本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Quick 中的安全性
Amazon Quick 提供了一个安全的平台,使您能够向成千上万的用户分发仪表板和见解,该平台具有多区域可用性和内置冗余功能。
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Quick 的合规计划,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
本文档可帮助您了解在使用 Amazon Quick 时如何应用分担责任模型。以下主题向您介绍如何配置 Amazon Quick 以实现您的安全和合规目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 Amazon Quick 资源。
Amazon Quick 使您能够使用一套全面的安全功能来管理您的用户和内容。其中包括基于角色的访问控制、Microsoft Active Directory 集成、 AWS CloudTrail 审计、使用单点登录 AWS Identity and Access Management (IAM) 和第三方解决方案、私有 VPC 子网以及数据备份。Amazon Quick 还可以支持 FedRAMP、HIPAA、PCI DSS、ISO 和 SOC 合规性,以帮助您满足行业特定要求或监管要求。
**Topics**
+ [Amazon Quick 中的数据保护](sec-data-protection.md)
+ [在 Amazon Quick 中进行事件响应、记录和监控](incident-response-logging-and-monitoring.md)
+ [Amazon Quick 的合规性验证](sec-compliance.md)
+ [Amazon Quick 中的弹性](disaster-recovery-resiliency.md)
+ [Amazon Quick 中的基础设施安全](infrastructure-and-network-access.md)
+ [Amazon Quick 中的安全最佳实践](best-practices-security.md)
+ [AWS Amazon Quick 的托管策略](security-iam-quicksight.md)
# Amazon Quick 中的数据保护
AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)分适用于 Amazon Quick 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您 AWS 服务 使用控制台、API 或与 Amazon Quick 或其他人合作时 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
Amazon Quick 不使用客户数据进行培训或改善基础知识 LLMs。
**Topics**
+ [Amazon Quick 中的数据加密](data-encryption.md)
+ [Amazon Quick 中的网络间流量隐私](internetwork-traffic-privacy.md)
# Amazon Quick 中的数据加密
Amazon Quick 使用以下数据加密功能:
+ 静态加密
+ 传输中加密
+ 密钥管理
您可以在以下主题中找到有关静态数据加密和传输中数据加密的更多详细信息。有关 Amazon Quick 中密钥管理的更多信息,请参阅[使用 AWS KMS 客户管理的密钥加密 Amazon Quick SPICE 数据集](https://docs.aws.amazon.com/quicksuite/latest/userguide/customer-managed-keys.html)。
**Topics**
+ [静态加密](#data-encryption-at-rest)
+ [传输中加密](#data-encryption-in-transit)
## 静态加密
Amazon Quick 可以安全地存储您的亚马逊快捷元数据。这包括以下这些:
+ Amazon Quick 用户数据,包括 Amazon Quick 用户名、电子邮件地址和密码。Amazon Quick 管理员可以查看用户名和电子邮件,但每个用户的密码对每个用户都是完全私密的。
+ 协调用户标识与 Microsoft Active Directory 或身份联合验证实现 [通过安全断言标记语言 2.0(SAML 2.0)进行联合单点登录(IAM Identity Center)] 所需的最少数据。
+ 数据源连接数据。
+ 当客户向 Amazon Quick 注册 CMK 时,Amazon Quick 数据源凭证(用户名和密码)或用于建立数据源连接的 OAuth 令牌将使用客户的默认 CMK 进行加密。如果客户没有在 Amazon Quick 上注册 CMK,我们将继续使用 Amazon Quick 拥有的 AWS KMS 密钥对信息进行加密。
+ 所上传文件的名称、数据来源名称和数据集名称。
+ Amazon Quick 用来填充机器学习 (ML) 见解的统计数据。
+ 数据已编制索引以支持 Quick 中的 Amazon Q。这包括以下这些:
+ 主题
+ 与仪表板相关的元数据
+ 您首次购买索引容量
+ 你的第一次聊天
+ 你的第一个空间创作
+ 您的第一个知识库创建
**注意**
在创建上述内容之前配置 CMK。否则,Q 数据将由 AWS自有密钥加密,以后无法更改。
Amazon Quick 安全地存储您的 Amazon Quick 数据。这包括以下这些:
+ Data-at-rest in SPICE 使用硬件块级加密和托管密钥进行 AWS加密。
+ Data-at-rest 但使用亚马逊管理SPICE的 KMS 密钥进行加密。这包括以下这些:
+ 电子邮件报告
+ 筛选条件的示例值
删除用户时,该用户的所有元数据也将永久删除。如果您不将该用户的 Amazon Quick 对象转移给其他用户,则该已删除用户的所有Amazon Quick对象(数据源、数据集、分析等)也会被删除。当您取消订阅 Amazon Quick 时,您的所有元数据和所有数据都将被完全永久删除。SPICE
## 传输中加密
Amazon Quick 支持对所有数据传输进行加密。这包括从数据来源传输到 SPICE,或从 SPICE 传输到用户界面。但是,加密并非强制操作。对于某些数据库,您可以选择是否对来自数据来源的传输进行加密。Amazon Quick 使用安全套接字层 (SSL) 保护所有加密传输。
# Amazon Quick 中的网络间流量隐私
要使用 Amazon Quick,用户需要访问互联网。他们还需要使用兼容的浏览器或安装了 Amazon Quick 移动应用程序的移动设备。他们无需访问想要分析的数据来源。此访问权限在 Amazon Quick 内部处理。使用 SSL 保护用户与 Amazon Quick 的连接。为了让用户可以访问 Amazon Quick,请允许访问 HTTPS 和 Web Sockets Secure (wss://) 协议。
您可以在公司网络环境中使用 Microsoft AD 连接器和单点登录 (IAM Identity Center)。还可以通过身份提供程序进一步限制访问。或者,也可以使用 MFA。
Amazon Quick 使用数据源所有者在 Amazon Quick 中提供的连接信息来访问数据源。Amazon Quick 和本地应用程序之间以及 Amazon Quick 与内部其他 AWS 资源之间的连接都受到保护 AWS 区域。要连接到任何源,数据源必须允许来自 Amazon Quick 的连接。
## 服务与本地客户端和应用之间的流量
您的私有网络和以下两种连接方式可供选择 AWS:
+ 一个 AWS Site-to-Site VPN 连接。有关更多信息,请参阅[什么是 AWS site-to-site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ 一个 Direct Connect 连接。有关更多信息,请参阅[什么是云 AWS 专线?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
