Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Utilizzo della sicurezza a livello di riga in Amazon Quick Utilizzo della sicurezza a livello di riga | | | --- | |  Si applica a: Enterprise Edition  | Nell'edizione Enterprise di Amazon Quick, puoi limitare l'accesso a un set di dati configurando la sicurezza a livello di riga (RLS) su di esso. Puoi eseguire questa operazione prima o dopo aver condiviso il set di dati. Quando condividi un set di dati con RLS con i proprietari del set di dati, questi possono comunque visualizzare tutti i dati. Quando lo condividi con i lettori, tuttavia, questi potranno vedere solo i dati limitati dalle regole del set di dati di autorizzazione. Inoltre, quando incorpori dashboard di Amazon Quick nella tua applicazione per utenti non registrati di Quick, puoi utilizzare la sicurezza a livello di riga (RLS) per i dati con tag. filter/restrict Un tag è una stringa specificata dall'utente che identifica una sessione nell'applicazione. Puoi utilizzare i tag per implementare i controlli RLS per i tuoi set di dati. Configurando le restrizioni basate su RLS nei set di dati, Quick filtra i dati in base ai tag di sessione legati all'identità/sessione utente. Puoi limitare l'accesso a un set di dati utilizzando regole basate su nome utente o gruppo, regole basate su tag o entrambe. Scegli le regole basate sull'utente se desideri proteggere i dati per utenti o gruppi forniti (registrati) in Quick. A tale scopo, seleziona un set di dati di autorizzazioni che contenga regole impostate per colonne per ogni utente o gruppo che accede ai dati. Solo gli utenti o i gruppi identificati nelle regole hanno accesso ai dati. Scegli le regole basate su tag solo se utilizzi dashboard incorporati e desideri proteggere i dati per gli utenti a cui non è stato assegnato il provisioning (utenti non registrati) in Quick. A tale scopo, definisci i tag sulle colonne per proteggere i dati. I valori ai tag devono essere passati quando si incorporano i pannelli di controllo. **Topics** + [ # Utilizzo della sicurezza a livello di riga con regole basate sull'utente per limitare l'accesso a un set di dati ](restrict-access-to-a-data-set-using-row-level-security.md) + [ # Utilizzo della sicurezza a livello di riga con regole basate sui tag per limitare l'accesso a un set di dati durante l'incorporamento dei pannelli di controllo per gli utenti anonimi ](quicksight-dev-rls-tags.md) # Utilizzo della sicurezza a livello di riga con regole basate sull'utente per limitare l'accesso a un set di dati Utilizzo di regole basate sugli utenti | | | --- | |  Si applica a: Enterprise Edition  | Nell'edizione Enterprise di Amazon Quick, puoi limitare l'accesso a un set di dati configurando la sicurezza a livello di riga (RLS) su di esso. Puoi eseguire questa operazione prima o dopo aver condiviso il set di dati. Quando condividi un set di dati con RLS con i proprietari del set di dati, questi possono comunque visualizzare tutti i dati. Quando lo condividi con i lettori, tuttavia, questi potranno vedere solo i dati limitati dalle regole del set di dati di autorizzazione. L'aggiunta della sicurezza a livello di riga ti consente di avere un maggiore controllo sull'accesso. **Nota** Quando si applicano i set di dati SPICE alla sicurezza a livello di riga, ogni campo del set di dati può contenere fino a 2.047 caratteri Unicode. I campi che contengono un numero maggiore di caratteri verranno troncati durante l'importazione. Per ulteriori informazioni sulle quote di dati SPICE, consulta [Quote di SPICE per i dati importati](data-source-limits.md#spice-limits). A tale scopo, crei una query o un file con una colonna per l'identificazione di utenti o gruppi. È possibile utilizzare `UserName` e o`GroupName`, in alternativa, `UserARN` e`GroupARN`. Puoi considerare questa operazione come *l'aggiunta di una regola* per l'utente o gruppo specifico. Puoi quindi aggiungere una colonna alla query o al file per ogni campo per il quale desideri concedere o limitare l'accesso. Per ogni nome utente o gruppo aggiunto, puoi aggiungere valori per ogni campo. Puoi usare NULL (nessun valore) per indicare tutti i valori. Per alcuni esempi di regole di set di dati, consulta [Creazione di regole del set di dati per la sicurezza a livello di riga](#create-data-set-rules-for-row-level-security). Per applicare le regole del set di dati, aggiungi le regole come un set di dati delle autorizzazioni al set di dati. Tieni presenti le informazioni seguenti: + Il set di dati delle autorizzazioni