` ### SDK 1.0 ``` QuickSight Q Search Bar Embedding
``` Damit dieses Beispiel funktioniert, stellen Sie sicher, dass Sie das Amazon Quick Sight Embedding SDK verwenden, um die eingebettete Q-Suchleiste auf Ihrer Website mit JavaScript zu laden. Führen Sie für den Erhalt dieser Kopie einen der folgenden Schritte aus: + Laden Sie das [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk#step-3-create-the-quicksight-session-object) von GitHub herunter. Dieses Repository wird von einer Gruppe von Amazon Quick Sight-Entwicklern verwaltet. + Laden Sie die neueste Version des eingebetteten SDK von [https://www.npmjs.com/package/amazon-quicksight-embedding-sdk](https://www.npmjs.com/package/amazon-quicksight-embedding-sdk)herunter. + Wenn Sie `npm` for JavaScript dependencies verwenden, laden Sie es herunter und installieren Sie es, indem Sie den folgenden Befehl ausführen. ``` npm install amazon-quicksight-embedding-sdk ``` ## Optionale Funktionen zum Einbetten der Suchleiste von Amazon Quick Sight Q Optionale Funktionalitäten **Anmerkung** Die eingebettete Amazon Quick Sight Q-Suchleiste bietet das klassische Amazon Quick Sight Q & A-Erlebnis. Amazon Quick Sight lässt sich in Amazon Q Business integrieren, um ein neues generatives Q&A-Erlebnis einzuführen. Entwicklern wird empfohlen, das neue Erlebnis mit generativem Q&A zu nutzen. Weitere Informationen zum eingebetteten generativen Q&A-Erlebnis finden Sie unter [Einbetten des generativen Q&A-Erlebnisses von Amazon Q in Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/embedding-gen-bi.html). Die folgenden optionalen Funktionen sind für die eingebettete Q-Suchleiste mithilfe des eingebetteten SDK verfügbar. ### Rufen Sie Aktionen in der Q-Suchleiste auf Die folgenden Optionen werden nur für die Einbettung von Q-Suchleisten unterstützt. + Stellen Sie ein Feature in der Q-Suchleiste ein — Dieses Feature sendet eine Frage an die Q-Suchleiste und fragt die Abfrage sofort ab. Außerdem wird das Q-Popover automatisch geöffnet. ``` qBar.setQBarQuestion('show me monthly revenue'); ``` + Q-Popover schließen — Dieses Feature schließt das Q-Popover und setzt den iframe auf die ursprüngliche Größe der Q-Suchleiste zurück. ``` qBar.closeQPopover(); ``` Weitere Informationen finden Sie im [Amazon Quick Sight Embedding SDK](https://github.com/awslabs/amazon-quicksight-embedding-sdk).