如果您使用 AWS API 操作通过网络与 Amazon Quick 进行交互,则客户端必须支持传输层安全 (TLS) 1.0。我们建议使用 TLS 1.2。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。您必须使用与 IAM 主体关联的访问密钥 ID 和秘密访问密钥对请求签名,或者您可以使用 [AWS Security Token Service(STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)生成临时安全凭证来对请求签名。
## 同一区域内 AWS 资源之间的流量
Amazon Quick 的亚马逊虚拟私有云(亚马逊 VPC)终端节点是 VPC 中的一个逻辑实体,仅允许连接到 Amazon Quick。VPC 将请求路由到 Amazon Quick 并将响应路由回 VPC。有关更多信息,请参阅下列内容:
+ 《Amazon VPC 用户指南》**中的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [使用 Amazon Quick 连接到亚马逊 VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)
# 在 Amazon Quick 中进行事件响应、记录和监控
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
有效的事件响应、日志记录和监控对于维护 Amazon Quick 实例的安全性、性能和可靠性至关重要。该监控框架提供对所有Amazon Quick功能的用户活动、系统性能、安全事件和操作指标的多层可见性,包括聊天、空间、流程、操作、研究、控制面板和自定义代理。
Amazon Quick 与 AWS 原生监控和日志服务集成,可提供实时见解和历史分析功能。监控系统可捕获有关用户参与度、对话模式、资源利用率和安全相关事件的详细分析,而 CloudTrail 日志记录可确保完整的审计跟踪,以进行合规和取证分析。
本节内容:
+ **分析和监控**-全面的控制面板和指标,用于跟踪所有 Amazon Quick 功能中的用户采用率、绩效、反馈和安全事件
+ **CloudTrail 记录**-在 Amazon Quick Sight 中完成 API 调用和管理操作的审计跟踪,以实现合规和安全监控
+ **非 API 事件记录**-监控用户互动、内容访问和不生成 API 调用的系统事件
+ **日志分析和解释**-在 Amazon Quick Sight 中了解日志条目、识别安全事件并响应 Amazon Quick Sight 中的操作问题
无论您是在调查安全事件、分析用户行为模式、衡量系统性能还是确保合规性,这些监控和记录功能都能提供维护安全且运行良好的 Amazon Quick 环境所需的可见性和数据。
**Topics**
+ [使用 CloudWatch 日志监控 Amazon Quick 的使用情况](monitoring-quicksuite-chat-feedback-cloudwatch.md)
+ [使用 Amazon Quick Sight 中的事件响应、记录和监控 CloudTrail](incident-response-logging-and-monitoring-qs.md)
+ [使用 Amazon Quick Sight 监控数据 CloudWatch](monitoring-quicksight.md)
# 使用 CloudWatch 日志监控 Amazon Quick 的使用情况
您可以使用 [Amazon CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) s 在 Amazon Quick 中提供聊天对话、用户反馈和 agent/research 工时使用情况,供您分析。这些日志可以传送到多个目的地,例如 CloudWatch Amazon S3 或 Amazon Data Firehose(适用标准费率)。我们建议您在启用 Amazon Quick AI 功能后立即设置销售日志。
以下是您可以使用 Amazon Quick 中的日志完成的任务示例:
+ 通过查看聊天消息内容,找出常见的用户查询和难点。
+ 通过查看 `feedbackReason` 等指标来监控回复的质量。
+ 通过分析反馈数据(包括评论和有用性评级)来了解用户的情绪和满意度。
+ 生成自定义控制面板和报告,以跟踪一段时间内的关键指标和趋势。
+ 识别并分析聊天未返回答案或用户查询被屏蔽的情况
+ 监控代理和研究时间的使用情况
**重要**
源自对话的日志可能包含聊天中传递的敏感信息或个人身份数据。在设置日志订阅时,您可以从日志中筛选出这些信息。或者,您可以使用日志屏蔽策略屏蔽 CloudWatch 日志中的这些数据。有关更多信息,请参阅 [Help protect sensitive log data with masking](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html)。
## 支持的日志目标
Amazon Quick 可以将日志传送到以下目的地:
+ **Amazon CloudWatch 日志**-用于实时监控和分析
+ **Amazon S3**-用于长期存储和批处理
+ **Amazon Data Firehose**-用于流媒体分析和数据转换
## 先决条件
在启用日志记录之前,请确保您已具备以下条件:
+ 具有企业版或专业版订阅的活跃 Amazon Quick 实例
+ 配置日志传输的相应 IAM 权限
+ 为您的日志配置的目的地(日CloudWatch 志、Amazon S3 存储桶或 Firehose)
## 配置 日志记录
要启用 Amazon Quick 聊天和反馈的日志记录,您需要配置 IAM 权限,创建传送源和目标,并验证日志是否已成功传送。
**Topics**
+ [设置 IAM 权限](#quicksuite-chat-feedback-setup-iam-permissions)
+ [配置日志订阅](#quicksuite-chat-feedback-configure-log-subscription)
+ [验证日志传送](#quicksuite-chat-feedback-verify-log-delivery)
### 设置 IAM 权限
要为 Amazon Quick 设置 CloudWatch 日志,请使用以下 IAM 策略示例来授予必要的权限。
```
{
"Version": "2012-10-17" ,
"Statement": [{
"Sid": "QuicksightLogDeliveryPermissions",
"Effect": "Allow",
"Action": "quicksight:AllowVendedLogDeliveryForResource",
"Resource": "arn:aws:quicksight:region:account-id:account/account-id"
}]
}
```
您还必须在客户托管 AWS KMS 密钥策略中允许`delivery.logs.amazonaws.com`服务主体。
```
{
"Effect": "Allow" ,
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account-id:*"
}
}
}
```
### 配置日志订阅
例如,具有特定日志目标所需的所有权限的 IAM 策略,请参阅 A *mazon [Log CloudWatch s 用户指南中的启用 AWS 服务](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)日志*记录。
使用[PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html) CloudWatch 日志 API 操作创建传送源。为传输来源命名,然后为 `resourceArn` 指定应用程序的 ARN。对于`logType``CHAT_LOGS`、指定`AGENT_HOURS_LOGS`或 `FEEDBACK_LOGS`
```
{
"logType": "CHAT_LOGS",
"name": "my-quick-suite-delivery-source",
"resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```
```
{
"logType": "FEEDBACK_LOGS",
"name": "my-quick-suite-delivery-source",
"resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```
```
{
