Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Sicherheit auf Zeilenebene mit benutzerbasierten Regeln zum Beschränken des Zugriffs auf einen Datensatz
<a name="restrict-access-to-a-data-set-using-row-level-security"></a>


|  | 
| --- |
|  Gilt für: Enterprise Edition  | 

In der Enterprise Edition von Amazon Quick können Sie den Zugriff auf einen Datensatz einschränken, indem Sie die Sicherheit auf Zeilenebene (RLS) für ihn konfigurieren. Sie können diese Konfiguration vor oder nach dem Freigeben des Datasets vornehmen. Wenn Sie einen Datensatz mit RLS für Datensatzbesitzer teilen, können diese trotzdem alle Daten sehen. Wenn Sie ihn mit Lesern teilen, können diese jedoch nur die Daten sehen, die durch die Regeln für den Berechtigungsdatensatz eingeschränkt sind. Durch Hinzufügen der Sicherheit auf Zeilenebene können Sie deren Zugriff genauer steuern.

**Anmerkung**  
Bei der Anwendung von SPICE-Datensätzen auf die Sicherheit auf Zeilenebene kann jedes Feld im Datensatz bis zu 2.047 Unicode-Zeichen enthalten. Felder, die mehr als dieses Kontingent enthalten, werden bei der Aufnahme gekürzt. Weitere Informationen zu SPICE-Datenkontingenten finden Sie unter [SPICE-Kontingente für importierte Daten](data-source-limits.md#spice-limits).

Dazu erstellen Sie eine Abfrage oder Datei mit einer Spalte zur Benutzer- oder Gruppenidentifikation. Sie können entweder `UserName` und oder `GroupName` alternativ `UserARN` und verwenden`GroupARN`. Dies entspricht weitgehend dem *Hinzufügen einer Regel* zu diesem Benutzer oder dieser Gruppe. Anschließend können Sie der Abfrage oder der Datei eine Spalte für jedes Feld hinzufügen, für das Sie den Zugriff erteilen oder verhindern wollen. Für jeden Benutzer- oder Gruppennamen, den Sie hinzufügen, fügen Sie die Werte für jedes Feld hinzu. Sie können NULL (kein Wert) verwenden, was "alle Werte" bedeutet. Beispiele für Dataset-Regeln finden Sie unter [Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene](#create-data-set-rules-for-row-level-security).

Um die Dataset-Regeln anzuwenden, fügen Sie diese dem Dataset als Berechtigungsdaten hinzu. Beachten Sie folgende Punkte:
+ Das Datenset mit den Berechtigungen darf keine Duplikatwerte enthalten. Duplikate werden ignoriert, wenn evaluiert wird, wie die Regeln anzuwenden sind.
+ Jeder angegebene Benutzer oder jede angegebene Gruppen nur die Zeilen, die mit den Feldwerten in den Datenset-Regeln *übereinstimmen*. 
+ Wenn Sie einem Benutzer oder einer Gruppe eine Regel hinzufügen und alle anderen Spalten ohne Wert (NULL) beibehalten, gewähren Sie Zugriff auf alle Daten. 
+ Wenn Sie keine Regel für einen Benutzer oder eine Gruppe hinzufügen, sieht dieser Benutzer oder diese Gruppe keine Daten. 
+ Der vollständige Satz von Regeldatensätzen, die pro Benutzer angewendet werden, darf 999 nicht überschreiten. Diese Beschränkung gilt für die Gesamtzahl der Regeln, die einem Benutzernamen direkt zugewiesen sind, plus alle Regeln, die dem Benutzer über Gruppennamen zugewiesen werden. 
+ Wenn ein Feld ein Komma (,) enthält, behandelt Amazon Quick jedes Wort, das durch ein Komma voneinander getrennt ist, als individuellen Wert im Filter. Beispielsweise wird in `('AWS', 'INC')`, `AWS,INC` als zwei Zeichenfolgen betrachtet: `AWS` und `INC`. Um nach `AWS,INC` zu filtern, setzen Sie die Zeichenfolge im Berechtigungsdatensatz in doppelte Anführungszeichen. 

