Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Supporto della multilocazione con spazi dei nomi isolati

L'edizione Amazon Quick Suite Enterprise supporta la multitenancy tramite namespace. Uno spazio dei nomi Amazon Quick Suite è un contenitore logico che puoi utilizzare per organizzare clienti, filiali, team e così via. Gli spazi dei nomi possono aiutarti a raggiungere i seguenti obiettivi:

Puoi consentire agli utenti del tuo abbonamento Amazon Quick Suite di scoprire contenuti condivisi e condividerli con altri utenti. Allo stesso tempo, puoi essere certo che gli utenti di uno spazio dei nomi non possano vedere o interagire con gli utenti in un altro spazio dei nomi.
Puoi isolare in modo sicuro i dati e supportare anche diversi carichi di lavoro senza aggiungere account aggiuntivi. AWS L'accesso ai dati è ancora strettamente controllato dalle funzionalità di sicurezza di AWS . Gli utenti possono visualizzare le risorse (come dati e pannelli di controllo) solo se dispongono delle autorizzazioni corrette per le risorse. Inoltre, gli utenti che dispongono delle autorizzazioni non possono esporre inavvertitamente i contenuti a persone che non appartengono al loro spazio dei nomi. Per ulteriori informazioni, consulta Supporto della multilocazione con spazi dei nomi isolati.
Puoi monitorare i flussi di dati e i report sull'utilizzo, suddivisi in modo ordinato per spazio dei nomi. La categorizzazione di dati e report per spazio dei nomi può aiutare a semplificare l'analisi dei costi e della sicurezza.
Dopo aver registrato gli utenti nel tuo spazio dei nomi, non ci sono ulteriori sovraccarichi o costi amministrativi.
I namespace sono progettati per estendersi Regioni AWS, quindi il contenimento dell'uso non cambia anche se una persona accede a un altro. Regione AWS

Gli spazi dei nomi presentano attualmente le seguenti limitazioni:

Gli spazi dei nomi personalizzati, ovvero quelli che non sono lo spazio dei nomi predefinito, sono accessibili solo agli utenti di Single-Sign On federato IAM.
Utilizza gli spazi dei nomi predefiniti anziché quelli personalizzati se devi supportare quanto segue:
- Integrazione del tuo account Amazon Quick Suite con IAM Identity Center. Per ulteriori informazioni sull'integrazione del tuo account Amazon Quick Suite con IAM Identity Center, consulta la sezione AWS Sicurezza in Amazon Quick Suite.
- Accessi basati su password.
- Accessi ad Active Directory basati su credenziali.
Non è possibile trasferire gli utenti direttamente da uno spazio dei nomi a un altro. Puoi scegliere di eseguire alcune o tutte queste operazioni a livello di codice. Per ulteriori informazioni, consulta il riferimento all'API Quick Suite. Nella parte inferiore della pagina di ogni operazione API, c'è un elenco di collegamenti alla stessa operazione nelle SDKs altre lingue. Per vedere quali strumenti SDKs sono disponibili, consulta SDKs i toolkit disponibili nel centro risorse per AWS iniziare.
I namespace sono utili per isolare utenti e autorizzazioni, ma non per condividere risorse. I pannelli di controllo, i set di dati e le analisi possono essere condivisi con gli utenti in diversi namespace. Per impostazione predefinita, gli utenti non possono accedere agli elementi che esistono nello stesso namespace, ma possono accedere a risorse specifiche quando la risorsa viene condivisa con loro.

Se non ne hai uno esistente Account AWS o devi registrarti ad Amazon Quick Suite, leggi le seguenti linee guida, quindi segui le istruzioni applicabili in Registrazione di un abbonamento Amazon Quick Suite:

Registrati per l'edizione Enterprise.
Quando ti viene chiesto con quale metodo desideri connetterti, scegli Federazione basata sul ruolo (IAM). Attualmente, i namespace supportano solo i clienti che utilizzano un ruolo AWS Identity and Access Management (IAM) con una federazione di identità web. Per ulteriori informazioni, consulta Creazione di un ruolo per un provider di identità di terza parte (federazione).
Completa il processo di registrazione.
Utilizza l'operazione CreateNamespaceAPI di Amazon Quick Suite per creare uno o più namespace.
Per iniziare ad aggiungere utenti, segui innanzitutto le istruzioni in Configurazione della federazione IdP utilizzando IAM e Amazon Quick Suite. Utilizza quindi l'operazione RegisterUserAPI per aggiungere utenti al namespace appropriato.

Se ti sei già registrato per l'edizione Standard, puoi facilmente aggiornare il tuo abbonamento all'edizione Enterprise. La persona che esegue l'aggiornamento deve essere un utente di Amazon Quick Suite con privilegi di amministratore. Per ulteriori informazioni, consulta Upgrade del tuo abbonamento Amazon Quick Suite.

Se disponi di un abbonamento all'edizione Enterprise che utilizzi da qualche tempo, è anche possibile migrare gli utenti negli spazi dei nomi. Quando ti registri ad Amazon Quick Suite e aggiungi utenti, tutti risiedono nello spazio dei nomi predefinito. Tutti gli utenti possono interagire direttamente tra loro e condividere dati e pannelli di controllo l'uno con l'altro. Per isolare gli utenti gli uni dagli altri, è possibile creare uno o più spazi dei nomi aggiuntivi.

Importante

Gli asset e le risorse di Amazon Quick Suite, inclusi set di dati, fonti di dati, dashboard, analisi e così via, esistono al di fuori di qualsiasi namespace. Sono visibili solo agli utenti a cui sono state concesse le autorizzazioni relative alle risorse.