"logType": "AGENT_HOURS_LOGS",
"name": "my-quick-suite-delivery-source",
"resourceArn": "arn:aws:quicksight:your-region:your-account-id:account/account-id"
}
```
要使用 CloudWatch 日志 API 操作启用用户对话日志记录,请调用`PutDeliverySource``PutDeliveryDestination`、和 `CreateDelivery` API 操作。
**注意**
将提供输入中资源 ARN 中提及的区域的日志。`PutDeliverySource`
### 验证日志传送
配置完成后,请验证日志是否已传送到您的目的地:
+ **验证设置:**使用 CloudWatch 日志中的 `DescribeDeliveries` API 验证账户中已创建的交付列表。
+ **CloudWatch 日志**:检查指定的日志组中是否有新的日志流。
+ **Amazon S3**:监控您的存储桶中是否有新的日志文件。
+ **Firehose**:验证数据是否流经您的交付流。
## 日志架构和格式
Amazon Quick 日志遵循结构化架构,所有日志类型共享公共字段,聊天和反馈日志的特定字段。
### 通用字段
所有日志事件都包含以下常用字段:
+ `resource_arn`-您的 Amazon Quick 账户的资源 ARN(例如,)`arn:aws:quicksight:us-east-1:111122223333:account/111122223333:`
+ `event_timestamp`-事件的 ISO 8601 时间戳(例如,)`1763532110061`
+ `logType`-日志类型(例如,`Chat`或`Feedback`)
+ `accountId`- AWS 账户 ID(例如,`123456789012`)
+ `user_arn`-与事件关联的 Amazon Quick 用户 ARN(例如,)`"arn:aws:quicksight:us-west-2:111122223333:user/default/user"`
### 聊天日志
聊天记录会话互动并包含以下字段:
+ `status_code`-聊天请求的状态(例如,`Success, request_blocked, no_answer_found`)
+ `namespace*`-事件的 Amazon Quick 命名空间(例如,`default`)
+ `user_type`-与事件关联的 Amazon Quick 用户类型(例如,`ADMIN_PRO`)
+ `conversation_id`-用户对话的唯一 ID
+ `system_message_id`-系统生成的消息 ID
+ `latency*`-聊天消息延迟(以毫秒为单位)
+ `time_to_first_token*`-第一个响应令牌的时间(以毫秒为单位)
+ `message_scope`-消息的范围(例如,`all_resources, specific_resources, no_resources`)
+ `user_message_id`-用户消息的唯一 ID
+ `user_message`-对话中的用户消息
+ `agent_id`-聊天代理的唯一 ID
+ `flow_id`-Amazon Quick Flow 的唯一 ID
+ `system_text_message`-对话中的系统响应
+ `surface_type*`-正在使用应用程序进行对话
+ `web_search*`-网络搜索是否启用
+ `user_selected_resources`-用户选择的资源列表
+ `action_connectors`-动作连接器列表
+ `cited_resource`-被引资源清单
+ `file_attachment`-用户附加的文件清单
以下是聊天日志的示例:
```
{
"status_code": "success",
"namespace": "default",
"user_type": "ADMIN_PRO",
"conversation_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"system_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"latency": "10000",
"time_to_first_token": "10000",
"message_scope": "all_resources",
"user_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"user_message": "Hi chat",
"agent_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"flow_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d?",
"system_text_message": "Hello user",
"surface_type": "WEB_EXPERIENCE",
"web_search": "true"
"user_selected_resources": [{"resource_type": "Dashboard","resource_id": "146abs-1222-534894"},{"resource_type": "Space","resource_id": "123abs-1234-534894"}],
"action_connectors": [{"action_connector_id": "quicksight-website"},{"action_connector_id": "123abs-1234-534894"}]
"cited_resource": [{"cited_resource_name": "Dashboard","cited_resource_id": "146abs-1222-534894","cited_resource_name": "ds1"},{"cited_resource_name": "Space","cited_resource_id": "123abs-1234-534894","cited_resource_name": "space1"}],
"file_attachment": [{"file_attachmet_type": "pdf","file_attachment_name": "file1.pdf"},{"file_attachmet_type": "txt","file_attachment_name": "file2.txt"}]
}
```
### 反馈日志
反馈日志记录了用户对聊天的反馈,并包含以下字段:
+ `status_code`-活动交付状态
+ `namespace*`-事件的 Amazon Quick 命名空间(例如,`default`)
+ `user_type`-与事件关联的 Amazon Quick 用户类型(例如,`ADMIN_PRO`)
+ `conversation_id`-对话的唯一 ID
+ `system_message_id`-系统生成的消息 ID
+ `user_message_id`-用户消息的唯一 ID
+ `feedback_type`-反馈类型(例如,`Not Useful, Useful`)
+ `feedback_reason`-用户选择的反馈原因
+ `feedback_details`-(可选)用户提供的其他详细信息
以下是反馈日志的示例:
```
{
"status_code": "success",
"namespace": "default",
"user_type": "ADMIN_PRO",
"conversation_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"system_message_id": "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"user_message_id" : "a11b2bbc-c123-3abc-a12b-12a34b5c678d",
"feedback_type" :"Not Useful / Useful"
"feedback_reason" : "Too wordy,Issue with sources,Other etc."