  Wenn es sich bei dem eingeschränkten Datensatz um einen SPICE-Datensatz handelt, darf die Anzahl der pro Benutzer angewendeten Filterwerte 192.000 für jedes eingeschränkte Feld nicht überschreiten. Dies gilt für die Gesamtzahl der Filterwerte, die einem Benutzernamen direkt zugewiesen sind, plus alle Filterwerte, die dem Benutzer über Gruppennamen zugewiesen werden.

  Wenn es sich bei dem eingeschränkten Datensatz um einen Datensatz mit Direktabfrage handelt, variiert die Anzahl der pro Benutzer angewendeten Filterwerte je nach Datenquelle.

  Eine Überschreitung des Grenzwerts für den Filterwert kann dazu führen, dass das visuelle Rendern fehlschlägt. Wir empfehlen, Ihrem eingeschränkten Datensatz eine zusätzliche Spalte hinzuzufügen, um die Zeilen auf der Grundlage der ursprünglichen eingeschränkten Spalte in Gruppen zu unterteilen, sodass die Filterliste gekürzt werden kann.

Amazon Quick behandelt Leerzeichen als Literalwerte. Wenn Sie ein Leerzeichen in einem Feld haben, für das Sie den Zugriff einschränken, gilt die Dataset-Regel für diese Zeilen. Amazon Quick behandelt beides NULLs und Leerzeichen (leere Zeichenketten „“) als „keinen Wert“. Eine NULL ist ein leerer Feldwert. 

Je nach verwendeter Datenquelle kann eine direkte Abfrage für den Zugriff auf eine Tabelle von Berechtigungen konfiguriert werden. Begriffe, die Leerzeichen enthalten, müssen nicht in Anführungszeichen eingeschlossen werden. Wenn Sie eine direkte Abfrage verwenden, können Sie die Abfrage einfach in der ursprünglichen Datenquelle ändern. 

Sie können auch Dataset-Regeln aus einer Textdatei oder einem Arbeitsblatt importieren. Wenn Sie eine CSV-Datei (Datei mit Kommas als Trennzeichen zwischen Werten) verwenden, dürfen Sie keine Leerzeichen in die gegebene Zeile einfügen. Begriffe, die Leerzeichen enthalten, müssen in Anführungszeichen eingeschlossen werden. Wenn Sie dateibasierte Datenset-Regeln verwenden, müssen Sie Änderungen vornehmen, indem Sie die vorhandenen Regeln in den Berechtigungseinstellungen des Datensets überschreiben.

Eingeschränkte Datensätze sind auf dem **Datenbildschirm** mit dem Wort **RESTRICTED** gekennzeichnet.

Untergeordnete Datensätze, die aus einem übergeordneten Datensatz mit aktiven RLS-Regeln erstellt wurden, behalten dieselben RLS-Regeln wie der übergeordnete Datensatz. Sie können dem untergeordneten Datensatz weitere RLS-Regeln hinzufügen, aber Sie können die RLS-Regeln, die der Datensatz vom übergeordneten Datensatz erbt, nicht entfernen. 

Untergeordnete Datenmengen, die aus einer übergeordneten Datenmenge mit aktiven RLS-Regeln erstellt wurden, können nur mit einer Direkten Abfrage erstellt werden. Untergeordnete Datensätze, die die RLS-Regeln der übergeordneten Datenmenge erben, werden in SPICE nicht unterstützt.

Sicherheit auf Zeilenebene ist nur bei Feldern mit Textdaten (string, char, varchar usw.) möglich. Sie kann derzeit nicht für Datums- oder numerische Felder verwendet werden. Die Erkennung von Anomalien wird für Datensätze, die Sicherheit auf Zeilenebene (RLS) verwenden, nicht unterstützt.

## Erstellen von Dataset-Regeln für die Sicherheit auf Zeilenebene
<a name="create-data-set-rules-for-row-level-security"></a>

Führen Sie die folgenden Schritte durch, um eine Berechtigungsdatei oder Abfrage mit Dataset-Regeln zu erstellen.