non può contenere valori duplicati. I duplicati vengono ignorati quando viene valutato come applicare le regole. + Ogni utente o gruppo specificato potrà vedere solo le righe *corrispondenti* ai valori di campo nelle regole del set di dati. + Se aggiungi una regola per un utente o gruppo e lasci tutte le altre colonne senza un valore (NULL), concedi l'accesso a tutti i dati. + Se non aggiungi una regola per un utente o gruppo, non saranno in grado di visualizzare i dati. + Il set completo di record di regole applicati per utente non deve superare 999. Questa limitazione si applica al numero totale di regole assegnate direttamente a un nome utente più le regole assegnate all'utente tramite i nomi di gruppo. + Se un campo include una virgola (,) Amazon Quick tratta ogni parola separata da un'altra da una virgola come un valore individuale nel filtro. Ad esempio, in `('AWS', 'INC')`, `AWS,INC` viene considerato come due stringhe: `AWS` e `INC`. Per filtrare con `AWS,INC`, racchiudi la stringa tra virgolette doppie nel set di dati delle autorizzazioni. Se il set di dati con restrizioni è un set di dati SPICE, il numero di valori di filtro applicati per utente non può superare 192.000 per ogni campo limitato. Ciò vale per il numero totale di valori di filtro assegnati direttamente a un nome utente più i valori di filtro assegnati all'utente tramite i nomi di gruppo. Se il set di dati con restrizioni è un set di dati di query diretta, il numero di valori di filtro applicati per utente varia a seconda delle origini dati. Il superamento del limite del valore del filtro può causare la non riuscita del rendering visivo. Ti consigliamo di aggiungere una colonna aggiuntiva al set di dati con restrizioni per dividere le righe in gruppi in base alla colonna con restrizioni originale e abbreviare così l'elenco dei filtri. Amazon Quick considera gli spazi come valori letterali. Se hai uno spazio in un campo che intendi limitare, a tali righe si applica la regola del set di dati. Amazon Quick considera entrambi NULLs e gli spazi vuoti (stringhe vuote «») come «nessun valore». Un valore NULL è un valore di campo vuoto. A seconda dell'origine dati da cui provengono i set di dati, puoi configurare una query diretta per accedere a una tabella di autorizzazioni. I termini che contengono spazi non devono essere delimitati da virgolette. Se utilizzi una query diretta, puoi modificare in modo semplice e rapido la query nell'origine dati originale. In alternativa, puoi caricare le regole del set di dati da un file di testo o da un foglio di calcolo. Se stai usando un file CSV, non includere spazi sulla riga data. I termini che contengono degli spazi devono essere racchiusi tra virgolette. Se utilizzi regole del set di dati che sono basate su file, per applicare le modifiche devi sovrascrivere le regole esistenti nelle impostazioni delle autorizzazioni del set di dati. **I set di dati con restrizioni sono contrassegnati con la parola **RESTRICTED nella schermata Dati**.** I set di dati secondari creati da un set di dati principale con regole RLS attive mantengono le stesse regole RLS del set di dati principale. È possibile aggiungere altre regole RLS al set di dati secondario, ma non è possibile rimuovere le regole RLS ereditate dal set di dati principale. I set di dati secondari creati da un set di dati principale con regole RLS attive possono essere creati solo con una query diretta. I set di dati secondari che ereditano le regole RLS del set di dati principale non sono supportati in SPICE. La sicurezza a livello di riga funziona solo per i campi contenenti i dati testuali (dati di tipo string, char, varchar e così via). Attualmente non funziona per i campi data o i campi numerici. Il rilevamento delle anomalie non è supportato per i set di dati che utilizzano la sicurezza a livello di riga (RLS). ## Creazione di regole del set di dati per la sicurezza a livello di riga Utilizza la procedura seguente per creare un file di autorizzazioni o una query da utilizzare come regole del set di dati. **Creazione di un file di autorizzazioni o una query da utilizzare come regole del set di dati** 1. Crea un file o una query contenente le regole del set di dati (autorizzazioni) per la sicurezza a livello di riga. L'ordine dei campi non è ininfluente. Tuttavia, tutti i campi fanno distinzione tra maiuscole e minuscole. Devono corrispondere esattamente ai nomi e ai valori dei campi. La struttura dovrebbe essere simile a una delle seguenti. Verifica di disporre almeno di un campo che identifichi gli utenti o i gruppi. Puoi includere entrambi, ma solo uno è obbligatorio e solo uno viene utilizzato alla volta. Il campo utilizzato per gli utenti o i gruppi può avere un nome qualsiasi. **Nota** Se stai specificando gruppi, usa solo gruppi Amazon Quick o gruppi Microsoft AD. L'esempio seguente mostra una tabella con i gruppi. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html) L'esempio seguente mostra una tabella con i nomi utente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html) L'esempio seguente mostra una tabella con utenti e gruppi Amazon Resource Names (ARNs). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html) Oppure, se preferisci utilizzare un file .csv, la struttura dovrebbe essere simile a una delle seguenti. ``` UserName,SalesRegion,Segment AlejandroRosalez,EMEA,"Enterprise,SMB,Startup" MarthaRivera,US,Enterprise NikhilJayashankars,US,SMB PauloSantos,US,Startup SaanviSarkar,APAC,"SMB,Startup" sales-tps@example.com,"","" ZhangWei,APAC-Sales,"Enterprise,Startup" ``` ``` GroupName,SalesRegion,Segment EMEA-Sales,EMEA,"Enterprise,SMB,Startup" US-Sales,US,Enterprise US-Sales,US,SMB US-Sales,US,Startup APAC-Sales,APAC,"SMB,Startup" Corporate-Reporting,"","" APAC-Sales,APAC,"Enterprise,Startup" ``` ``` UserARN,GroupARN,SalesRegion arn:aws:quicksight:us-east-1:123456789012:user/Bob,arn:aws:quicksight:us-east-1:123456789012:group/group-1,APAC arn:aws:quicksight:us-east-1:123456789012:user/Sam,arn:aws:quicksight:us-east-1:123456789012:group/group-2,US ``` Di seguito è riportato un esempio SQL. ``` /* for users*/ select User as UserName, SalesRegion, Segment from tps-permissions; /* for groups*/ select Group as GroupName, SalesRegion, Segment from tps-permissions; ``` 1. Crea un set di dati per le regole del set di dati. Per trovarlo facilmente, assegnare al set di dati un nome significativo, ad esempio **Permissions-Sales-Pipeline**. ## Contrassegno di set di dati di regole per la sicurezza a livello di riga Utilizza la procedura seguente per contrassegnare in modo appropriato un set di dati come set di dati di regole. Un set di dati di regole è un contrassegno che distingue i set di dati di autorizzazioni utilizzati per la sicurezza a livello di riga dai normali set di dati. Se un set di dati di autorizzazioni è stato applicato a un normale set di dati prima del 31 marzo 2025, avrà un contrassegno Set di dati di regole nella pagina di destinazione **Set di dati**. Se un set di dati di autorizzazioni non è stato applicato a un set di dati normale entro il 31 marzo 2025, verrà classificato come set di dati normale. Per utilizzarlo come set di dati di regole, duplica il set di dati delle autorizzazioni e contrassegnalo come set di dati di regole sulla console durante la creazione del set di dati. Seleziona MODIFICA SET DI DATI e, nelle opzioni, scegli DUPLICA COME RULES DATASET. Per duplicarlo correttamente come set di dati di regole, assicurati che il set di dati originale abbia: 1. Colonne di metadati utente o metadati di gruppo richiesti e 2. Solo colonne di tipo stringa. Per creare un nuovo set di dati di regole sulla console, seleziona NUOVO SET DI DATI DI REGOLE nel menu a discesa NUOVO SET DI DATI. [Quando crei un set di dati di regole a livello di codice, aggiungi il seguente parametro:: RLS\$1RULES. UseAs](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSet.html#API_CreateDataSet_RequestSyntax) Si tratta di un parametro facoltativo che viene utilizzato solo per creare un set di dati di regole. Una volta creato, tramite la console o a livello di codice, un set di dati e dopo averlo contrassegnato come set di dati di regole o set di dati normale, un set di dati non può essere modificato. Una volta che i set di dati vengono contrassegnati come set di dati di regole, Amazon Quick applicherà loro rigide regole di ingestione di SPICE. Per garantire l'integrità dei dati, le importazioni SPICE di set di dati di regole falliranno se ci sono righe o celle non valide che superano i limiti di lunghezza. Per riavviare un'importazione corretta, è necessario risolvere i problemi di importazione. Le rigide regole di importazione sono applicabili solo ai set di dati di regole. I set di dati normali non presenteranno errori di importazione dei set di dati in caso di righe saltate o troncamenti di stringhe. ## Applicazione della sicurezza a livello di riga Utilizza la procedura seguente per applicare la sicurezza a livello di riga (RLS) utilizzando un file o una query come set di dati contenente le regole per le autorizzazioni. **Applicazione della sicurezza a livello di riga utilizzando un file o una query** 1. Verifica di aver aggiunto le regole sotto forma di nuovo set di dati. Se tali regole sono state aggiunte ma non vengono visualizzate nell'elenco di set di dati, aggiorna la schermata. 