Supporto della multilocazione con spazi dei nomi isolati - Amazon QuickSight
Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Supporto della multilocazione con spazi dei nomi isolati

L'edizione Amazon QuickSight Enterprise supporta la multilocazione tramite gli spazi dei nomi. Uno spazio dei nomi QuickSight è un container logico che puoi utilizzare per organizzare clienti, filiali, team e così via. Gli spazi dei nomi possono aiutarti a raggiungere i seguenti obiettivi:

  • Puoi consentire agli utenti del tuo abbonamento QuickSight di rilevare contenuti condivisi e condividerli con altri utenti. Allo stesso tempo, puoi essere certo che gli utenti di uno spazio dei nomi non possano vedere o interagire con gli utenti in un altro spazio dei nomi.

  • Puoi isolare in modo sicuro i dati e supportare carichi di lavoro diversi senza aggiungere altri account AWS. L'accesso ai dati è ancora strettamente controllato dalle funzionalità di sicurezza di AWS. Gli utenti possono visualizzare le risorse (come dati e pannelli di controllo) solo se dispongono delle autorizzazioni corrette per le risorse. Inoltre, gli utenti che dispongono delle autorizzazioni non possono esporre inavvertitamente i contenuti a persone che non appartengono al loro spazio dei nomi. Per ulteriori informazioni, consulta Sicurezza AWS in Amazon QuickSight.

  • Puoi monitorare i flussi di dati e i report sull'utilizzo, suddivisi in modo ordinato per spazio dei nomi. La categorizzazione di dati e report per spazio dei nomi può aiutare a semplificare l'analisi dei costi e della sicurezza.

  • Dopo aver registrato gli utenti nel tuo spazio dei nomi, non ci sono ulteriori sovraccarichi o costi amministrativi.

  • Gli spazi dei nomi sono progettati per estendere Regioni AWS, quindi il contenimento dell'uso non cambia anche se una persona accede a un altro Regione AWS.

Gli spazi dei nomi presentano attualmente le seguenti limitazioni:

  • Gli spazi dei nomi personalizzati, ovvero quelli che non sono lo spazio dei nomi predefinito, sono accessibili solo agli utenti di Single-Sign On federato IAM.

  • Utilizza gli spazi dei nomi predefiniti anziché quelli personalizzati se devi supportare quanto segue:

  • Non è possibile trasferire gli utenti direttamente da uno spazio dei nomi a un altro. Puoi scegliere di eseguire alcune o tutte queste operazioni a livello di codice. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di Amazon QuickSight. Nella parte inferiore della pagina di ogni operazione API, è presente un elenco di collegamenti alla stessa operazione negli SDK per altre lingue. Per scoprire quali SDK sono disponibili, consulta SDK e toolkit nel Centro risorse introduttivo di AWS.

  • I namespace sono utili per isolare utenti e autorizzazioni, ma non per condividere risorse. I pannelli di controllo, i set di dati e le analisi possono essere condivisi con gli utenti in diversi namespace. Per impostazione predefinita, gli utenti non possono accedere agli elementi che esistono nello stesso namespace, ma possono accedere a risorse specifiche quando la risorsa viene condivisa con loro.

Se non hai un Account AWS esistente o devi registrarti a QuickSight, leggi le seguenti linee guida, quindi segui le istruzioni applicabili in Registrazione per un abbonamento Amazon QuickSight:

Se ti sei già registrato per l'edizione Standard, puoi facilmente aggiornare il tuo abbonamento all'edizione Enterprise. La persona che esegue l'aggiornamento deve essere un utente QuickSight con privilegi di amministratore. Per ulteriori informazioni, consulta Aggiornamento del tuo abbonamento Amazon QuickSight da Standard Edition a Enterprise Edition.

Se disponi di un abbonamento all'edizione Enterprise che utilizzi da qualche tempo, è anche possibile migrare gli utenti negli spazi dei nomi. Quando ti registri a QuickSight e aggiungi gli utenti, tutti risiedono nello spazio dei nomi predefinito. Tutti gli utenti possono interagire direttamente tra loro e condividere dati e pannelli di controllo l'uno con l'altro. Per isolare gli utenti gli uni dagli altri, è possibile creare uno o più spazi dei nomi aggiuntivi.

Importante

Gli asset e le risorse QuickSight, inclusi set di dati, origini dati, pannelli di controllo, analisi e così via, esistono al di fuori di qualsiasi spazio dei nomi. Sono visibili solo agli utenti a cui sono state concesse le autorizzazioni relative alle risorse.

Per implementare gli spazi dei nomi, utilizza le seguenti operazioni API QuickSight:

I namespace non sono supportati nelle regioni elencate di seguito:

  • af-south-1 Africa (Città del Capo)

  • ap-southeast-3 Asia Pacifico (Giacarta)

  • eu-south-1 Europa (Milano)

  • eu-central-2 Europa (Zurigo)

Nota

Se devi installare la AWS CLI, consulta Installazione di AWS CLI versione 2 nella Guida per l'utente di AWS Command Line Interface.