**So erstellen Sie eine Berechtigungsdatei oder Abfrage mit Dataset-Regeln**

1. Erstellen Sie eine Datei oder eine Abfrage, die die Dataset-Regeln (Berechtigungen) für die Sicherheit auf Zeilenebene enthält. 

   Die Reihenfolge der Felder spielt keine Rolle. Allerdings wird bei allen Feldern die Groß-/Kleinschreibung berücksichtigt. Stellen Sie sicher, dass sie genau mit den Feldnamen und Werten übereinstimmen. 

   Die Struktur sollte ähnlich einer der folgenden aussehen. Stellen Sie sicher, dass Sie mindestens ein Feld haben, das entweder Benutzer oder Gruppen identifiziert. Sie können beide einbeziehen, aber es wird nur ein einziges benötigt, und es wird jeweils nur eines verwendet. Das Feld, das Sie für Benutzer oder Gruppen verwenden, kann einen beliebigen Namen haben.
**Anmerkung**  
Wenn Sie Gruppen angeben, verwenden Sie nur Amazon Quick-Gruppen oder Microsoft AD-Gruppen. 

   Das folgende Beispiel zeigt eine Tabelle mit Gruppen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Das folgende Beispiel zeigt eine Tabelle mit Benutzernamen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Das folgende Beispiel zeigt eine Tabelle mit Amazon Resource Names (ARNs) für Benutzer und Gruppen.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Oder wenn Sie eine CSV-Datei verwenden möchten, sollte die Struktur ähnlich wie bei einer der folgenden aussehen.

   ```
   UserName,SalesRegion,Segment
   AlejandroRosalez,EMEA,"Enterprise,SMB,Startup"
   MarthaRivera,US,Enterprise
   NikhilJayashankars,US,SMB
   PauloSantos,US,Startup
   SaanviSarkar,APAC,"SMB,Startup"
   sales-tps@example.com,"",""
   ZhangWei,APAC-Sales,"Enterprise,Startup"
   ```

   ```
   GroupName,SalesRegion,Segment
   EMEA-Sales,EMEA,"Enterprise,SMB,Startup"
   US-Sales,US,Enterprise
   US-Sales,US,SMB
   US-Sales,US,Startup
   APAC-Sales,APAC,"SMB,Startup"
   Corporate-Reporting,"",""
   APAC-Sales,APAC,"Enterprise,Startup"
   ```

   ```
   UserARN,GroupARN,SalesRegion
   arn:aws:quicksight:us-east-1:123456789012:user/Bob,arn:aws:quicksight:us-east-1:123456789012:group/group-1,APAC
   arn:aws:quicksight:us-east-1:123456789012:user/Sam,arn:aws:quicksight:us-east-1:123456789012:group/group-2,US
   ```

   Es folgt ein SQL-Beispiel.

   ```
   /* for users*/
   	select User as UserName, SalesRegion, Segment
   	from tps-permissions;
   
   	/* for groups*/
   	select Group as GroupName, SalesRegion, Segment
   	from tps-permissions;
   ```

1. Erstellen eines Datensatzes für die Datensatzregeln. Damit Sie dieses später einfacher finden können, vergeben Sie einen aussagekräftigen Namen wie beispielsweise **Permissions-Sales-Pipeline**.

## Erstellen von Datensatzregeln für die Sicherheit auf Zeilenebene
<a name="rules-dataset-flagging-for-row-level-security"></a>

Gehen Sie wie folgt vor, um einen Datensatz als einen Regeldatensatz zu kennzeichnen.

Der Regeldatensatz ist ein Kennzeichen, das Berechtigungsdatensätze, die für die Sicherheit auf Zeilenebene verwendet werden, von regulären Datensätzen unterscheidet. Wenn ein Berechtigungsdatensatz vor dem 31. März 2025 auf einen regulären Datensatz angewendet wurde, wird er auf der Landingpage **Datensatz** mit dem Kennzeichen Regeldatensatz gekennzeichnet. 