1. **Nella pagina Dati, scegli il set di dati** 1. Nella pagina dei dettagli del set di dati che si apre, per **Sicurezza a livello di riga**, scegli **Configura**. 1. Nella pagina **Configura la sicurezza a livello di riga** che si apre, scegli **Regole basate sull'utente**. 1. Dall'elenco di set di dati scegli il set di dati delle autorizzazioni. Se il set di dati delle autorizzazioni non viene visualizzato in questa schermata, torna ai set di dati e aggiorna la pagina. 1. Per **Policy di autorizzazione**, scegli **Concedi l'accesso al set di dati**. Ogni set di dati dispone solo di un set di dati delle autorizzazioni attivo. Se si prova ad aggiungere un secondo set di dati delle autorizzazioni, questo sovrascriverà quello esistente. **Importante** Quando si utilizza la sicurezza a livello di riga si applicano alcune limitazioni per i valori NULL e i valori di stringa vuoti. Se il set di dati include valori NULL o stringhe vuote ("") in campi limitati, tali righe saranno ignorate quando vengono applicate le limitazioni. All'interno del set di dati delle autorizzazioni, i valori NULL e le stringhe vuote sono trattati alla stessa maniera. Per ulteriori informazioni, consulta la tabella seguente. Per evitare l'esposizione accidentale di informazioni sensibili, Amazon Quick ignora le regole RLS vuote che garantiscono l'accesso a tutti. Una *regola RLS vuota* si verifica quando tutte le colonne di una riga non hanno alcun valore. Quick RLS considera NULL, le stringhe vuote («») o le stringhe vuote separate da virgole (ad esempio «,,,») come nessun valore. Dopo aver saltato le regole vuote, restano valide le altre regole RLS non vuote. Se un set di dati di autorizzazioni contiene solo regole vuote e tutte sono state ignorate, nessuno avrà accesso ai dati limitati da questo set di dati di autorizzazioni. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/quick/latest/userguide/restrict-access-to-a-data-set-using-row-level-security.html) Qualsiasi utente con cui hai condiviso il pannello di controllo potrà visualizzare tutti i dati in esso contenuti, a condizione che il set di dati non sia stato limitato mediante le regole del set di dati. 1. Per salvare le modifiche, seleziona **Applica set di dati**. Quindi, sulla pagina **Salvare le regole del set di dati?**, scegli **Applica e attiva**. Le modifiche a livello di autorizzazioni vengono applicate subito agli utenti esistenti. 1. (Facoltativo) Per rimuovere le autorizzazioni, rimuovi innanzitutto le regole del set di dati dal set di dati. Verifica che le regole del set di dati siano state rimosse. Scegli il set di dati delle autorizzazioni e quindi **Rimuovi set di dati**. Per sovrascrivere le autorizzazioni, scegli un nuovo set di dati delle autorizzazioni e applicalo. Puoi riutilizzare lo stesso nome del set di dati. Tuttavia, assicurati di applicare le nuove autorizzazioni nella schermata **Autorizzazioni** per renderle attive. Le query SQL si aggiornano dinamicamente, quindi possono essere gestite al di fuori di Amazon Quick. Per le query, le autorizzazioni vengono aggiornate quando la cache delle query dirette viene aggiornata automaticamente. Se si elimina un set di dati delle autorizzazioni basato su file prima di rimuoverlo dal set di dati di destinazione, gli utenti limitati non potranno accedere al set di dati. Quando il set di dati è in questo stato, è contrassegnato come **LIMITATO**. Tuttavia, quando per il set di dati in questione vengono visualizzate le autorizzazioni in **Autorizzazioni**, risulta che non sono presenti regole del set di dati selezionate. Per risolvere questo problema, specifica nuove regole del set di dati. La creazione di un set di dati con lo stesso nome non è sufficiente per risolvere il problema. È necessario scegliere il nuovo set di dati delle autorizzazioni nella schermata **Autorizzazioni**. Questa limitazione non è valida per le query SQL dirette. # Utilizzo della sicurezza a livello di riga con regole basate sui tag per limitare l'accesso a un set di dati durante l'incorporamento dei pannelli di controllo per gli utenti anonimi Utilizzo di regole basate sui tag | | | --- | |  Si applica a: Enterprise Edition  | | | | --- | |    Destinatari: amministratori di Amazon Quick e sviluppatori Amazon Quick  | Quando incorpori dashboard di Amazon Quick nella tua applicazione per utenti che non sono stati forniti (registrati) in Quick, puoi utilizzare la sicurezza a livello di riga (RLS) per i dati con tag. filter/restrict Un tag è una stringa specificata dall'utente che identifica una sessione nell'applicazione. Puoi utilizzare i tag per implementare i controlli RLS per i tuoi set di dati. Configurando le restrizioni basate su RLS nei set di dati, Quick filtra i dati in base ai tag di sessione legati all'identità/sessione utente. Ad esempio, supponiamo che tu sia una società di logistica che dispone di un'applicazione rivolta ai clienti per vari rivenditori. Migliaia di utenti di questi rivenditori accedono alla tua applicazione per visualizzare i parametri relative al modo in cui i loro ordini vengono spediti dal tuo magazzino. Non vuoi gestire migliaia di utenti in Quick, quindi utilizzi l'incorporamento anonimo per incorporare nella tua applicazione i dashboard selezionati in modo che gli utenti autenticati e autorizzati possano vederli. Tuttavia, vuoi assicurarti che i rivenditori visualizzino solo i dati relativi alla loro attività e non ad altri. Puoi utilizzare RLS con i tag per assicurarti che i tuoi clienti vedano solo i dati che li riguardano. Per fare ciò, completa la seguente procedura: 1. Aggiungi i tag RLS a un set di dati. 1. Assegna valori a tali tag durante il runtime utilizzando l'operazione API `GenerateEmbedUrlForAnonymousUser`. Per ulteriori informazioni sull'incorporamento di pannelli di controllo per utenti anonimi utilizzando l'operazione API `GenerateEmbedUrlForAnonymousUser`, consulta [Integrazione di dashboard Amazon Quick Sight per utenti anonimi (non registrati)](embedded-analytics-dashboards-for-everyone.md). Prima di utilizzare RLS con i tag, è importante considerare quanto segue: + L'utilizzo di RLS con tag al momento è supportato solo per l'incorporamento anonimo, in particolare per i pannelli di controllo incorporati che utilizzano l'operazione API `GenerateEmbedUrlForAnonymousUser`. + L'utilizzo di RLS con tag non è supportato per i pannelli di controllo incorporati che utilizzano l'operazione API `GenerateEmbedURLForRegisteredUser` o la vecchia operazione API `GetDashboardEmbedUrl`. + I tag RLS non sono supportati con AWS Identity and Access Management (IAM) o il tipo di identità Quick. + Quando si applicano i set di dati SPICE alla sicurezza a livello di riga, ogni campo del set di dati può contenere fino a 2.047 caratteri Unicode. I campi che contengono un numero maggiore di caratteri verranno troncati durante l'importazione. Per ulteriori informazioni sulle quote di dati SPICE, consulta [Quote di SPICE per i dati importati](data-source-limits.md#spice-limits). ## Fase 1: Aggiunta di tag RLS a un set di dati Puoi aggiungere regole basate su tag a un set di dati in Amazon Quick. In alternativa, puoi chiamare l'operazione API `CreateDataSet` o `UpdateDataSet` e aggiungere regole basate su tag in questo modo. Per ulteriori informazioni, consulta [Aggiunta di tag RLS a un set di dati tramite l'API](#quicksight-dev-rls-tags-add-api). Usa la seguente procedura per aggiungere tag RLS a un set di dati in Quick. **Aggiunta di tag RLS a un set di dati** 1. Dalla pagina di avvio rapido, scegli **Dati a sinistra**. 1. Scegli il set di dati a cui vuoi aggiungere RLS. 1. Nella pagina dei dettagli del set di dati che si apre, per **Sicurezza a livello di riga**, scegli **Configura**. 1. Nella pagina **Configura sicurezza a livello di riga** che si apre, scegli **Regole basate su tag**. 1. Per **Colonna**, scegli una colonna a cui desideri aggiungere le regole dei tag. Ad esempio, nel caso della società di logistica, viene utilizzata la colonna `retailer_id`. Vengono elencate solo le colonne con un tipo di dati stringa. 1. Per **Tag**, inserisci una chiave di tag. Puoi inserire il nome del tag che desideri. Ad esempio, nel caso della società di logistica, viene utilizzata la chiave di tag `tag_retailer_id`. In questo modo, viene impostata la sicurezza a livello di riga in base al rivenditore che accede all'applicazione. 1. (Facoltativo) Per **Delimitatore**, scegli un delimitatore dall'elenco o inserisci il tuo. È possibile utilizzare i delimitatori per separare le stringhe di testo quando si assegna più di un valore a un tag. Il valore per un delimitatore può avere una lunghezza massima di 10 caratteri. 