Prise en charge de la multilocation avec des espaces de noms isolés - Amazon QuickSight
Pour migrer des utilisateurs existants d'un espace de noms vers un autre espace de noms

Prise en charge de la multilocation avec des espaces de noms isolés

L'édition Amazon QuickSight Enterprise prend en charge la multilocation via les espaces de noms. Un espace de noms QuickSight est un conteneur logique que vous pouvez utiliser pour organiser les clients, les filiales, les équipes, etc. Les espaces de noms peuvent vous aider à atteindre les objectifs suivants :

  • Vous pouvez permettre aux utilisateurs de votre abonnement QuickSight de découvrir des contenus partagés et de les partager avec d'autres utilisateurs. En même temps, vous pouvez vous assurer que les utilisateurs d'un espace de noms ne peuvent pas voir ou interagir avec les utilisateurs d'un autre espace de noms.

  • Vous pouvez isoler les données en toute sécurité et également prendre en charge diverses charges de travail sans ajouter de comptes AWS supplémentaires. L'accès aux données est toujours strictement contrôlé par les fonctionnalités de sécurité AWS. Les utilisateurs peuvent voir les ressources (comme les données et les tableaux de bord) uniquement s'ils disposent des autorisations de ressources correctes. En outre, les utilisateurs qui disposent d'autorisations ne peuvent pas exposer par inadvertance le contenu à des personnes qui ne font pas partie de leur espace de noms. Pour de plus amples informations, consultez Sécurité AWS dans Amazon QuickSight.

  • Vous pouvez surveiller les flux de données et les rapports d'utilisation, soigneusement répartis par espace de noms. La catégorisation des données et des rapports par espace de noms peut simplifier l'analyse des coûts et de la sécurité.

  • Une fois que vous avez enregistré les utilisateurs dans votre espace de noms, il n'y a pas de complexité administrative ou de frais généraux supplémentaires.

  • Les espaces de noms sont conçus pour couvrir les Régions AWS, de sorte que le confinement de l'utilisation ne change pas, même si une personne se connecte à une autre Région AWS.

Les espaces de noms présentent actuellement les limitations suivantes :

  • Les espaces de noms personnalisés – ceux qui ne sont pas l'espace de noms par défaut – ne sont accessibles qu'aux utilisateurs de l'authentification unique IAM Federated.

  • Utilisez les espaces de noms par défaut au lieu des espaces de noms personnalisés si vous devez prendre en charge les éléments suivants :

    • L'intégration de votre compte QuickSight à IAM Identity Center. Pour plus d'informations sur l'intégration de votre compte QuickSight à IAM Identity Center, consultez la rubrique Configuration de votre compte Amazon QuickSight à IAM Identity Center.

    • Connexions basées sur un mot de passe.

    • Connexions Active Directory basées sur des informations d'identification.

  • Vous ne pouvez pas transférer des utilisateurs directement d'un espace de noms à un autre. Vous pouvez choisir d'effectuer une partie ou la totalité de ce travail par programme. Pour plus d'informations, consultez la Référence d'API Amazon QuickSight (français non garanti). En bas de la page de chaque opération d'API, vous trouverez une liste de liens vers la même opération dans les SDK d'autres langues. Pour connaître les kits SDK disponibles, consultez Kits SDK et boîtes à outils dans le AWSCentre de ressources de démarrage.

  • Les espaces de noms sont utiles pour isoler les utilisateurs et les autorisations, mais pas pour partager des actifs. Les tableaux de bord, les jeux de données et les analyses peuvent être partagés avec les utilisateurs dans différents espaces de noms. Par défaut, les utilisateurs ne peuvent pas accéder aux éléments qui existent dans le même espace de noms par défaut, mais peuvent accéder à des ressources spécifiques lorsque la ressource est partagée avec eux.

Si vous n'avez pas de Compte AWS existant ou si vous devez vous inscrire à QuickSight, lisez les directives suivantes, puis suivez les instructions applicables dans Inscription à un abonnement Amazon QuickSight :

  • S'inscrire à l'édition Enterprise.

