Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces - Amazon Quick Suite
Zur Migration bestehender Benutzer von einem Namespace in einen anderen Namespace

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Unterstützung von Mehrmandantenfähigkeit mit isolierten Namespaces

Die Amazon Quick Suite Enterprise Edition unterstützt Mehrmandantenfähigkeit über Namespaces. Ein Amazon Quick Suite-Namespace ist ein logischer Container, mit dem Sie Kunden, Tochtergesellschaften, Teams usw. organisieren können. Namespaces können Ihnen helfen, die folgenden Ziele zu erreichen:

  • Sie können den Benutzern Ihres Amazon Quick Suite-Abonnements ermöglichen, geteilte Inhalte zu entdecken und mit anderen Benutzern zu teilen. Gleichzeitig können Sie sicher sein, dass Benutzer in einem Namespace keine Benutzer in einem anderen Namespace sehen oder mit ihnen interagieren können.

  • Sie können Daten sicher isolieren und auch verschiedene Workloads unterstützen, ohne zusätzliche AWS Konten hinzufügen zu müssen. Der Zugriff auf Daten wird immer noch streng durch die AWS -Sicherheitsfunktionen kontrolliert. Benutzer können Komponenten (wie Daten und Dashboards) nur sehen, wenn sie über die richtigen Ressourcenberechtigungen verfügen. Außerdem können Benutzer, die über Berechtigungen verfügen, Inhalte nicht versehentlich Personen zugänglich machen, die sich außerhalb ihres Namespaces befinden. Weitere Informationen finden Sie unter Unterstützen von Mehrmandantenfähigkeit mit isolierten Namespaces.

  • Sie können Datenflüsse und Nutzungsberichte überwachen, die übersichtlich nach Namespaces unterteilt sind. Die Kategorisierung von Daten und Berichten nach Namespace kann dazu beitragen, die Kosten- und Sicherheitsanalyse zu vereinfachen.

  • Nachdem Sie Benutzer in Ihrem Namespace registriert haben, entsteht kein zusätzlicher Verwaltungsaufwand oder Mehraufwand.

  • Namespaces sind so konzipiert, dass sie sich über mehrere Bereiche erstrecken AWS-Regionen, sodass sich die Nutzungsbeschränkung auch dann nicht ändert, wenn sich eine Person bei einer anderen Person anmeldet. AWS-Region

Namespaces haben derzeit die folgenden Einschränkungen:

  • Benutzerdefinierte Namespaces — also solche, die nicht der Standard-Namespace sind — sind nur für Benutzer von IAM Federated Single Sign On zugänglich.

  • Verwenden Sie Standard-Namespaces anstelle von benutzerdefinierten Namespaces, wenn Sie Folgendes unterstützen müssen:

    • Integrieren Ihres Amazon Quick Suite-Kontos mit IAM Identity Center. Weitere Informationen zur Integration Ihres Amazon Quick Suite-Kontos mit IAM Identity Center finden Sie unter AWS Sicherheit in Amazon Quick Suite.

    • Passwortbasierte Anmeldungen.

    • Auf Anmeldeinformationen basierende Active Directory-Anmeldungen.

  • Sie können Benutzer nicht direkt von einem Namespace in einen anderen übertragen. Sie können wählen, ob Sie diese Arbeit teilweise oder vollständig programmgesteuert erledigen möchten. Weitere Informationen finden Sie in der Quick Suite API-Referenz. Unten auf der Seite jeder API-Operation befindet sich eine Liste mit Links zu derselben Operation in den vier SDKs anderen Sprachen. Welche Tools verfügbar SDKs sind, finden Sie unter SDKs und in den Toolkits im Ressourcencenter für die ersten AWS Schritte.

  • Namespaces sind nützlich, um Benutzer und Berechtigungen zu isolieren, aber nicht, um Ressourcen gemeinsam zu nutzen. Dashboards, Datensätze und Analysen können mit Benutzern in verschiedenen Namespaces geteilt werden. Standardmäßig können Benutzer nicht auf Elemente zugreifen, die sich standardmäßig im selben Namespace befinden. Sie erhalten jedoch Zugriff auf bestimmte Assets, wenn das Asset mit ihnen geteilt wird.

Wenn Sie noch kein Amazon Quick Suite-Abonnement haben AWS-Konto oder sich für Amazon Quick Suite registrieren müssen, lesen Sie die folgenden Richtlinien und folgen Sie dann den entsprechenden Anweisungen unter Registrierung für ein Amazon Quick Suite-Abonnement:

  • Melden Sie sich für die Enterprise Edition an.

