Migración de los usuarios existentes de un espacio de nombres a otro

Compatibilidad de la multitenencia con espacios de nombres aislados

Amazon QuickSight Enterprise Edition admite la multitenencia a través de espacios de nombres. Un espacio de nombres de QuickSight es un contenedor lógico que puede utilizar para organizar clientes, filiales, equipos, etc. Los espacios de nombres pueden ayudarle a lograr los siguientes objetivos:

Puede permitir que los usuarios de su suscripción a QuickSight descubran contenido compartido y lo compartan con otros usuarios. Al mismo tiempo, puede tener garantizado que los usuarios de un espacio de nombres no pueden ver los usuarios de otro espacio de nombres ni interactuar con ellos.
Puede aislar los datos de forma segura y también soportar diversas cargas de trabajo sin agregar cuentas de AWS adicionales. El acceso a los datos sigue estando estrictamente controlado por las características de seguridad de AWS. Los usuarios solo pueden ver los activos (como los datos y los paneles) si tienen los permisos de recursos correctos. Además, los usuarios que tienen permisos no pueden exponer el contenido de forma inadvertida a personas ajenas a su espacio de nombres. Para obtener más información, consulte Seguridad de AWS en Amazon QuickSight.
Puede supervisar los flujos de datos y los informes de uso, divididos ordenadamente por espacio de nombres. La categorización de los datos y los informes por espacio de nombres puede ayudar a simplificar el análisis de costos y seguridad.
Una vez que haya registrado a los usuarios en su espacio de nombres, no habrá complejidad ni sobrecarga administrativa adicional.
Los espacios de nombres están diseñados para abarcar las Regiones de AWS, por lo que la contención no cambia aunque una persona inicie sesión en otra Región de AWS.

Los espacios de nombres presentan actualmente las siguientes limitaciones:

Los espacios de nombres personalizados (aquellos que no son el espacio de nombres predeterminado) solo son accesibles para los usuarios federados de inicio de sesión único de IAM.
Utilice espacios de nombres predeterminados en lugar de espacios de nombres personalizados si necesita admitir lo siguiente:
- Integración de su cuenta de QuickSight con IAM Identity Center. Para obtener más información sobre la integración de su cuenta de QuickSight con IAM Identity Center, consulte Configuración de cuentas de Amazon QuickSight con IAM Identity Center.
- Inicios de sesión basados en contraseñas.
- Inicios de sesión de Active Directory basados en credenciales.
No puede transferir usuarios directamente de un espacio de nombres a otro. Puede optar por realizar todo este trabajo o parte de él mediante programación. Para obtener más información, consulte la referencia de la API de Amazon QuickSight. En la parte inferior de la página de cada operación de la API, hay una lista de enlaces a la misma operación en los SDK de otros lenguajes. Para ver qué SDK están disponibles, consulte SDK y kits de herramientas en el Centro de recursos de introducción de AWS.
Los espacios de nombres son útiles para aislar usuarios y permisos, pero no para compartir activos. Los paneles, los conjuntos de datos y los análisis se pueden compartir con los usuarios en diferentes espacios de nombres. De forma predeterminada, los usuarios no pueden acceder a los elementos que existen en el mismo espacio de nombres, pero pueden acceder a activos específicos cuando el activo se comparte con ellos.

Si no tiene una Cuenta de AWS o necesita inscribirse en QuickSight, lea las siguientes pautas y, a continuación, siga las instrucciones correspondientes que se indican en Registro para obtener una suscripción a Amazon QuickSight:

Inscríbase en Enterprise Edition.
Cuando se le pregunte con qué método desea conectarse, elija Federación basada en roles (IAM). Actualmente, los espacios de nombres solo admiten a los clientes que utilizan un rol de AWS Identity and Access Management (IAM) con una federación de identidades web. Para obtener más información, consulte Creación de un rol para un proveedor de identidades de terceros (federación).
Complete el proceso de inscripción.
Utilice la operación de API CreateNamespace de QuickSight para crear uno o más espacios de nombres.
Para empezar a agregar usuarios, siga primero las instrucciones que se indican en Configuración de la federación de IdP mediante IAM y QuickSight. A continuación, utilice la operación de la API RegisterUser para agregar usuarios al espacio de nombres correspondiente.

Si ya se ha registrado en Standard Edition, puede actualizar fácilmente su suscripción a Enterprise Edition. La persona que realice la actualización debe ser un usuario de QuickSight con privilegios de administrador. Para obtener más información, consulte Actualización de su suscripción de Amazon QuickSight de Standard Edition a Enterprise Edition.

Si tiene una suscripción a Enterprise Edition que ha estado usando durante algún tiempo, también es posible migrar sus usuarios a espacios de nombres. Al inscribirse en QuickSight y agregar usuarios, todos ellos residen en el espacio de nombres predeterminado. Todos los usuarios pueden interactuar directamente entre sí y compartir datos y paneles entre sí. Para aislar a los usuarios entre sí, puede crear uno o varios espacios de nombres adicionales.

importante

Los activos y recursos de QuickSight, incluidos los conjuntos de datos, los orígenes de datos, los paneles, los análisis, etc., existen fuera de cualquier espacio de nombres. Solo son visibles para los usuarios a los que se les hayan otorgado permisos de recursos.