  • Lorsque l'on vous demande quelle méthode vous voulez utiliser pour vous connecter, choisissez Fédération basée sur les rôles (IAM). Actuellement, les espaces de noms ne prennent en charge que les clients qui utilisent un rôle AWS Identity and Access Management (IAM) avec une fédération d'identité web. Pour plus d'informations, consultez Création d'un rôle pour un fournisseur d'identité tiers (fédération)

  • Terminez le processus d'inscription.

  • Utilisez l'opération d'API QuickSight CreateNamespace pour créer un ou plusieurs espaces de noms.

  • Pour commencer à ajouter des utilisateurs, suivez d'abord les instructions dans Configuration de la fédération IdP à l'aide d'IAM et de QuickSight. Utilisez ensuite l'opération d'API RegisterUser pour ajouter des utilisateurs à l'espace de noms approprié.

Si vous avez déjà souscrit à l'édition Standard, vous pouvez facilement mettre à niveau votre abonnement vers l'édition Enterprise. La personne qui met à niveau doit être un utilisateur de QuickSight disposant de privilèges d'administrateur. Pour de plus amples informations, consultez Mise à niveau de votre abonnement Amazon QuickSight de l'édition Standard vers l'édition Enterprise.

Si vous disposez d'un abonnement à l'édition Enterprise que vous utilisez depuis un certain temps, il est également possible de migrer vos utilisateurs vers des espaces de noms. Lorsque vous vous inscrivez à QuickSight et que vous ajoutez des utilisateurs, ils résident tous dans l'espace de noms par défaut. Tous les utilisateurs peuvent interagir directement les uns avec les autres et partager des données et des tableaux de bord. Pour isoler vos utilisateurs les uns des autres, vous pouvez créer un ou plusieurs espaces de noms supplémentaires.

Important

Les ressources QuickSight, y compris les jeux de données, les sources de données, les tableaux de bord, les analyses, etc. existent en dehors de tout espace de noms. Ils ne sont visibles que par les utilisateurs auxquels des autorisations de ressources ont été accordées.

Pour mettre en œuvre les espaces de noms, vous utilisez les opérations suivantes de l'API QuickSight :

Les espaces de noms ne sont pas pris en charge dans les régions répertoriées ci-dessous :

  • af-south-1 Afrique (Le Cap)

  • ap-southeast-3 Asie-Pacifique (Jakarta)

  • eu-south-1 Europe (Milan)

  • eu-central-2 Europe (Zurich)

Note

Si vous devez installer AWS CLI, consultez Installation de AWS CLI version 2 dans le Guide de l'utilisateur AWS Command Line Interface.

Pour ajouter des utilisateurs à un espace de noms, vous utilisez l'opération d'API RegisterUser. Chaque espace de noms dispose d'un ensemble d'utilisateurs totalement indépendant. Les ARN des utilisateurs incluent le qualificatif de l'espace de noms pour les distinguer, comme le montrent les exemples suivants :

  • QuickSight considère ces deux entités comme des personnes différentes :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight considère que ces deux entités sont la même personne :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Lorsque vous utilisez RegisterUser, vous sélectionnez un niveau d'accès pour chaque utilisateur. Une fois que le nom d'utilisateur d'une personne est attribué à l'une des cohortes de sécurité, son accès à la console et à l'API est limité. Les personnes qui utilisent QuickSight peuvent avoir un seul niveau d'accès, comme suit :

  • Accès lecteur, pour les abonnés en lecture seule d'un tableau de bord

  • Accès auteur, pour les analystes et les concepteurs de tableaux de bord

  • Accès administrateur, pour les administrateurs de QuickSight

Pour migrer des utilisateurs existants d'un espace de noms vers un autre espace de noms

Suivez la procédure ci-dessous pour migrer des utilisateurs existants d'un espace de noms vers un autre espace de noms

  1. Identifiez les utilisateurs que vous voulez transférer vers un espace de noms différent en utilisant les opérations d'API pour les utilisateurs et les groupes de QuickSight. Pour plus d'informations, consultez Opérations d'API pour le contrôle de l'accès (français non garanti) dans la Référence d'API Amazon QuickSight (français non garanti).

