Prise en charge de la multilocation avec des espaces de noms isolés - Amazon Quick Suite
Pour migrer des utilisateurs existants d’un espace de noms vers un autre espace de noms

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prise en charge de la multilocation avec des espaces de noms isolés

L'édition Amazon Quick Suite Enterprise prend en charge la mutualisation via des espaces de noms. Un espace de noms Amazon Quick Suite est un conteneur logique que vous pouvez utiliser pour organiser les clients, les filiales, les équipes, etc. Les espaces de noms peuvent vous aider à atteindre les objectifs suivants :

  • Vous pouvez autoriser les utilisateurs de votre abonnement Amazon Quick Suite à découvrir du contenu partagé et à le partager avec d'autres utilisateurs. En même temps, vous pouvez vous assurer que les utilisateurs d’un espace de noms ne peuvent pas voir ou interagir avec les utilisateurs d’un autre espace de noms.

  • Vous pouvez isoler les données en toute sécurité et également prendre en charge diverses charges de travail sans ajouter de AWS comptes supplémentaires. L’accès aux données est toujours strictement contrôlé par les fonctionnalités de sécurité AWS . Les utilisateurs peuvent voir les ressources (comme les données et les tableaux de bord) uniquement s’ils disposent des autorisations de ressources correctes. En outre, les utilisateurs qui disposent d’autorisations ne peuvent pas exposer par inadvertance le contenu à des personnes qui ne font pas partie de leur espace de noms. Pour plus d’informations, consultez Prise en charge de la multilocation avec des espaces de noms isolés (français non garanti).

  • Vous pouvez surveiller les flux de données et les rapports d’utilisation, soigneusement répartis par espace de noms. La catégorisation des données et des rapports par espace de noms peut simplifier l’analyse des coûts et de la sécurité.

  • Une fois que vous avez enregistré les utilisateurs dans votre espace de noms, il n’y a pas de complexité administrative ou de frais généraux supplémentaires.

  • Les espaces de noms sont conçus pour s'étendre Régions AWS, de sorte que le confinement de l'utilisation ne change pas, même si une personne se connecte à un autre. Région AWS

Les espaces de noms présentent actuellement les limitations suivantes :

  • Les espaces de noms personnalisés – ceux qui ne sont pas l’espace de noms par défaut – ne sont accessibles qu’aux utilisateurs de l’authentification unique IAM Federated.

  • Utilisez les espaces de noms par défaut au lieu des espaces de noms personnalisés si vous devez prendre en charge les éléments suivants :

    • Intégration de votre compte Amazon Quick Suite à IAM Identity Center. Pour plus d'informations sur l'intégration de votre compte Amazon Quick Suite à IAM Identity Center, consultez AWS la section Sécurité dans Amazon Quick Suite.

    • Connexions basées sur un mot de passe.

    • Connexions Active Directory basées sur des informations d’identification.

  • Vous ne pouvez pas transférer des utilisateurs directement d’un espace de noms à un autre. Vous pouvez choisir d’effectuer une partie ou la totalité de ce travail par programme. Pour plus d'informations, consultez la référence de l'API Quick Suite. Au bas de la page de chaque opération d'API, vous trouverez une liste de liens vers la même opération dans SDKs les quatre autres langues. Pour voir ce qui SDKs est disponible, consultez SDKs les boîtes à outils du centre de ressources AWS pour la mise en route.

  • Les espaces de noms sont utiles pour isoler les utilisateurs et les autorisations, mais pas pour partager des actifs. Les tableaux de bord, les jeux de données et les analyses peuvent être partagés avec les utilisateurs dans différents espaces de noms. Par défaut, les utilisateurs ne peuvent pas accéder aux éléments qui existent dans le même espace de noms par défaut, mais peuvent accéder à des ressources spécifiques lorsque la ressource est partagée avec eux.

Si vous n'en avez pas déjà un Compte AWS ou si vous devez vous inscrire à Amazon Quick Suite, lisez les instructions suivantes, puis suivez les instructions applicables dans la section Inscription à un abonnement Amazon Quick Suite :

Si vous avez déjà souscrit à l’édition Standard, vous pouvez facilement mettre à niveau votre abonnement vers l’édition Enterprise. La personne effectuant la mise à niveau doit être un utilisateur d'Amazon Quick Suite avec des privilèges d'administrateur. Pour plus d'informations, consultez la section Mise à niveau de votre abonnement Amazon Quick Suite.

Si vous disposez d’un abonnement à l’édition Enterprise que vous utilisez depuis un certain temps, il est également possible de migrer vos utilisateurs vers des espaces de noms. Lorsque vous vous inscrivez à Amazon Quick Suite et que vous ajoutez des utilisateurs, ceux-ci résident tous dans l'espace de noms par défaut. Tous les utilisateurs peuvent interagir directement les uns avec les autres et partager des données et des tableaux de bord. Pour isoler vos utilisateurs les uns des autres, vous pouvez créer un ou plusieurs espaces de noms supplémentaires.

Important

Les actifs et ressources d'Amazon Quick Suite, notamment les ensembles de données, les sources de données, les tableaux de bord, les analyses, etc., existent en dehors de tout espace de noms. Ils ne sont visibles que par les utilisateurs auxquels des autorisations de ressources ont été accordées.