Para implementar los espacios de nombres, utilice las siguientes operaciones de la API de QuickSight:

Los espacios de nombres no se admiten en las regiones que se indican a continuación:

af-south-1 África (Ciudad del Cabo)
ap-southeast-3 Asia-Pacífico (Yakarta)
eu-south-1 Europa (Milán)
eu-central-2 Europa (Zúrich)

nota

Si necesita instalar la AWS CLI, consulte Installing the AWS CLI version 2 en la Guía del usuario de AWS Command Line Interface.

Para agregar usuarios a un espacio de nombres, se utiliza la operación de la API RegisterUser. Cada espacio de nombres tiene un conjunto de usuarios completamente independiente. Los ARN de los usuarios incluyen el calificador de espacio de nombres para distinguirlos, como se muestra en los siguientes ejemplos:

QuickSight considera que estas dos entidades son personas diferentes:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
QuickSight considera que estas dos entidades son la misma persona:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Cuando utiliza RegisterUser, selecciona un nivel de acceso para cada usuario. Después de asignar el nombre de usuario de una persona a una de las cohortes de seguridad, se restringe su acceso a la consola y a la API. Las personas que utilizan QuickSight pueden tener un único nivel de acceso, como se indica a continuación:

Acceso de lector, para los suscriptores de un panel de solo lectura
Acceso de autor, para analistas y diseñadores de paneles
Acceso de administrador, para administradores de QuickSight

Migración de los usuarios existentes de un espacio de nombres a otro

Siga el procedimiento que se indica a continuación para migrar los usuarios existentes de un espacio de nombres a otro.

Identifique los usuarios que desea transferir a un espacio de nombres diferente mediante las operaciones de la API de usuario y grupo de QuickSight. Para obtener más información, consulte Operaciones de la API para controlar el acceso en la referencia de la API de Amazon QuickSight.
Cree usuarios en el nuevo espacio de nombres mediante la operación de la API RegisterUser. Dentro de un espacio de nombres, los nombres de usuario son únicos.

Si un usuario del espacio de nombres comienza a usar la consola o la API de QuickSight en una nueva Región de AWS, ese usuario seguirá limitado al espacio de nombres al que lo agregó. Cada espacio de nombres representa un directorio de usuarios de un proveedor de identidades. Como tal, se origina en la Región de AWS principal donde se configura QuickSight. Sin embargo, dado que el directorio de usuarios se propaga a nivel mundial en su cuenta de AWS, se puede acceder al espacio de nombres desde cualquier Región de AWS en la que los usuarios utilicen QuickSight.
Para identificar los permisos de activos y recursos que necesitan los nuevos usuarios del espacio de nombres, utilice las operaciones de la API de QuickSight asociadas a cada tipo de activo (paneles, conjuntos de datos, etc.). Para obtener más información, consulte Operaciones de la API para controlar los activos en la referencia de la API de Amazon QuickSight.

Por ejemplo, supongamos que se centra en los paneles. Puede usar ListDashboards para enumerar todos los ID del panel de su cuenta de AWS. A continuación, para determinar qué usuarios o grupos pueden acceder a estos paneles, puede utilizar DescribeDashboardPermissions en el conjunto de resultados generado por ListDashboards. Si necesita identificar versiones específicas de un panel, puede usar ListDashboardVersions para ello. También puede recopilar información sobre la ubicación de los datos que se utilizan en el panel con el origen de datos y las operaciones de la API del conjunto de datos. Para obtener más información, consulte Operaciones de la API de QuickSight para controlar los recursos de datos en la referencia de la API de Amazon QuickSight.

Para obtener más información sobre cómo filtrar los resultados de las respuestas de la API, consulte la documentación del SDK correspondiente al idioma que utilice. Para obtener más información relacionada con la AWS Command Line Interface (AWS CLI), consulte Controlling command output from the AWS CLI en la Guía del usuario de AWS Command Line Interface.
Para los activos y recursos de QuickSight, copie los permisos que el usuario del espacio de nombres de origen tiene para cada activo. A continuación, utilice, por ejemplo, UpdateDashboardPermissions para aplicar los mismos permisos al usuario del espacio de nombres de destino. Cada tipo de activo tiene su propio conjunto independiente de operaciones de la API para controlar los permisos que tienen los usuarios para usarlo. Para obtener más información, consulte Operaciones de la API de QuickSight para los permisos de los activos y los recursos en la referencia de la API de Amazon QuickSight.
Cuando haya terminado de agregar usuarios y permisos, se recomienda dejar pasar algún tiempo para que los usuarios realicen pruebas de aceptación. De este modo, se garantiza que todos utilicen correctamente el nuevo espacio de nombres. También se garantiza que todos los activos y recursos estén accesibles en el nuevo espacio de nombres.

Cuando se asegure de que ya no necesita los nombres de usuario originales, puede empezar a anular sus permisos en el espacio de nombres original. Por último, cuando los usuarios estén preparados, puede eliminar los nombres de grupos y usuarios no utilizados del espacio de nombres de origen. Haga esto en cada una de las Región de AWS en las que los usuarios estuvieron activos anteriormente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permiso para la publicación de dominios en tiempo de ejecución

Personalizaciones de cuentas