Per implementare i namespace, utilizzi le seguenti operazioni API di Amazon Quick Suite:

I namespace non sono supportati nelle regioni elencate di seguito:

af-south-1 Africa (Città del Capo)
ap-southeast-3 Asia Pacifico (Giacarta)
eu-south-1 Europa (Milano)
eu-central-2 Europa (Zurigo)

Nota

Se è necessario installare la versione 2 della CLI AWS CLI, vedere Installazione della AWS CLI nella Guida per l'AWS Command Line Interface utente.

Per aggiungere utenti a un namespace, si utilizza l'RegisterUseroperazione API. Ogni namespace ha un set di utenti completamente indipendente. L'utente ARNs include il qualificatore dello spazio dei nomi per distinguerli, come illustrato negli esempi seguenti:

Amazon Quick Suite considera queste due entità come persone diverse:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123
Amazon Quick Suite considera queste due entità come la stessa persona:
- arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123
- arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

Quando lo usi RegisterUser, selezioni un livello di accesso per ogni utente. Dopo che il nome utente di una persona è stato assegnato a una delle coorti di sicurezza, il suo accesso alla console e all'API è limitato. Le persone che utilizzano Amazon Quick Suite possono avere un unico livello di accesso, come segue:

Accesso come lettore, per gli abbonati di sola lettura a un pannello di controllo
Accesso come autore, per analisti e progettisti di pannelli di controllo
Accesso amministrativo, per gli amministratori di Amazon Quick Suite

Migrazione degli utenti esistenti in uno spazio dei nomi in uno spazio dei nomi differente

Seguire la procedura di seguito per migrare gli utenti esistenti da un namespace a un namespace differente

Identifica gli utenti che desideri trasferire in un altro namespace utilizzando le operazioni API per utenti e gruppi di Amazon Quick Suite. Per ulteriori informazioni, consulta Operazioni API per il controllo degli accessi nel riferimento all'API di Quick Suite.
Crea utenti nel nuovo spazio dei nomi utilizzando l'operazione RegisterUserAPI. All'interno di uno spazio dei nomi, i nomi utente sono univoci.

Se un utente dello spazio dei nomi inizia a utilizzare la console o l'API di Amazon Quick Suite in una nuova console Regione AWS, quell'utente è ancora vincolato allo spazio dei nomi a cui lo hai aggiunto. Ogni spazio dei nomi rappresenta una directory utente di un gestore delle identità. In quanto tale, ha origine nel sito primario in Regione AWS cui è configurata Amazon Quick Suite. Tuttavia, poiché la directory utente viene propagata a livello globale nel tuo AWS account, lo spazio dei nomi è accessibile da qualsiasi luogo Regione AWS in cui gli utenti utilizzano Amazon Quick Suite.
Per identificare le autorizzazioni di asset e risorse di cui hanno bisogno i nuovi utenti del namespace, utilizza le operazioni API di Amazon Quick Suite associate a ciascun tipo di risorsa (dashboard, set di dati e così via). Per ulteriori informazioni, consulta Operazioni QuickSight API per controllare gli asset nel riferimento alle API di Quick Suite.

Ad esempio, supponiamo che ti stai concentrando sui pannelli di controllo. Puoi usarla ListDashboards per elencare tutte le dashboard IDs del tuo AWS account. Quindi, per determinare gli utenti o i gruppi che possono accedere a questi pannelli di controllo, puoi utilizzare DescribeDashboardPermissions sul set di risultati generato da ListDashboards. Se devi identificare versioni specifiche di un pannello di controllo, puoi utilizzare ListDashboardVersions. Puoi anche raccogliere informazioni sulla posizione dei dati utilizzati nel pannello di controllo con le operazioni API relative all'origine dati e al set di dati. Per ulteriori informazioni, consulta Operazioni QuickSight API per controllare le risorse di dati nel riferimento all'API di Quick Suite.

Per ulteriori informazioni sul filtraggio dell'output di risposta dell'API, consulta la documentazione SDK per il linguaggio che stai utilizzando. Per informazioni relative a AWS Command Line Interface (AWS CLI), vedete Controllare l'output dei comandi dalla AWS CLI nella Guida per l'AWS Command Line Interface utente.
Per gli asset e le risorse di Amazon Quick Suite, copia le autorizzazioni di cui dispone l'utente del namespace di origine per ogni risorsa. Utilizza quindi, ad esempio, UpdateDashboardPermissions per applicare le stesse autorizzazioni all'utente dello spazio dei nomi di destinazione. Ogni tipo di risorsa dispone di un proprio set separato di operazioni API per il controllo delle autorizzazioni di cui dispongono gli utenti per utilizzarlo. Per ulteriori informazioni, consulta Operazioni QuickSight API per le autorizzazioni di asset e risorse nel riferimento all'API di Quick Suite.
Al termine dell'aggiunta di utenti e autorizzazioni, è buona norma concedere del tempo per i test di accettazione da parte degli utenti. In questo modo si garantisce che tutti utilizzino correttamente il nuovo spazio dei nomi. Garantisce inoltre che tutti gli asset e le risorse siano accessibili nel nuovo spazio dei nomi.

Dopo esserti assicurato di non aver più bisogno dei nomi utente originali, puoi iniziare a rendere obsolete le loro autorizzazioni nello spazio dei nomi originale. Infine, una volta pronti gli utenti, potrai rimuovere il gruppo e i nomi utente non utilizzati nello spazio dei nomi di origine. Esegui questa operazione in tutte le aree Regione AWS in cui i tuoi utenti erano attivi in precedenza.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dei domini

Gestione delle impostazioni mobili