"feedback_details" : "additional text shared by user"
}
```
## 代理/研究时间日志
此日志类型捕获用于定价的 Quick 账户中不同代理的使用日志:
+ `subscription_type`-企业版或专业版
+ `reporting_service`-与代理对应的服务:研究、流程或自动化
+ `usage_group`-`Included or Extra` 基于迄今为止的订阅类型和使用情况
+ `usage_hours`-表示特定日志实例使用时间的十进制值
+ `service_resource_arn`-相应代理服务的 ARN
以下是座席工作时间日志的示例:
```
{
"subscription_type": "ENTERPRISE",
"reporting_service": "RESEARCH",
"usage_group": "Included",
"usage_hours": 0.3333,
"service_resource_arn": "arn:aws:quicksight:eu-west-1:111222333444:research/a11b2bbc-c123-3abc-a12b-12a34b5c678d"
}
```
**注意**
\$1 默认情况下,标有 “\$1” 的字段不会添加到您的日志订阅中。 CreateDelivery 如果需要,需要在调用时明确指定这些内容。
## 安全注意事项
+ **加密**:对敏感数据使用客户管理的 AWS KMS 密钥
+ **访问控制**:实施最低权限的 IAM 策略
+ **数据保留**:根据您的合规性要求配置适当的保留策略
# 使用 Amazon Quick Sight 中的事件响应、记录和监控 CloudTrail
Amazon Quick Sight 已与 AWS CloudTrail。该服务记录用户、角色或 AWS 服务在 Amazon Quick Sight 中执行的操作。 CloudTrail 将 Amazon Quick Sight 的所有 API 调用捕获为事件。捕获的调用包括来自 Amazon Quick Sight 控制台的一些调用以及对 Amazon Quick Sight API 操作的所有代码调用。如果您创建了跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 Amazon Quick Sight 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。通过收集的信息 CloudTrail,您可以确定向 Amazon Quick Sight 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。
Amazon Quick Sight 本身不支持使用亚马逊 CloudWatch 或其他外部系统发出警报。但是,可以开发自定义解决方案来处理 CloudTrail 日志。
可以在 Service Healt [h Dashboard 上查看 Amazon Quick Sight 服务](https://status.aws.amazon.com/)状态。
默认情况下,传送 CloudTrail 到您的存储桶的日志文件由亚马逊[服务器端加密,使用亚马逊 S3 托管的加密密钥 (SSE-S3) 进行加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。要提供可直接管理的安全层,您可以改为使用[服务器端加密和 KMS AWS 托管密钥 (SSE-KMS) 来处理](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html)日志文件。 CloudTrail 启用服务器端加密将使用 SSE-KMS 加密日志文件而不加密摘要文件。摘要文件使用 [Simple Storage Service(Amazon S3)托管加密密钥(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)加密。
要了解更多信息 CloudTrail,包括如何配置和启用它,请参阅[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
**Topics**
+ [使用 Amazon Quick Sight 记录信息 AWS CloudTrail](#logging-using-cloudtrail)
+ [使用 CloudTrail 日志跟踪非 API 事件](#logging-non-api)
+ [示例:Amazon Quick Sight 日志文件条目](#understanding-quicksight-entries)
## 使用 Amazon Quick Sight 记录信息 AWS CloudTrail
| |
| --- |
| 目标受众:系统管理员 |
CloudTrail 在您创建 AWS 账户时已在您的账户上启用。当 Amazon Quick Sight 中出现支持的事件活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息,请参阅[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的 AWS 账户中的事件,包括 Amazon Quick Sight 的事件,请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 。此跟踪记录在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [接收来自多个区域的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ 《 AWS Lake Formation 开发者指南指南》中的@@ [跨账户 CloudTrail登录 — 本主题包含在跨账户 CloudTrail日志](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)中包含委托人身份的说明。
Amazon Quick Sight 支持将以下操作作为事件 CloudTrail 记录在日志文件中:
+ 请求是使用根凭证还是 AWS Identity and Access Management 用户凭证发出的
+ 请求是使用 IAM 角色还是联合用户的临时安全凭证发出的
+ 请求是否由其他 AWS 服务发出
有关用户身份的更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
默认情况下,每个 Amazon Quick Sight 日志条目都包含以下信息:
+ **userIdentity** – 用户身份
+ **eventTime** – 事件时间
+ **eventId** – 事件 Id
+ **readOnly** – 只读
+ **AWS 区域 —** AWS 区域
+ E@@ **ventSource(quicksight)**— 事件来源(Amazon Quick Sight)
+ **事件类型 AwsServiceEvent ()-事件类型(**服务事件)AWS
+ **recipientAccountId (客户 AWS 账户)**-收件人账户 ID(客户 AWS 账户)
**注意**
CloudTrail 显示用户,就好`unknown`像他们是由 Amazon Quick Sight 配置的。这样显示是因为这些用户不是已知的 IAM 身份类型。
## 使用 CloudTrail 日志跟踪非 API 事件
以下是可以跟踪的非 API 事件的列表。
**User management**
+ **CreateAccount**— 创建账户
+ **BatchCreateUser**— 创建用户
+ **BatchResendUserInvite**— 邀请用户
+ **UpdateGroups**— 更新群组
此事件仅与企业版配合使用。
+ **UpdateSpiceCapacity**— 更新SPICE容量
+ **DeleteUser**— 删除用户