  • Wenn Sie gefragt werden, mit welcher Methode Sie eine Verbindung herstellen möchten, wählen Sie Role Based Federation (IAM). Derzeit unterstützen Namespaces nur Kunden, die eine AWS Identity and Access Management (IAM-) Rolle mit einem Web-Identitätsverbund verwenden. Weitere Informationen finden Sie unter Erstellen von Rollen für externe Identitätsanbieter (Verbund)

  • Schließen Sie den Anmeldevorgang ab.

  • Verwenden Sie den Amazon Quick CreateNamespaceSuite-API-Vorgang, um einen oder mehrere Namespaces zu erstellen.

  • Um mit dem Hinzufügen von Benutzern zu beginnen, folgen Sie zunächst den Anweisungen unter Einrichten eines IdP-Verbunds mithilfe von IAM und Amazon Quick Suite. Verwenden Sie dann den RegisterUserAPI-Vorgang, um Benutzer zum entsprechenden Namespace hinzuzufügen.

Wenn Sie sich bereits für die Standard Edition angemeldet haben, können Sie Ihr Abonnement problemlos auf die Enterprise Edition aktualisieren. Die Person, die das Upgrade durchführt, muss ein Amazon Quick Suite-Benutzer mit Administratorrechten sein. Weitere Informationen finden Sie unter Upgrade Ihres Amazon Quick Suite-Abonnements.

Wenn Sie ein Enterprise Edition-Abonnement haben, das Sie schon länger verwenden, ist es auch möglich, Ihre Benutzer in Namespaces zu migrieren. Wenn Sie sich für Amazon Quick Suite registrieren und Benutzer hinzufügen, befinden sich alle Benutzer im Standard-Namespace. Alle Benutzer können direkt miteinander interagieren und Daten und Dashboards miteinander teilen. Um Ihre Benutzer voneinander zu isolieren, können Sie einen oder mehrere zusätzliche Namespaces erstellen.

Wichtig

Amazon Quick Suite-Ressourcen und -Ressourcen, einschließlich Datensätzen, Datenquellen, Dashboards, Analysen usw., existieren außerhalb eines beliebigen Namespaces. Sie sind nur für Benutzer sichtbar, denen Ressourcenberechtigungen erteilt wurden.

Um Namespaces zu implementieren, verwenden Sie die folgenden Amazon Quick Suite-API-Operationen:

Namespaces werden in den unten aufgeführten Regionen nicht unterstützt:

  • af-south-1 Afrika (Kapstadt)

  • ap-southeast-3 Asien-Pazifik (Jakarta)

  • eu-south-1 Europa (Mailand)

  • eu-central-2 Europa (Zürich)

Anmerkung

Wenn Sie das installieren müssen AWS CLI, finden Sie weitere Informationen unter Installation der AWS CLI Version 2 im AWS Command Line Interface Benutzerhandbuch.

Um Benutzer zu einem Namespace hinzuzufügen, verwenden Sie den RegisterUserAPI-Vorgang. Jeder Namespace hat eine völlig unabhängige Gruppe von Benutzern. Der Benutzer fügt ARNs den Namespace-Qualifier hinzu, um sie zu unterscheiden, wie in den folgenden Beispielen gezeigt:

  • Amazon Quick Suite betrachtet diese beiden Entitäten als unterschiedliche Personen:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • Amazon Quick Suite betrachtet diese beiden Entitäten als dieselbe Person:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Wenn Sie verwenden RegisterUser, wählen Sie für jeden Benutzer eine Zugriffsebene aus. Nachdem der Benutzername einer Person einer der Sicherheitskohorten zugewiesen wurde, wird ihr Zugriff auf die Konsole und die API eingeschränkt. Personen, die Amazon Quick Suite verwenden, können wie folgt über eine einzige Zugriffsebene verfügen:

  • Leserzugriff für Subscriber eines Dashboards mit Lesezugriff

  • Autorenzugriff für Analysten und Dashboard-Designer

  • Administratorzugriff für Amazon Quick Suite-Administratoren

Zur Migration bestehender Benutzer von einem Namespace in einen anderen Namespace

Befolgen Sie die nachstehenden Schritte, um bestehende Benutzer von einem Namespace in einen anderen zu migrieren.

