Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces - Amazon QuickSight
Zur Migration bestehender Benutzer von einem Namespace in einen anderen Namespace

Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces

Amazon QuickSight Enterprise Edition unterstützt Mehrmandantenfähigkeit über Namespaces. Ein QuickSight-Namespace ist ein logischer Container, mit dem Sie Kunden, Niederlassungen, Teams usw. organisieren können. Namespaces können Ihnen helfen, die folgenden Ziele zu erreichen:

  • Sie können den Benutzern Ihres QuickSight-Abonnements ermöglichen, geteilte Inhalte zu entdecken und mit anderen Benutzern zu teilen. Gleichzeitig können Sie sicher sein, dass Benutzer in einem Namespace keine Benutzer in einem anderen Namespace sehen oder mit ihnen interagieren können.

  • Sie können Daten sicher isolieren und auch verschiedene Workloads unterstützen, ohne zusätzliche AWS-Konten hinzufügen zu müssen. Der Zugriff auf Daten wird immer noch streng durch die AWS-Sicherheitsfunktionen kontrolliert. Benutzer können Komponenten (wie Daten und Dashboards) nur sehen, wenn sie über die richtigen Ressourcenberechtigungen verfügen. Außerdem können Benutzer, die über Berechtigungen verfügen, Inhalte nicht versehentlich Personen zugänglich machen, die sich außerhalb ihres Namespaces befinden. Weitere Informationen finden Sie unter AWS-Sicherheit in Amazon QuickSight.

  • Sie können Datenflüsse und Nutzungsberichte überwachen, die übersichtlich nach Namespaces unterteilt sind. Die Kategorisierung von Daten und Berichten nach Namespace kann dazu beitragen, die Kosten- und Sicherheitsanalyse zu vereinfachen.

  • Nachdem Sie Benutzer in Ihrem Namespace registriert haben, entsteht kein zusätzlicher Verwaltungsaufwand oder Mehraufwand.

  • Namespaces sind so konzipiert, dass sie AWS-Regionen umfassen, sodass sich die Nutzungsbeschränkung auch dann nicht ändert, wenn sich eine Person bei einem anderen AWS-Region anmeldet.

Namespaces haben derzeit die folgenden Einschränkungen:

  • Benutzerdefinierte Namespaces — also solche, die nicht der Standard-Namespace sind — sind nur für Benutzer von IAM Federated Single Sign On zugänglich.

  • Verwenden Sie Standard-Namespaces anstelle von benutzerdefinierten Namespaces, wenn Sie Folgendes unterstützen müssen:

  • Sie können Benutzer nicht direkt von einem Namespace in einen anderen übertragen. Sie können wählen, ob Sie diese Arbeit teilweise oder vollständig programmgesteuert erledigen möchten. Weitere Informationen finden Sie in der Amazon QuickSight API-Referenz. Unten auf der Seite jeder API-Operation befindet sich eine Liste mit Links zu derselben Operation in den SDKs für andere Sprachen. Welche SDKs verfügbar sind, finden Sie unter SDKs und Toolkits im AWS-Ressourcencenter Erste Schritte.

  • Namespaces sind nützlich, um Benutzer und Berechtigungen zu isolieren, aber nicht, um Ressourcen gemeinsam zu nutzen. Dashboards, Datensätze und Analysen können mit Benutzern in verschiedenen Namespaces geteilt werden. Standardmäßig können Benutzer nicht auf Elemente zugreifen, die sich standardmäßig im selben Namespace befinden. Sie erhalten jedoch Zugriff auf bestimmte Assets, wenn das Asset mit ihnen geteilt wird.

Wenn Sie noch kein AWS-Konto haben oder sich für QuickSight registrieren müssen, lesen Sie die folgenden Richtlinien und folgen Sie dann den entsprechenden Anweisungen unter Registrierung für ein Amazon-QuickSight-Abonnement:

  • Melden Sie sich für die Enterprise Edition an.