+ **Unsubscribe** – 取消订阅用户
**订阅**
+ **CreateSubscription**— 创建订阅
+ **UpdateSubscription**— 更新订阅
+ **DeleteSubscription**— 删除订阅
**控制面板**
+ **GetDashboard**— 获取仪表板
+ **CreateDashboard**— 创建仪表板
+ **UpdateDashboard**— 更新仪表板
+ **UpdateDashboardAccess**— 更新仪表板访问权限
+ **DeleteDashboard**— 删除仪表板
**分析**
+ **GetAnalysis**— 获取分析
+ **CreateAnalysis**— 创建分析
+ **UpdateAnalysisAccess**— 更新分析访问权限
+ **UpdateAnalysis**— 更新分析
+ **RenameAnalysis**— 重命名分析
+ **CreateVisual**— 创建视觉效果
+ **RenameVisual**— 重命名视觉效果
+ **DeleteVisual**— 删除视觉效果
+ **DeleteAnalysis**— 删除分析
**数据来源**
+ **CreateDataSource**— 创建数据源
+ **FlatFile**— 平面文件
+ **External** – 外部
+ **S3** – S3
+ I@@ **mports3 ManifestFile** — S3 清单文件
+ **Presto** – Presto
+ **RDS** – RDS
+ **Redshift** – Redshift(手动)
+ **UpdateDataSource**— 更新数据源
+ **DeleteDataSource**— 删除数据源
**数据集**
+ **CreateDataSet**— 创建数据集
+ **CustomSQL** – 自定义 SQL
+ **SQLTable**— SQL 表
+ **File** – CSV 或 XLSX
+ **UpdateDataSet**— 更新 SQL 联接数据集
+ **UpdateDatasetAccess**— 更新数据集访问权限
+ **DeleteDataSet**— 删除数据集
+ **Querydatabase** – 在数据集刷新期间,查询数据来源。
## 示例:Amazon Quick Sight 日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。 CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此它们不会以任何特定顺序显示。
以下示例显示了演示该 BatchCreateUser操作的 CloudTrail 日志条目。
```
{
"eventVersion":"1.05",
"userIdentity":
{
"type":"Root",
"principalId":"123456789012",
"arn":"arn:aws:iam::123456789012:root",
"accountId":"123456789012",
"userName":"test-username"
},
"eventTime":"2017-04-19T03:16:13Z",
"eventSource":"quicksight.amazonaws.com",
"eventName":"BatchCreateUser",
"awsRegion":"us-west-2",
"requestParameters":null,
"responseElements":null,
"eventID":"e7d2382e-70a0-3fb7-9d41-a7a913422240",
"readOnly":false,
"eventType":"AwsServiceEvent",
"recipientAccountId":"123456789012",
"serviceEventDetails":
{
"eventRequestDetails":
{
"users":
{
"test-user-11":
{
"role":"USER"
},
"test-user-22":
{
"role":"ADMIN"
}
}
},
"eventResponseDetails":
{
"validUsers":[
],
"InvalidUsers":[
"test-user-11",
"test-user-22"
]
}
}
}
```
# 使用 Amazon Quick Sight 监控数据 CloudWatch
Amazon Quick 向亚马逊发送指标 CloudWatch ,您可以使用这些指标近乎实时地观察和响应 Amazon Quick 环境的可用性和性能。目前,您可以监控 Amazon Quick Sight 控制面板、视觉对象和数据集提取以及非结构化数据集和快速操作连接器的指标,从而为读者提供一致、高性能和不间断的 Amazon Quick 体验。
有关使用亚马逊的更多信息 CloudWatch,请参阅[亚马逊 CloudWatch 用户指南](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。
## 在 Amazon 中访问快速指标 CloudWatch
使用以下步骤在亚马逊中访问 Amazon Quick 指标 CloudWatch。
**要访问 Amazon Quick 指标,请访问 CloudWatch**
1. 登录与您 AWS 账户 的 Amazon Quick 账户关联的。
1. 在 AWS 管理控制台 主页的左上角,选择 “**服务**”,然后选择。**CloudWatch**
1. 在导航窗格中,选择**指标**、**所有指标**、**QuickSight**。
**Topics**
+ [使用 Amazon CloudWatch 控制台绘制指标图](#cw-graph)
+ [使用 Amazon CloudWatch 控制台创建警报](#cw-alerts)
+ [指标](#cw-metrics)
+ [聚合指标](#cw-aggregate-metrics)
+ [聚合 SPICE 指标](#aggregate-spice-metrics)
+ [Dimensions](#cw-dimensions)
### 使用 Amazon CloudWatch 控制台绘制指标图
您还可以使用 Amazon CloudWatch 控制台绘制 Quick 生成的指标数据的图表。有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[绘制指标](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/graph_metrics.html)图。
### 使用 Amazon CloudWatch 控制台创建警报
您可以创建一个 Amazon CloudWatch 警报来监控您的 Quick 资产的 CloudWatch 指标。当指标达到您指定的阈值时, CloudWatch 会自动向您发送通知。有关示例,请参阅[亚马逊* CloudWatch 用户指南中的创建亚马逊 CloudWatch *警报](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
### 指标
`AWS/QuickSight`命名空间包括以下指标,用于监控您的 Amazon Quick 资产的流量和延迟。
**Topics**
+ [每个控制面板的指标数](#per-dashboard-metrics)
+ [每个数据集的摄取指标](#per-ingestion-metrics)
+ [每个视觉对象的指标](#per-visual-metrics)
+ [每个非结构化数据集指标](#per-unstructured-dataset-metrics)
+ [每操作连接器指标](#per-action-connector-metrics)