  1. Identifizieren Sie die Benutzer, die Sie in einen anderen Namespace übertragen möchten, mithilfe der Benutzer- und Gruppen-API-Operationen von Amazon Quick Suite. Weitere Informationen finden Sie unter API-Operationen zur Zugriffskontrolle in der Quick Suite-API-Referenz.

  2. Erstellen Sie mithilfe der RegisterUserAPI-Operation Benutzer im neuen Namespace. Innerhalb eines Namespaces sind Benutzernamen eindeutig.

    Wenn ein Namespace-Benutzer anfängt, die Amazon Quick Suite-Konsole oder API in einem neuen zu verwenden AWS-Region, ist dieser Benutzer immer noch auf den Namespace beschränkt, zu dem Sie ihn hinzugefügt haben. Jeder Namespace steht für ein Benutzerverzeichnis eines Identitätsanbieters. Daher stammt es aus dem Primärbereich, in AWS-Region dem Amazon Quick Suite eingerichtet ist. Da das Benutzerverzeichnis jedoch global in Ihrem AWS Konto verbreitet wird, ist der Namespace von jedem AWS-Region Ort aus zugänglich, an dem Ihre Benutzer Amazon Quick Suite verwenden.

  3. Um die Asset- und Ressourcenberechtigungen zu ermitteln, die die neuen Namespace-Benutzer benötigen, verwenden Sie die Amazon Quick Suite-API-Operationen, die mit jedem Asset-Typ (Dashboards, Datensätze usw.) verknüpft sind. Weitere Informationen finden Sie unter QuickSight API-Operationen zur Steuerung von Ressourcen in der Quick Suite-API-Referenz.

    Angenommen, Sie fokussieren sich auf Dashboards. Sie können ListDashboards es verwenden, um alle Dashboards IDs in Ihrem AWS Konto aufzulisten. Um dann zu bestimmen, welche Benutzer oder Gruppen auf diese Dashboards zugreifen können, können Sie DescribeDashboardPermissions anhand der von ListDashboards generierten Ergebnismenge verwenden. Wenn Sie bestimmte Versionen eines Dashboards identifizieren müssen, können Sie ListDashboardVersions hierfür verwenden. Mithilfe der Datenquellen- und Datensatz-API-Operationen können Sie auch Informationen über den Speicherort der Daten sammeln, die im Dashboard verwendet werden. Weitere Informationen finden Sie unter QuickSightAPI-Operationen zur Steuerung von Datenressourcen in der Quick Suite API-Referenz.

    Weitere Informationen zum Filtern der API-Antwortausgabe finden Sie in der SDK-Dokumentation für die von Ihnen verwendete Sprache. Informationen zu AWS Command Line Interface (AWS CLI) finden Sie unter Steuern der Befehlsausgabe über die AWS CLI im AWS Command Line Interface Benutzerhandbuch.

  4. Kopieren Sie für Amazon Quick Suite-Assets und -Ressourcen die Berechtigungen, die der Quell-Namespace-Benutzer für jedes Asset hat. Verwenden Sie dann beispielsweise UpdateDashboardPermissions, um dem Ziel-Namespace-Benutzer dieselben Berechtigungen zuzuweisen. Jeder Komponenten-Typ verfügt über einen eigenen Satz von API-Operationen zur Steuerung der Berechtigungen, die Benutzer zur Verwendung des Objekts benötigen. Weitere Informationen finden Sie unter QuickSight API-Operationen für Asset- und Ressourcenberechtigungen in der Quick Suite-API-Referenz.

  5. Wenn Sie mit dem Hinzufügen von Benutzern und Berechtigungen fertig sind, empfiehlt es sich, etwas Zeit für die Benutzerakzeptanztests einzuplanen. Dadurch wird sichergestellt, dass jeder den neuen Namespace erfolgreich verwendet. Außerdem wird dadurch sichergestellt, dass alle Komponenten und Ressourcen im neuen Namespace zugänglich sind.

    Wenn Sie sicher sind, dass Sie die ursprünglichen Benutzernamen nicht mehr benötigen, können Sie damit beginnen, deren Berechtigungen im ursprünglichen Namespace zu deaktivieren. Wenn die Benutzer bereit sind, können Sie schließlich die unbenutzten Gruppen- und Benutzernamen aus dem Quell-Namespace entfernen. Tun Sie dies in allen Bereichen AWS-Region , in denen Ihre Benutzer zuvor aktiv waren.