  2. Créez des utilisateurs dans le nouvel espace de noms à l'aide de l'opération d'API RegisterUser. Au sein d'un espace de noms, les noms d'utilisateurs sont uniques.

    Si un utilisateur de l'espace de noms commence à utiliser la console QuickSight ou l'API dans une nouvelle Région AWS, cet utilisateur est toujours limité à l'espace de noms auquel vous l'avez ajouté. Chaque espace de noms représente un répertoire d'utilisateurs d'un fournisseur d'identité. En tant que tel, il provient la Région AWS principale où QuickSight est configuré. Cependant, comme le répertoire d'utilisateurs est propagé globalement dans votre compte AWS, l'espace de noms est accessible à partir de n'importe quelle Région AWS où vos utilisateurs utilisent QuickSight.

  3. Pour identifier les autorisations sur les ressources et les actifs dont les utilisateurs du nouvel espace de noms ont besoin, utilisez les opérations de l'API QuickSight associées à chaque type d'actif (tableaux de bord, jeux de données, et ainsi de suite). Pour plus d'informations, consultez Opérations d'API QuickSight pour contrôler les ressources dans la Référence d'API Amazon QuickSight (français non garanti).

    Par exemple, supposons que vous vous concentrez sur les tableaux de bord. Vous pouvez utiliser ListDashboards pour répertorier tous les identifiants de tableau de bord dans votre compte AWS. Ensuite, pour déterminer quels utilisateurs ou groupes peuvent accéder à ces tableaux de bord, vous pouvez utiliser DescribeDashboardPermissions sur l'ensemble de résultats généré par ListDashboards. Si vous avez besoin d'identifier des versions spécifiques d'un tableau de bord, vous pouvez utiliser ListDashboardVersions pour cela. Vous pouvez également collecter des informations sur l'emplacement des données utilisées dans le tableau de bord à l'aide des opérations d'API source de données et jeu de données. Pour plus d'informations, consultez Opérations d'API QuickSight pour contrôler les ressources de données (français non garanti) dans la Référence d'API Amazon QuickSight (français non garanti).

    Pour plus d'informations sur le filtrage de la sortie des réponses de l'API, consultez la documentation du kit SDK pour le langage que vous utilisez. Pour des informations relatives à AWS Command Line Interface (AWS CLI), consultez Contrôle de la sortie des commandes à partir de AWS CLI dans le AWS Command Line InterfaceGuide de l'utilisateur .

  4. Pour les ressources QuickSight, copiez les autorisations dont dispose l'utilisateur de l'espace de noms source pour chaque ressource. Utilisez ensuite, par exemple, UpdateDashboardPermissions pour appliquer les mêmes autorisations à l'utilisateur de l'espace de noms cible. Chaque type de ressource possède son propre ensemble d'opérations d'API pour contrôler les autorisations dont disposent les utilisateurs pour l'utiliser. Pour plus d'informations, consultez Opérations d'API QuickSight pour les autorisations des ressources dans la Référence d'API Amazon QuickSight (français non garanti).

  5. Lorsque vous avez terminé d'ajouter des utilisateurs et des autorisations, il est conseillé de consacrer un peu de temps aux tests d'acceptation des utilisateurs. Cela permet de s'assurer que tout le monde utilise avec succès le nouvel espace de noms. Cela permet également de s'assurer que toutes les ressources sont accessibles dans le nouvel espace de noms.

    Une fois que vous êtes certain de ne plus avoir besoin des noms d'utilisateurs originaux, vous pouvez commencer à supprimer leurs autorisations dans l'espace de noms original. Finalement, lorsque les utilisateurs sont prêts, vous pouvez supprimer les noms de groupe et d'utilisateur inutilisés dans l'espace de noms source. Faites cela dans chaque Région AWS où vos utilisateurs étaient précédemment actifs.