#### 每个控制面板的指标数
以下指标跟踪控制面板的查看次数和加载时间。您可以在中的`AWS/QuickSight/Dashboard Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 维度 | 单位 |
| --- | --- | --- | --- |
| DashboardViewCount | 控制面板被查看的次数。此数字包括所有访问模式,例如 Web、移动和嵌入式。 此指标最有用的统计数据是 `SUM`,表示设定时段内查看控制面板的总次数。 | DashboardId | 计数 |
| DashboardViewLoadTime | 加载 Amazon Quick Sight 控制面板所需的时间。测量从用户到达 Amazon Quick Sight 控制面板时开始,并在控制面板的所有视觉效果完成渲染后结束。 该指标最有用的统计数据是`AVERAGE`,它表示 Amazon Quick Sight 控制面板在设定时间段内的平均加载时间。 | DashboardId | 毫秒 |
#### 每个数据集的摄取指标
以下指标跟踪特定 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 数据集的摄取量。您可以在中的`AWS/QuickSight/Ingestion Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 维度 | 单位 |
| --- | --- | --- | --- |
| IngestionErrorCount | 失败摄取的数量。 此指标最有用的统计数据是 `SUM`,表示设定时段内失败摄取的总数。 | DatasetId | 计数 |
| IngestionInvocationCount | 已启动的摄取数量。这包括通过控制台和 Amazon Quick Sight API 操作启动的计划和手动摄取。 此指标最有用的统计数据是 `SUM`,表示设定时段内启动的摄取的总数。 | DatasetId | 计数 |
| IngestionLatency | 从开始摄取到完成摄取之间的时间段。 此指标最有用的统计数据是 `AVERAGE`,表示设定时段内摄取的平均运行时。 | DatasetId | 秒 |
| IngestionRowCount | 成功行摄取的数量。 此指标最有用的统计数据是 `SUM`,表示设定时段内摄取的总数据量。 | DatasetId | 计数 |
#### 每个视觉对象的指标
以下指标跟踪了 Amazon Quick Sight 控制面板上各个视觉对象的加载时间和错误数。您可以在中的`AWS/QuickSight/Visual Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 维度 | 单位 |
| --- | --- | --- | --- |
| VisualLoadTime | Amazon Quick Sight 视觉对象接收视觉对象初始绘制所需的查询数据所花费的时间。这包括从客户到 Amazon Quick Sight 服务,然后返回客户的往返查询时间。 此指标最有用的统计数据是 `AVERAGE`,表示设定时段内视觉对象的平均加载时间。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 毫秒 |
| VisualLoadErrorCount | Amazon Quick Sight 视觉效果未能完成初始绘画的数据查询的次数。此指标包含在视觉对象加载期间发生的任何错误。 此指标最有用的统计数据是 `SUM`,表示设定时段内失败的视觉对象加载的总次数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
#### 每个非结构化数据集指标
以下指标跟踪 Amazon Quick Sight 非结构化数据集的文档统计数据和索引状态。您可以在中的`AWS/QuickSight/QuickInstanceId`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 维度 | 单位 |
| --- | --- | --- | --- |
| QuickIndexDocumentCount | 非结构化快速索引中的文档数量。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| QuickIndexExtractedTextSize | 非结构化快速索引的提取文本大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 字节 |
| QuickIndexPurchasedInMB | 为非结构化快速索引购买的存储量。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | MB |
| QuickIndexCapacityConsumedRawFileSizeInGB | 非结构化快速索引消耗的原始文件大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | GB |
| QuickIndexCapacityRawFileSizeLimitInGB | 非结构化快速索引的原始文件大小限制。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | GB |
| DocumentsCrawled | 在非结构化快速索引中搜寻的已上传文档数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| DocumentsIndexed | 在非结构化快速索引中编入索引的文档数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| DocumentsDeleted | 从非结构化快速索引中删除的文档数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| DocumentsModified | 在非结构化快速索引中修改的文档数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| DocumentsFailedToIndex | 未能在非结构化快速索引中编制索引的文档数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| ExtractedTextSize | 连接器级别同步期间在非结构化快速索引中提取的总文本大小。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | MB |
#### 每操作连接器指标
以下指标跟踪对快速操作连接器的调用次数。您可以在中的`AWS/QuickSight`命名空间下找到这些指标 CloudWatch。
| 指标 | 说明 | 维度 | 单位 |
| --- | --- | --- | --- |
| ActionInvocationCount | 您的操作连接器被调用的次数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
| ActionInvocationError | 您的操作连接器调用失败的次数。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/quick/latest/userguide/monitoring-quicksight.html) | 计数 |
### 聚合指标
`AWS/QuickSight`命名空间包括以下汇总指标,用于监控您的 Amazon Quick 资产的流量和延迟。
**Topics**
+ [聚合控制面板指标](#aggregate-dashboard-metrics)
+ [聚合摄取指标](#aggregate-ingestion-metrics)
+ [聚合视觉对象指标](#aggregate-visual-metrics)
+ [聚合非结构化数据集指标](#aggregate-unstructured-dataset-metrics)