Per aggiungere utenti a un namespace, utilizza l'operazione API RegisterUser. Ogni namespace ha un set di utenti completamente indipendente. Gli ARN degli utenti includono il qualificatore del namespace per distinguerli, come illustrato negli esempi seguenti:

  • QuickSight considera queste due entità come persone diverse:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • QuickSight considera queste due entità come la stessa persona:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Quando si utilizza RegisterUser, si seleziona un livello di accesso per ogni utente. Dopo che il nome utente di una persona è stato assegnato a una delle coorti di sicurezza, il suo accesso alla console e all'API è limitato. Le persone che utilizzano QuickSight possono avere un unico livello di accesso, come segue:

  • Accesso come lettore, per gli abbonati di sola lettura a un pannello di controllo

  • Accesso come autore, per analisti e progettisti di pannelli di controllo

  • Accesso da amministratore, per gli amministratori di QuickSight

Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Seguire la procedura di seguito per migrare gli utenti esistenti da un namespace a un namespace differente

  1. Identifica gli utenti che desideri trasferire in un altro spazio dei nomi utilizzando le operazioni API per utenti e gruppi QuickSight. Per ulteriori informazioni, consulta Operazioni API per il controllo degli accessi nella Documentazione di riferimento delle API di Amazon QuickSight.

  2. Crea utenti nel nuovo spazio dei nomi utilizzando l'operazione API RegisterUser. All'interno di uno spazio dei nomi, i nomi utente sono univoci.

    Se un utente dello spazio dei nomi inizia a utilizzare la console o l'API QuickSight in una nuova Regione AWS, tale utente sarà ancora vincolato allo spazio dei nomi a cui lo hai aggiunto. Ogni spazio dei nomi rappresenta una directory utente di un gestore delle identità. In quanto tale, ha origine nella Regione AWS primaria in cui è installato QuickSight. Tuttavia, poiché la directory degli utenti viene propagata a livello globale nel tuo account AWS, il namespace è accessibile da qualsiasi Regione AWS in cui gli utenti utilizzano QuickSight.

  3. Per identificare le autorizzazioni di asset e risorse di cui hanno bisogno gli utenti del nuovo spazio dei nomi, utilizza le operazioni API QuickSight associate a ciascun tipo di risorsa (pannelli di controllo, set di dati e così via). Per ulteriori informazioni, consulta Operazioni API per il controllo delle risorse nella Documentazione di riferimento delle API di Amazon QuickSight.

    Ad esempio, supponiamo che ti stai concentrando sui pannelli di controllo. Puoi utilizzare ListDashboards per elencare tutti gli ID del pannello di controllo nel tuo account AWS. Quindi, per determinare gli utenti o i gruppi che possono accedere a questi pannelli di controllo, puoi utilizzare DescribeDashboardPermissions sul set di risultati generato da ListDashboards. Se devi identificare versioni specifiche di un pannello di controllo, puoi utilizzare ListDashboardVersions. Puoi anche raccogliere informazioni sulla posizione dei dati utilizzati nel pannello di controllo con le operazioni API relative all'origine dati e al set di dati. Per ulteriori informazioni, consulta Operazioni API di QuickSight per il controllo delle risorse di dati nella Documentazione di riferimento delle API di Amazon QuickSight.

    Per ulteriori informazioni sul filtraggio dell'output di risposta dell'API, consulta la documentazione SDK per il linguaggio che stai utilizzando. Per ulteriori informazioni sull'AWS Command Line Interface (AWS CLI), consulta ‭‬Controllo dell'output del comando da AWS CLI‭‬ nella Guida per l'utente di AWS Command Line Interface.

  4. Per gli asset e le risorse QuickSight, copia le autorizzazioni di cui dispone l'utente dello spazio dei nomi di origine per ogni risorsa. Utilizza quindi, ad esempio, UpdateDashboardPermissions per applicare le stesse autorizzazioni all'utente dello spazio dei nomi di destinazione. Ogni tipo di risorsa dispone di un proprio set separato di operazioni API per il controllo delle autorizzazioni di cui dispongono gli utenti per utilizzarlo. Per ulteriori informazioni, consulta Operazioni API QuickSight per le autorizzazioni di asset e risorse nella Documentazione di riferimento delle API di Amazon QuickSight.

  5. Al termine dell'aggiunta di utenti e autorizzazioni, è buona norma concedere del tempo per i test di accettazione da parte degli utenti. In questo modo si garantisce che tutti utilizzino correttamente il nuovo spazio dei nomi. Garantisce inoltre che tutti gli asset e le risorse siano accessibili nel nuovo spazio dei nomi.

    Dopo esserti assicurato di non aver più bisogno dei nomi utente originali, puoi iniziare a rendere obsolete le loro autorizzazioni nello spazio dei nomi originale. Infine, una volta pronti gli utenti, potrai rimuovere il gruppo e i nomi utente non utilizzati nello spazio dei nomi di origine. Esegui questa operazione in tutte le Regione AWS in cui gli utenti erano attivi in precedenza.