Pour implémenter des espaces de noms, vous utilisez les opérations d'API Amazon Quick Suite suivantes :

Les espaces de noms ne sont pas pris en charge dans les régions répertoriées ci-dessous :

  • af-south-1 Afrique (Le Cap)

  • ap-southeast-3 Asie-Pacifique (Jakarta)

  • eu-south-1 Europe (Milan)

  • eu-central-2 Europe (Zurich)

Note

Si vous devez installer le AWS CLI, reportez-vous à la section Installation de la version 2 de la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

Pour ajouter des utilisateurs à un espace de noms, vous devez utiliser l'opération RegisterUserAPI. Chaque espace de noms dispose d’un ensemble d’utilisateurs totalement indépendant. L'utilisateur ARNs inclut le qualificatif d'espace de noms pour les distinguer, comme indiqué dans les exemples suivants :

  • Amazon Quick Suite considère ces deux entités comme des personnes différentes :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • Amazon Quick Suite considère que ces deux entités sont la même personne :

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Lorsque vous utilisez RegisterUser, vous sélectionnez un niveau d'accès pour chaque utilisateur. Une fois que le nom d’utilisateur d’une personne est attribué à l’une des cohortes de sécurité, son accès à la console et à l’API est limité. Les utilisateurs d'Amazon Quick Suite peuvent disposer d'un seul niveau d'accès, comme suit :

  • Accès lecteur, pour les abonnés en lecture seule d’un tableau de bord

  • Accès auteur, pour les analystes et les concepteurs de tableaux de bord

  • Accès administrateur, pour les administrateurs d'Amazon Quick Suite

Pour migrer des utilisateurs existants d’un espace de noms vers un autre espace de noms

Suivez la procédure ci-dessous pour migrer des utilisateurs existants d’un espace de noms vers un autre espace de noms

  1. Identifiez les utilisateurs que vous souhaitez transférer vers un autre espace de noms à l'aide des opérations d'API d'utilisateur et de groupe Amazon Quick Suite. Pour plus d'informations, consultez la section Opérations d'API pour contrôler l'accès dans la référence de l'API Quick Suite.

  2. Créez des utilisateurs dans le nouvel espace de noms à l'aide de l'opération RegisterUserAPI. Au sein d’un espace de noms, les noms d’utilisateurs sont uniques.

    Si un utilisateur d'espace de noms commence à utiliser la console ou l'API Amazon Quick Suite dans une nouvelle Région AWS application, cet utilisateur est toujours limité à l'espace de noms auquel vous l'avez ajouté. Chaque espace de noms représente un répertoire d’utilisateurs d’un fournisseur d’identité. En tant que tel, il provient du site principal Région AWS où Amazon Quick Suite est configuré. Toutefois, étant donné que le répertoire des utilisateurs est diffusé dans le monde entier dans votre AWS compte, l'espace de noms est accessible depuis n'importe quel Région AWS endroit où vos utilisateurs utilisent Amazon Quick Suite.

  3. Pour identifier les autorisations d'actifs et de ressources dont les nouveaux utilisateurs d'espaces de noms ont besoin, utilisez les opérations d'API Amazon Quick Suite associées à chaque type de ressource (tableaux de bord, ensembles de données, etc.). Pour plus d'informations, consultez la section Opérations d'QuickSight API pour contrôler les actifs dans la référence de l'API Quick Suite.

    Par exemple, supposons que vous vous concentrez sur les tableaux de bord. Vous pouvez l'utiliser ListDashboards pour répertorier tous les tableaux IDs de bord de votre AWS compte. Ensuite, pour déterminer quels utilisateurs ou groupes peuvent accéder à ces tableaux de bord, vous pouvez utiliser DescribeDashboardPermissions sur l’ensemble de résultats généré par ListDashboards. Si vous avez besoin d’identifier des versions spécifiques d’un tableau de bord, vous pouvez utiliser ListDashboardVersions pour cela. Vous pouvez également collecter des informations sur l’emplacement des données utilisées dans le tableau de bord à l’aide des opérations d’API source de données et jeu de données. Pour plus d'informations, consultez la section Opérations d'QuickSightAPI pour contrôler les ressources de données dans la référence de l'API Quick Suite.

    Pour plus d’informations sur le filtrage de la sortie des réponses de l’API, consultez la documentation du kit SDK pour le langage que vous utilisez. Pour plus d'informations sur le AWS Command Line Interface (AWS CLI), consultez la section Contrôle de la sortie des commandes depuis la AWS CLI dans le guide de AWS Command Line Interface l'utilisateur.

  4. Pour les actifs et les ressources Amazon Quick Suite, copiez les autorisations dont dispose l'utilisateur de l'espace de noms source pour chaque actif. Utilisez ensuite, par exemple, UpdateDashboardPermissions pour appliquer les mêmes autorisations à l’utilisateur de l’espace de noms cible. Chaque type de ressource possède son propre ensemble d’opérations d’API pour contrôler les autorisations dont disposent les utilisateurs pour l’utiliser. Pour plus d'informations, consultez la section Opérations d'QuickSight API pour les autorisations relatives aux actifs et aux ressources dans la référence de l'API Quick Suite.

  5. Lorsque vous avez terminé d’ajouter des utilisateurs et des autorisations, il est conseillé de consacrer un peu de temps aux tests d’acceptation des utilisateurs. Cela permet de s’assurer que tout le monde utilise avec succès le nouvel espace de noms. Cela permet également de s’assurer que toutes les ressources sont accessibles dans le nouvel espace de noms.

    Une fois que vous êtes certain de ne plus avoir besoin des noms d’utilisateurs originaux, vous pouvez commencer à supprimer leurs autorisations dans l’espace de noms original. Finalement, lorsque les utilisateurs sont prêts, vous pouvez supprimer les noms de groupe et d’utilisateur inutilisés dans l’espace de noms source. Faites-le dans chaque Région AWS endroit où vos utilisateurs étaient précédemment actifs.