+ [汇总操作连接器指标](#aggregate-action-connector-metrics)
#### 聚合控制面板指标
以下指标跟踪了 Amazon Quick 账户和区域中所有控制面板的查看次数和加载时间。您可以在中的`AWS/QuickSight/Aggregate Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| DashboardViewCount | 在该地区的整个 Amazon Quick 账户中查看所有 Amazon Quick Sight 控制面板的次数。此数字是一个聚合值,包括所有访问模式,例如 Web、移动和嵌入式。 该指标最有用的统计数据是`SUM`,它表示在设定时间段内 Amazon Quick Sight 控制面板的浏览总数。 | 计数 |
| DashboardViewLoadTime | 加载所有 Amazon Quick Sight 控制面板所需的时间。测量从用户导航到 Amazon Quick Sight 控制面板时开始,并在控制面板的所有视觉效果完成渲染后结束。 该指标最有用的统计数据是`AVERAGE`,它表示在设定时间段内所有 Amazon Quick Sight 控制面板的平均加载时间。 | 毫秒 |
#### 聚合摄取指标
以下指标跟踪与Amazon Quick账户关联的所有摄取量,以及. AWS 区域您可以在中的`AWS/QuickSight/Aggregate Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| IngestionErrorCount | 失败摄取的数量。 此指标最有用的统计数据是 `SUM`,表示设定时段内失败摄取的总数。 | 计数 |
| IngestionInvocationCount | 已启动的摄取数量。这包括通过控制台和 Amazon Quick Sight API 操作启动的计划和手动摄取。 此指标最有用的统计数据是 `SUM`,表示设定时段内启动的摄取的总数。 | 计数 |
| IngestionLatency | 从开始摄取到完成摄取之间的时间段。 此指标最有用的统计数据是 `AVERAGE`,表示设定时段内摄取的平均运行时。 | 秒 |
| IngestionRowCount | 成功行摄取的数量。 此指标最有用的统计数据是 `SUM`,表示设定时段内摄取的总数据量。 | 计数 |
#### 聚合视觉对象指标
以下指标跟踪控制面板和 Amazon Quick 账户中所有视觉对象的加载时间和错误计数。您可以在`AWS/QuickSight/Aggregate Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| VisualLoadTime | 所有 Amazon Quick Sight 视觉对象接收初始绘制视觉效果所需的查询数据所花费的时间。这包括从客户到 Amazon Quick 服务,然后返回客户的往返查询时间。 此指标最有用的统计数据是 `AVERAGE`,表示设定时段内所有视觉对象的平均加载时间。 | 毫秒 |
| VisualLoadErrorCount | 属于 Amazon Quick 账户的所有 Amazon Quick Sight 视觉效果未能完成初始绘画数据查询的次数。 此指标最有用的统计数据是 `SUM`,表示设定时段内失败的视觉对象的总数。 | 计数 |
#### 聚合非结构化数据集指标
以下指标跟踪某个地区的 Amazon Quick 账户内的所有非结构化数据集指标。您可以在`AWS/QuickSight/Aggregate Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| QuickIndexDocumentCount | 非结构化快速索引中的文档数量。 此指标最有用的统计数据是`SUM`,它表示在设定的时间段内添加到索引中的文档总数。 | 计数 |
| QuickIndexExtractedTextSize | 非结构化快速索引的提取文本大小。 此指标最有用的统计数据是`SUM`,它表示索引中所有文档中所有文本的总大小。 | 字节 |
| QuickIndexPurchasedInMB | 为非结构化快速索引购买的存储量。 该指标最有用的统计数据是`SUM`,它表示索引中购买的存储空间的总大小(以 MB 为单位)。 | MB |
| QuickIndexCapacityConsumedRawFileSizeInGB | 非结构化快速索引消耗的原始文件大小。 此指标最有用的统计数据是`SUM`,它表示索引中消耗的原始文件总大小(以 GB 为单位)。 | GB |
| QuickIndexCapacityRawFileSizeLimitInGB | 非结构化快速索引的原始文件大小限制。 此指标最有用的统计数据是`SUM`,它表示索引中原始文件总大小限制(以 GB 为单位)。 | GB |
| DocumentsCrawled | 在非结构化快速索引中搜寻的已上传文档数。 此指标最有用的统计数据是`SUM`,它表示索引中搜索的文档总数。 | 计数 |
| DocumentsIndexed | 在非结构化快速索引中编入索引的文档数。 此指标最有用的统计数据是`SUM`,它表示已编入索引的文档总数。 | 计数 |
| DocumentsDeleted | 从非结构化快速索引中删除的文档数。 此指标最有用的统计数据是`SUM`,它表示从索引中删除的文档总数。 | 计数 |
| DocumentsModified | 在非结构化快速索引中修改的文档数。 此指标最有用的统计数据是`SUM`,它表示索引中修改的文档总数。 | 计数 |
| DocumentsFailedToIndex | 未能在非结构化快速索引中编制索引的文档数。 此指标最有用的统计数据是`SUM`,它表示未能编制索引的文档总数。 | 计数 |
| ExtractedTextSize | 连接器级别同步期间在非结构化快速索引中提取的总文本大小。 此指标最有用的统计数据是`SUM`,它表示在连接器级别同步期间提取的文档的总大小。 | MB |
#### 汇总操作连接器指标
以下指标跟踪某个 AWS 地区中与 Amazon Quick 账户关联的所有快速操作连接器调用。您可以在`AWS/QuickSight/Aggregate Metrics`群组下找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| ActionInvocationCount | 动作连接器调用的次数。 该指标最有用的统计数据是`SUM`,它表示在设定的时间段内启动的操作连接器调用的总数。 | 计数 |
| ActionInvocationError | 操作连接器调用失败的次数。 该指标最有用的统计数据是`SUM`,它表示在设定的时间段内失败的操作连接器调用的总数。 | 计数 |
### 聚合 SPICE 指标
以下指标监控 SPICE 使用信息,以帮助您避免达到可能导致摄取失败的 SPICE 使用上限。统计数据最多可存储 15 个月,因此您可以访问历史信息,更好地了解 Amazon Quick 账户的消费趋势。您可以在`AWS/QuickSight/Aggregate Metrics`群组中找到这些指标 CloudWatch。
| 指标 | 说明 | 单位 |
| --- | --- | --- |
| SPICECapacityLimitInMB | 此值表示特定时间点的预置 SPICE 容量。当使用或购买的容量更新为 1MB 或更多时,该指标就会刷新。 | MegaBytes |
| SPICECapacityConsumedInMB | 此值表示特定时间点使用的 SPICE 容量。当使用或购买的容量更新为 1MB 或更多时,该指标就会刷新。 | MegaBytes |
### Dimensions
以下是亚马逊上显示的快速指标维度列表 CloudWatch。
| 维度 | 说明 |
| --- | --- |