1. (Facoltativo) In **Associa tutto**, scegli il simbolo **\$1** o inserisci uno o più caratteri personalizzati. Questa opzione può essere qualsiasi carattere da utilizzare quando si desidera filtrare in base a tutti i valori in quella colonna del set di dati. Invece di elencare i valori uno per uno, puoi usare il carattere. Se questo valore è specificato, può contenere almeno un carattere o al massimo 256 caratteri. 1. Scegliere **Aggiungi**. La regola del tag viene aggiunta al set di dati ed è elencata in basso, ma non è ancora stata applicata. Per aggiungere un'altra regola di tag al set di dati, ripeti le fasi 5-9. Per modificare una regola di tag, scegli l'icona a forma di matita che segue la regola. Per eliminare una regola di tag, scegli l'icona di eliminazione che segue la regola. A un set di dati è possibile aggiungere un massimo di 50 tag. 1. Una volta pronto per applicare le regole dei tag al set di dati, scegli **Applica regole**. 1. Nella finestra **Attivare la sicurezza basata su tag?** nella pagina che si apre, scegli **Applica e attiva**. Le regole basate sui tag sono ora attive. Nella pagina **Configura la sicurezza a livello di riga**, viene visualizzato un pulsante che consente di attivare e disattivare le regole dei tag per il set di dati. Per disattivare tutte le regole basate sui tag per il set di dati, disattiva l'interruttore **Regole basate sui tag**, quindi digita "confirm" nella casella di testo visualizzata. Nella pagina **Dati**, viene visualizzata un'icona a forma di lucchetto nella riga del set di dati per indicare che le regole dei tag sono abilitate. È ora possibile utilizzare nuove regole dei tag per impostare i valori dei tag durante il runtime, come descritto in [Fase 2: Assegnazione di valori ai tag RLS durante il runtime](#quicksight-dev-rls-tags-assign-values). Le regole influiscono sui lettori rapidi solo quando sono attivi. **Importante** Dopo aver assegnato e abilitato i tag sul set di dati, assicurati di concedere agli autori di Quick le autorizzazioni per visualizzare tutti i dati nel set di dati durante la creazione di una dashboard. Per concedere agli autori di Quick l'autorizzazione a visualizzare i dati nel set di dati, crea un file di autorizzazioni o una query da utilizzare come regole del set di dati. Per ulteriori informazioni, consulta [Creazione di regole del set di dati per la sicurezza a livello di riga](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security). Dopo aver creato una regola basata su tag, viene visualizzata una nuova tabella di **Gestisci regole** che mostra come le regole basate sui tag si relazionano tra loro. Per apportare modifiche alle regole elencate nella tabella **Gestisci regole**, scegli l'icona a forma di matita che segue la regola. Quindi aggiungi o rimuovi i tag e scegli **Aggiorna**. Per applicare la regola aggiornata al set di dati, scegli **Applica**. ### (Facoltativo) Aggiunta della condizione OR ai tag RLS Puoi anche aggiungere la condizione OR alle regole basate sui tag per personalizzare ulteriormente il modo in cui i dati vengono presentati agli utenti del tuo account Quick. Quando si utilizza la condizione OR con le regole basate sui tag, le immagini in Quick vengono visualizzate se almeno un tag definito nella regola è valido. **Aggiunta della condizione OR alle regole basate sui tag** 1. Nella tabella **Gestisci regole**, scegli **Aggiungi condizione OR**. 1. Nell'elenco a discesa **Seleziona tag** che appare, scegli il tag per cui desideri creare una condizione OR. Puoi aggiungere fino a 50 condizioni OR alla tabella **Gestisci regole**. È possibile aggiungere più tag a una singola colonna in un set di dati, ma è necessario includere almeno un tag di colonna in una regola. 1. Scegli **Aggiorna** per aggiungere la condizione alla regola, quindi scegli **Applica** per applicare la regola aggiornata al set di dati. ### Aggiunta di tag RLS a un set di dati tramite l'API In alternativa, puoi configurare e abilitare la sicurezza a livello di riga basata su tag sul tuo set di dati chiamando l'operazione API `CreateDataSet` o `UpdateDataSet`. Utilizza gli esempi seguenti per scoprire come. **Importante** Quando si configurano i tag di sessione nella chiamata API, Tratta i tag di sessione come credenziali di sicurezza. Non esponete i tag di sessione agli utenti finali o al codice lato client. Implementa controlli lato server. Assicurati che i tag di sessione siano impostati esclusivamente dai tuoi servizi di backend affidabili, non da parametri che gli utenti finali possono modificare. Proteggi i tag di