Wenn ein Berechtigungsdatensatz bis zum 31. März 2025 nicht auf einen regulären Datensatz angewendet wurde, wird er als regulärer Datensatz eingestuft. Um ihn als Regeldatensatz zu verwenden, duplizieren Sie den Berechtigungsdatensatz und kennzeichnen Sie ihn bei der Erstellung des Datensatzes in der Konsole als Regeldatensatz. Wählen Sie DATENSATZ BEARBEITEN und wählen Sie unter den Optionen die Option ALS REGELDATENSATZ DUPLIZIEREN aus. 

Um ihn erfolgreich als Regeldatensatz zu duplizieren, stellen Sie sicher, dass der ursprüngliche Datensatz Folgendes hat: 1. Erforderliche Spalten für Benutzermetadaten oder Gruppenmetadaten und 2. Nur Spalten vom Typ Zeichenfolge.

Um einen neuen Regeldatensatz auf der Konsole zu erstellen, wählen Sie in der Dropdownliste NEUER DATENSATZ die Option NEUER REGELDATENSATZ aus. Wenn Sie einen Regeldatensatz programmgesteuert erstellen, fügen Sie den folgenden Parameter hinzu [UseAs:](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSet.html#API_CreateDataSet_RequestSyntax) RLS\$1RULES. Dies ist ein optionaler Parameter, der nur zum Erstellen eines Regeldatensatzes verwendet wird. Sobald ein Datensatz entweder über die Konsole oder programmgesteuert erstellt und als Regeldatensatz oder regulärer Datensatz gekennzeichnet wurde, kann er nicht mehr geändert werden.

Sobald Datensätze als Regeldatensätze gekennzeichnet sind, wendet Amazon Quick strenge SPICE-Aufnahmeregeln auf sie an. Um die Datenintegrität zu gewährleisten, schlagen SPICE-Aufnahmen für Regeldatensätze fehl, wenn ungültige Zeilen oder Zellen vorhanden sind, die Längenbeschränkungen überschreiten. Sie müssen die Aufnahmeprobleme beheben, um eine erfolgreiche Aufnahme erneut starten zu können. Strenge Aufnahmeregeln gelten nur für Regeldatensätze. Bei regulären Datensätzen kommt es nicht zu Fehlern bei der Datensatzaufnahme, wenn Zeilen übersprungen oder Zeichenketten gekürzt werden. 

## Anwenden der Sicherheit auf Zeilenebene
<a name="apply-row-level-security"></a>

Gehen Sie wie folgt vor, um die Sicherheit auf Zeilenebene (RLS) anzuwenden. Verwenden Sie dabei eine Datei oder Abfrage als Dataset, das die Regeln für Berechtigungen enthält. 

**So wenden Sie mithilfe einer Datei oder Abfrage Sicherheit auf Zeilenebene**

1. Vergewissern Sie sich, dass Sie die Regeln als neues Dataset hinzugefügt haben. Wenn die Regeln hinzugefügt wurden, aber nicht in der Liste der Datasets angezeigt werden, aktualisieren Sie den Bildschirm.

1. Wählen Sie auf der **Datenseite den Datensatz** aus

1. Wählen Sie auf der sich öffnenden Datensatz-Detailseite für **Sicherheit auf Zeilenebene** die Option **Einrichten** aus.

1. Wählen Sie auf der daraufhin geöffneten Seite **Sicherheit auf Zeilenebene einrichten** die Option **Benutzerbasierte Regeln** aus.

1. Wählen Sie in der erscheinenden Liste der Datasets das Dataset mit den Berechtigungen aus. 

   Wenn die Berechtigungsdaten nicht in diesem Bildschirm angezeigt werden, kehren Sie zur Seite mit der Dataset-Liste zurück und laden Sie diese erneut.