  • Wenn Sie gefragt werden, mit welcher Methode Sie eine Verbindung herstellen möchten, wählen Sie Role Based Federation (IAM). Derzeit unterstützen Namespaces nur Kunden, die eine AWS Identity and Access Management (IAM-) Rolle mit einem Web-Identitätsverbund verwenden. Weitere Informationen finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund)

  • Schließen Sie den Anmeldevorgang ab.

  • Verwenden Sie die QuickSight-CreateNamespace-API-Operation, um einen oder mehrere Namespaces zu erstellen.

  • Um mit dem Hinzufügen von Benutzern zu beginnen, folgen Sie zunächst den Anweisungen unter Einrichten eines Identitätsanbieter-Verbunds mit IAM und QuickSight. Verwenden Sie dann die RegisterUser-API-Operation, um Benutzer zum entsprechenden Namespace hinzuzufügen.

Wenn Sie sich bereits für die Standard Edition angemeldet haben, können Sie Ihr Abonnement problemlos auf die Enterprise Edition aktualisieren. Die Person, die das Upgrade durchführt, muss ein QuickSight-Benutzer mit Administratorrechten sein. Weitere Informationen finden Sie unter Upgrade Ihres Amazon QuickSight-Abonnements von der Standard-Edition auf die Enterprise-Edition.

Wenn Sie ein Enterprise Edition-Abonnement haben, das Sie schon länger verwenden, ist es auch möglich, Ihre Benutzer in Namespaces zu migrieren. Wenn Sie sich für QuickSight registrieren und Benutzer hinzufügen, befinden sich alle Benutzer im Standard-Namespace. Alle Benutzer können direkt miteinander interagieren und Daten und Dashboards miteinander teilen. Um Ihre Benutzer voneinander zu isolieren, können Sie einen oder mehrere zusätzliche Namespaces erstellen.

Wichtig

QuickSight-Komponenten und -Ressourcen, einschließlich Datensätzen, Datenquellen, Dashboards, Analysen usw., existieren außerhalb eines beliebigen Namespaces. Sie sind nur für Benutzer sichtbar, denen Ressourcenberechtigungen erteilt wurden.

Um Namespaces zu implementieren, verwenden Sie die folgenden QuickSight-API-Operationen:

Namespaces werden in den unten aufgeführten Regionen nicht unterstützt:

  • af-south-1 Afrika (Kapstadt)

  • ap-southeast-3 Asien-Pazifik (Jakarta)

  • eu-south-1 Europa (Mailand)

  • eu-central-2 Europa (Zürich)

Anmerkung

Informationen zum Installieren der AWS CLI finden Sie unter Installieren der AWS CLI Version 2 im AWS Command Line Interface-Benutzerhandbuch.

Um Benutzer zu einem Namespace hinzuzufügen, verwenden Sie die RegisterUser-API-Operation. Jeder Namespace hat eine völlig unabhängige Gruppe von Benutzern. Die Benutzer-ARNs enthalten den Namespace-Qualifier, um sie zu unterscheiden, wie in den folgenden Beispielen gezeigt:

  • QuickSight betrachtet diese beiden Entitäten als unterschiedliche Personen:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight betrachtet diese beiden Entitäten als dieselbe Person:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Wenn Sie RegisterUser verwenden, wählen Sie für jeden Benutzer eine Zugriffsebene aus. Nachdem der Benutzername einer Person einer der Sicherheitskohorten zugewiesen wurde, wird ihr Zugriff auf die Konsole und die API eingeschränkt. Personen, die QuickSight verwenden, können wie folgt über eine einzige Zugriffsebene verfügen:

  • Leserzugriff für Subscriber eines Dashboards mit Lesezugriff

  • Autorenzugriff für Analysten und Dashboard-Designer

  • Administratorzugriff für QuickSight-Administratoren

Zur Migration bestehender Benutzer von einem Namespace in einen anderen Namespace

Befolgen Sie die nachstehenden Schritte, um bestehende Benutzer von einem Namespace in einen anderen zu migrieren.

  1. Identifizieren Sie die Benutzer, die Sie in einen anderen Namespace übertragen möchten, mithilfe der QuickSight-Benutzer- und Gruppen-API-Operationen. Weitere Informationen finden Sie unter API-Operationen zur Zugriffskontrolle in der Amazon QuickSight-API-Referenz.