sessione dall'enumerazione. Assicurati che gli utenti di un tenant non possano scoprire o indovinare i valori di SessionTag appartenenti ad altri tenant. Rivedi la tua architettura. Se i clienti o i partner a valle sono autorizzati a chiamare direttamente l'API, valuta se tali parti potrebbero specificare valori SessionTag per i tenant a cui non dovrebbero accedere. ------ #### [ CreateDataSet ] Di seguito è riportato un esempio di creazione di un set di dati che utilizza RLS con i tag. Presuppone lo scenario della società di logistica descritto in precedenza. I tag sono definiti nell'elemento `row-level-permission-tag-configuration`. I tag sono definiti nelle colonne per le quali si desidera proteggere i dati. Per ulteriori informazioni su questo elemento opzionale, consulta [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)*Amazon Quick API Reference*. ``` create-data-set --aws-account-id --data-set-id --name --physical-table-map [--logical-table-map ] --import-mode [--column-groups ] [--field-folders ] [--permissions ] [--row-level-permission-data-set ] [--column-level-permission-rules ] [--tags ] [--cli-input-json ] [--generate-cli-skeleton ] [--row-level-permission-tag-configuration '{ "Status": "ENABLED", "TagRules": [ { "TagKey": "tag_retailer_id", "ColumnName": "retailer_id", "TagMultiValueDelimiter": ",", "MatchAllValue": "*" }, { "TagKey": "tag_role", "ColumnName": "role" } ], "TagRuleConfigurations": [ tag_retailer_id ], [ tag_role ] }' ] ``` I tag in questo esempio sono definiti nella parte `TagRules` dell'elemento. In questo esempio, due tag sono definiti in base a due colonne: + La chiave del tag `tag_retailer_id` è definita per la colonna `retailer_id`. In questo caso, per l'azienda di logistica, imposta la sicurezza a livello di riga in base al rivenditore che accede all'applicazione. + La chiave del tag `tag_role` è definita per la colonna `role`. In questo caso, per l'azienda di logistica, imposta un ulteriore livello di sicurezza a livello di riga in base al ruolo dell'utente che accede all'applicazione da un rivenditore specifico. Un esempio è `store_supervisor` o `manager`. Per ogni tag, puoi definire `TagMultiValueDelimiter` e `MatchAllValue`. Queste opzioni sono facoltative. + `TagMultiValueDelimiter`: questa opzione può essere qualsiasi stringa che si desidera utilizzare per delimitare i valori quando li si passa durante il runtime. Il valore può avere una lunghezza massima di 10 caratteri. In questo caso, viene utilizzata una virgola come valore delimitatore. + `MatchAllValue`: questa opzione può essere qualsiasi carattere da utilizzare quando si desidera filtrare in base a tutti i valori in quella colonna del set di dati. Invece di elencare i valori uno per uno, puoi usare il carattere. Se specificato, questo valore può contenere almeno un carattere o al massimo 256 caratteri. In questo caso, viene utilizzato un asterisco come valore di corrispondenza con tutti. Durante la configurazione dei tag per le colonne del set di dati, attivali o disattivali utilizzando la proprietà obbligatoria `Status`. Per abilitare le regole dei tag, usa il valore `ENABLED` di questa proprietà. Attivando le regole dei tag, è possibile utilizzarle per impostare i valori dei tag durante il runtime, come descritto in [Fase 2: Assegnazione di valori ai tag RLS durante il runtime](#quicksight-dev-rls-tags-assign-values). Di seguito è riportato un esempio della definizione di risposta. ``` { "Status": 201, "Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset", "DataSetId": "RLS-Dataset", "RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2" } ``` ------ #### [ UpdateDataSet ] **UpdateDataSet** È possibile utilizzare l'operazione API `UpdateDataSet` per aggiungere o aggiornare i tag RLS per un set di dati esistente. Di seguito è riportato un esempio di aggiornamento di un set di dati con tag RLS. Presuppone lo scenario della società di logistica descritto in precedenza. ``` update-data-set --aws-account-id --data-set-id --name --physical-table-map [--logical-table-map ] --import-mode [--column-groups [--field-folders ] [--row-level-permission-data-set ] [--column-level-permission-rules ] [--cli-input-json ] [--generate-cli-skeleton ] [--row-level-permission-tag-configuration '{ "Status": "ENABLED", "TagRules": [ { "TagKey": "tag_retailer_id", "ColumnName": "retailer_id", "TagMultiValueDelimiter": ",", "MatchAllValue": "*" }, { "TagKey": "tag_role", "ColumnName": "role" } ], "TagRuleConfigurations": [ tag_retailer_id ], [ tag_role ] }' ] ``` Di seguito è riportato un esempio della definizione di risposta. ``` { "Status": 201, "Arn": "arn:aws:quicksight:us-west-2:11112222333:dataset/RLS-Dataset", "DataSetId": "RLS-Dataset", "RequestId": "aa4f3c00-b937-4175-859a-543f250f8bb2" } ``` ------ **Importante** Dopo aver assegnato e abilitato i tag sul set di dati, assicurati di concedere agli autori di Quick le autorizzazioni per visualizzare tutti i dati nel set di dati durante la creazione di una dashboard. Per concedere agli autori di Quick l'autorizzazione a visualizzare i dati nel set di dati, crea un file di autorizzazioni o una query da utilizzare come regole del set di dati. Per ulteriori informazioni, consulta [Creazione di regole del set di dati per la sicurezza a livello di riga](restrict-access-to-a-data-set-using-row-level-security.md#create-data-set-rules-for-row-level-security). Per ulteriori informazioni sull'`RowLevelPermissionTagConfiguration`elemento, consulta [RowLevelPermissionTagConfiguration](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RowLevelPermissionTagConfiguration.html)*Amazon Quick API Reference*. ## Fase 2: Assegnazione di valori ai tag RLS durante il runtime È possibile utilizzare i tag per RLS solo per l'incorporamento anonimo. È possibile impostare valori per i tag utilizzando l'operazione API `GenerateEmbedUrlForAnonymousUser`. **Importante** Quando configuri i tag di sessione nella chiamata API, Tratta i tag di sessione come credenziali di sicurezza. Non esponete i tag di sessione agli utenti finali o al codice lato client. Implementa controlli lato server. Assicurati che i tag di sessione siano impostati esclusivamente dai tuoi servizi di backend affidabili, non da parametri che gli utenti finali possono modificare. Proteggi i tag di sessione dall'enumerazione. Assicurati che gli utenti di un tenant non possano scoprire o indovinare i valori di SessionTag appartenenti ad altri tenant. Rivedi la tua architettura. Se i clienti o i partner a valle sono autorizzati a chiamare direttamente l'API, valuta se tali parti potrebbero specificare valori SessionTag per i tenant a cui non dovrebbero accedere. L'esempio seguente mostra come assegnare valori ai tag RLS definiti nel set di dati nella fase precedente. ``` POST /accounts/AwsAccountId/embed-url/anonymous-user HTTP/1.1 Content-type: application/json { “AwsAccountId”: “string”, “SessionLifetimeInMinutes”: integer, “Namespace”: “string”, // The namespace to which the anonymous end user virtually belongs “SessionTags”: // Optional: Can be used for row-level security [ { “Key”: “tag_retailer_id”, “Value”: “West,Central,South” } { “Key”: “tag_role”, “Value”: “shift_manager” } ], “AuthorizedResourceArns”: [ “string” ], “ExperienceConfiguration”: { “Dashboard”: { “InitialDashboardId”: “string” // This is the initial dashboard ID the customer wants the user to land on. This ID goes in the output URL. } } } ``` Di seguito è riportato un esempio della definizione di risposta. ``` HTTP/1.1 Status Content-type: application/json { "EmbedUrl": "string", "RequestId": "string" } ``` Il supporto RLS senza registrazione degli utenti in Quick è supportato solo nel funzionamento dell'API. `GenerateEmbedUrlForAnonymousUser` In questa operazione, in `SessionTags`, è possibile definire i valori per i tag associati alle colonne del set di dati. In questo caso, vengono definite le assegnazioni seguenti: + I valori `West`, `Central` e `South` vengono assegnati al tag `tag_retailer_id` durante il runtime. Viene utilizzata una virgola per il delimitatore, che è stato definito in `TagMultipleValueDelimiter` nel set di dati. Per utilizzare i valori di chiamata nella colonna, puoi impostare il valore su *\$1*, che è stato definito come `MatchAllValue` durante la creazione del tag. + Il valore `shift_manager` viene assegnato al tag `tag_role`. L'utente che utilizza l'URL generato può visualizzare solo le righe con il valore `shift_manager` nella colonna `role`. Tale utente può visualizzare solo il valore `West`, `Central` o `South` nella colonna `retailer_id`. Per ulteriori informazioni sull'incorporamento di dashboard per utenti anonimi che utilizzano il funzionamento dell'`GenerateEmbedUrlForAnonymousUser`API[Integrazione di dashboard Amazon Quick Sight per utenti anonimi (non registrati)](embedded-analytics-dashboards-for-everyone.md), consulta o [GenerateEmbedUrlForAnonymousUser](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_GenerateEmbedUrlForAnonymousUser.html)consulta *Amazon Quick* API Reference