1. Wählen Sie unter **Berechtigungsrichtlinie** die Option **Zugriff auf Datensatz gewähren** aus. Jedes Dataset kann nur ein aktives Dataset mit Berechtigungen enthalten. Wenn Sie ein zweites Dataset mit Berechtigungen hinzufügen, wird das vorhandene überschrieben.
**Wichtig**  
Beim Konfigurieren von Sicherheit auf Zeilenebene gelten für NULL- und leere Zeichenfolgenwerte bestimmte Einschränkungen:  
Wenn Felder mit beschränktem Zugriff im Dataset NULL-Werte oder leere Zeichenfolgen („“) enthalten, werden die betreffenden Zeilen beim Anwenden der Beschränkungen ignoriert. 
Innerhalb des Datasets mit den Berechtigungen werden NULL-Werte und leere Zeichenfolgen gleich behandelt. Weitere Informationen können Sie der folgenden Tabelle entnehmen.
Um zu verhindern, dass versehentlich vertrauliche Informationen preisgegeben werden, überspringt Amazon Quick leere RLS-Regeln, die allen Zugriff gewähren. Eine *leere RLS-Regel* tritt auf, wenn alle Spalten einer Zeile keinen Wert haben. Quick RLS behandelt NULL, leere Zeichenketten („“) oder leere, durch Kommas getrennte Zeichenketten (zum Beispiel „,,,“) als keinen Wert.  
Nach dem Überspringen leerer Regeln gelten weiterhin andere, nicht leere RLS-Regeln.
Wenn ein Berechtigungsdatensatz nur leere Regeln enthält und alle Regeln übersprungen wurden, hat niemand Zugriff auf Daten, die durch diesen Berechtigungsdatensatz eingeschränkt sind.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html)

   Jeder Benutzer, für den Sie Ihr Dashboard freigegeben haben, kann alle darin enthaltenen Daten sehen, sofern der Zugriff auf das Dataset nicht durch Dataset-Regeln beschränkt wird. 

1. Wählen Sie **Apply data set** (Datensatz anwenden), um Ihre Änderungen zu speichern. Wählen Sie dann auf der Seite **Datensatzregel speichern?** **Anwenden und aktivieren** aus. Änderungen an Berechtigungen werden sofort für die vorhandenen Benutzer übernommen. 

1. (Optional) Wenn Sie Berechtigungen entfernen möchten, entfernen Sie zunächst die Dataset-Regeln aus dem Dataset. 

   Vergewissern Sie sich, dass die Dataset-Regeln entfernt wurden. Wählen Sie dann das Dataset mit den Berechtigungen aus und klicken Sie auf **Remove data set** (Datensatz entfernen).

   Um Berechtigungen zu überschreiben, wählen Sie ein neues Dataset mit Berechtigungen aus und wenden Sie dieses an. Sie können denselben Datensatznamen verwenden. Stellen Sie jedoch sicher, dass Sie die neuen Berechtigungen auf dem Bildschirm **Berechtigungen** anwenden, um diese Berechtigungen zu aktivieren. SQL-Abfragen werden dynamisch aktualisiert, sodass sie außerhalb von Amazon Quick verwaltet werden können. Bei Abfragen werden die Berechtigungen aktualisiert, wenn der Cache für direkte Abfragen automatisch aktualisiert wird.

Wenn Sie ein dateibasiertes Dataset mit Berechtigungen löschen, bevor Sie es aus dem Ziel-Dataset entfernt haben, können zugriffsbeschränkte Benutzer nicht mehr auf das Dataset zugreifen. Während sich das Dataset in diesem Zustand befindet, bleibt es als **RESTRICTED** gekennzeichnet. Wenn Sie jedoch den Bildschirm **Permissions** dieses Datasets anzeigen, können Sie sehen, dass keine Dataset-Regeln ausgewählt sind. 

Um dieses Problem zu beheben, legen Sie neue Dataset-Regeln fest. Das Erstellen eines Datasets mit demselben Namen reicht dazu nicht aus. Sie müssen das neue Dataset mit Berechtigungen auf dem Bildschirm **Permissions** auswählen. Diese Einschränkung gilt nicht für direkte SQL-Abfragen.