  2. Erstellen Sie Benutzer im neuen Namespace mithilfe der API-Operation RegisterUser. Innerhalb eines Namespaces sind Benutzernamen eindeutig.

    Wenn ein Namespace-Benutzer anfängt, die QuickSight-Konsole oder -API in einem neuen AWS-Region zu verwenden, ist dieser Benutzer immer noch auf den Namespace beschränkt, zu dem Sie ihn hinzugefügt haben. Jeder Namespace steht für ein Benutzerverzeichnis eines Identitätsanbieters. Daher hat es seinen Ursprung in der Primärregion AWS-Region, in der QuickSight eingerichtet ist. Da das Benutzerverzeichnis jedoch global in Ihrem AWS-Konto verbreitet wird, ist der Namespace von jeder AWS-Region aus zugänglich, von der Ihre Benutzer QuickSight verwenden.

  3. Um die Komponenten- und Ressourcenberechtigungen zu ermitteln, die die neuen Namespace-Benutzer benötigen, verwenden Sie die QuickSight-API-Operationen, die mit jedem Komponenten-Typ (Dashboards, Datensätze usw.) verknüpft sind. Weitere Informationen finden Sie unter QuickSight-API-Operationen zur Steuerung von Komponenten in der Amazon QuickSight-API-Referenz.

    Angenommen, Sie fokussieren sich auf Dashboards. Sie können ListDashboards verwenden, um alle Dashboard-IDs in Ihrem AWS-Konto auflisten. Um dann zu bestimmen, welche Benutzer oder Gruppen auf diese Dashboards zugreifen können, können Sie DescribeDashboardPermissions anhand der von ListDashboards generierten Ergebnismenge verwenden. Wenn Sie bestimmte Versionen eines Dashboards identifizieren müssen, können Sie ListDashboardVersions hierfür verwenden. Mithilfe der Datenquellen- und Datensatz-API-Operationen können Sie auch Informationen über den Speicherort der Daten sammeln, die im Dashboard verwendet werden. Weitere Informationen finden Sie unter QuickSight-API-Operationen zur Steuerung von Datenressourcen in der Amazon QuickSight-API-Referenz.

    Weitere Informationen zum Filtern der API-Antwortausgabe finden Sie in der SDK-Dokumentation für die von Ihnen verwendete Sprache. Informationen zu AWS Command Line Interface (AWS CLI) finden Sie unter Steuern der Befehlsausgabe über die AWS CLI im AWS Command Line Interface-Benutzerhandbuch.

  4. Kopieren Sie für QuickSight-Komponenten und -Ressourcen die Berechtigungen, die der Quell-Namespace-Benutzer für jede Komponente hat. Verwenden Sie dann beispielsweise UpdateDashboardPermissions, um dem Ziel-Namespace-Benutzer dieselben Berechtigungen zuzuweisen. Jeder Komponenten-Typ verfügt über einen eigenen Satz von API-Operationen zur Steuerung der Berechtigungen, die Benutzer zur Verwendung des Objekts benötigen. Weitere Informationen finden Sie unter QuickSight-API-Operationen für Komponenten- und Ressourcenberechtigungen in der Amazon QuickSight-API-Referenz.

  5. Wenn Sie mit dem Hinzufügen von Benutzern und Berechtigungen fertig sind, empfiehlt es sich, etwas Zeit für die Benutzerakzeptanztests einzuplanen. Dadurch wird sichergestellt, dass jeder den neuen Namespace erfolgreich verwendet. Außerdem wird dadurch sichergestellt, dass alle Komponenten und Ressourcen im neuen Namespace zugänglich sind.

    Wenn Sie sicher sind, dass Sie die ursprünglichen Benutzernamen nicht mehr benötigen, können Sie damit beginnen, deren Berechtigungen im ursprünglichen Namespace zu deaktivieren. Wenn die Benutzer bereit sind, können Sie schließlich die unbenutzten Gruppen- und Benutzernamen aus dem Quell-Namespace entfernen. Führen Sie dies für alle AWS-Region durch, in denen Ihre Benutzer zuvor aktiv waren.