| DashboardId | Amazon Quick Sight 控制面板的公共 ID。 您可以使用 `ListDashboards` API 操作来查看您的 Amazon Quick 账户中每个控制面板的列表。有关更多信息,请参阅[ ListDashboards](https://docs.aws.amazon.com//quicksight/latest/developerguide/list-dashboards.html)《*Amazon Quick Sight API 参考*》。 |
| DatasetId | Amazon Quick Sight 数据集的公共 ID。 您可以使用 `ListDataSets` API 操作来查看您的 Amazon Quick Sight 账户中每个数据集的列表。有关更多信息,请参阅[ ListDataSets](https://docs.aws.amazon.com//quicksight/latest/developerguide/list-datasets.html)《*Amazon Quick Sight API 参考*》。 |
| SheetId | Amazon Quick Sight 工作表的公共 ID。 |
| VisualId | Amazon Quick Sight 视觉效果的公共 ID。 |
| KnowledgeBaseId | Amazon Quick Sight 知识库的公共 ID。 |
| QuickInstanceId | Quick 实例的公有 ID。 |
| ActionConnectorId | 快速操作连接器的公共 ID。 |
| ActionConnectorType | 快速操作连接器的类型。 |
| ActionId | 快速操作的公共 ID。 |
| InvokeErrorCode | 与快速操作连接器调用失败相关的错误代码。 |
# Amazon Quick 的合规性验证
作为多个合规计划的一部分,第三方审计师评估Quick的安全 AWS 性和合规性。其中包括 HIPAA FedRamp、PCI DSS、SOC 和 ISO(9001、27001、27018 和 27019)。
有关该服务以及规定安全管理最佳实践的安全管理标准 ISO 27001 的信息,请参阅 [ISO 27001 概述](https://aws.amazon.com/compliance/iso-27001-faqs/)。
有关特定合规计划范围内的最新 AWS 服务列表,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅在 Artifac [t 中 AWS 下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 Amazon Quick 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。 AWS 提供了以下资源来帮助实现合规性:
+ [安全与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — 这些部署指南讨论了架构注意事项,并提供了在上部署以安全性和合规性为重点的基准环境的步骤。 AWS
+ [HIPAA 安全与合规架构论文 — 本白皮书](https://tinyurl.com/AWS-HIPAA-Compliance)描述了公司如何使用 AWS 来创建符合 HIPAA 标准的应用程序。
这是一项符合 HIPAA 要求的服务。[有关 AWS《1996 年美国健康保险流通与责任法案》(HIPAA) 以及使用 AWS 服务处理、存储和传输受保护的健康信息 (PHI) 的更多信息,请参阅 HIPAA 概述。](https://aws.amazon.com/compliance/hipaa-compliance/)
+ [AWS 合规资源](https://aws.amazon.com/compliance/resources/)-此工作簿和指南集合可能适用于您的行业和所在地区。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— 该 AWS 服务评估您的资源配置在多大程度上符合内部实践、行业指导方针和法规。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 此 AWS 服务可全面了解您的安全状态 AWS ,帮助您检查是否符合安全行业标准和最佳实践。
# Amazon Quick 中的弹性
Quick 由 AWS托管基础架构构建 AWS 并在其上运行。它将充分利用 AWS提供的高可用性功能。
AWS 全球基础设施是围绕 AWS 区域和可用区构建的。 AWS 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比,可用区具有更高的可用性、容错性和可扩展性。
由于 Amazon Quick 是一个 AWS托管应用程序,因此所有补丁和更新都将根据需要由 AWS 应用。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# Amazon Quick 中的基础设施安全
| |
| --- |
| 目标受众:Amazon Quick 管理员 |
Quick 以 Web 应用程序的形式交付,托管在专用的 Amazon EC2 主机上,与 AWS 虚拟私有云 (VPCs) 分开。您无需在自己的主机上部署 Amazon Quick,而是通过区域公共终端节点访问 Amazon Quick 服务。Amazon Quick 通过安全的互联网连接从区域终端节点访问数据源。要访问位于公司网络内部的数据源,请将网络配置为允许从 Amazon Quick 公有 IP 地址块之一进行访问。我们建议您考虑使用 VPC(专用于您 AWS 账户的虚拟网络)。
有关更多信息,请参阅下列内容:
+ [全球基础设施:最广泛、可靠且安全的全球云基础设施](https://aws.amazon.com/about-aws/global-infrastructure)
+ [AWS 区域、网站、IP 地址范围和端点](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)
+ [使用 Amazon Quick 连接到亚马逊 VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)
作为一项托管服务,Quick 受到《[亚马逊网络服务:安全流程概述》论文中描述的 AWS 全球网络安全](https://tinyurl.com/AWSSecurityPaper)程序的保护。
如果您使用 AWS 已发布的 API 调用通过网络访问 Amazon Quick,则客户端必须支持传输层安全 (TLS) 1.2 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 AWS Identity and Access Management (IAM) 委托人关联的私有访问密钥对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 生成临时安全凭证来对请求进行签名。
您可以从任何网络位置调用这些 API 操作,但是 Amazon Quick 确实支持基于资源的访问策略,其中可能包括基于源 IP 地址的限制。您还可以使用 Amazon Quick 策略来控制来自特定亚马逊虚拟私有云(亚马逊 VPC)终端节点或特定终端节点的访问 VPCs。实际上,这可以将对给定 Amazon Quick 资源的网络访问与 AWS 网络中的特定 VPC 隔离开来。有关在 VPC 中使用 Amazon Quick 的更多信息,请参阅使用 [Amazon Quick 连接到亚马逊 VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。
# Amazon Quick 中的安全最佳实践
Amazon Quick 提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。
****防火墙**** — 要允许用户访问 Amazon Quick,请允许访问 HTTPS 和 WebSockets 安全 (wss://) 协议。要允许 Amazon Quick 访问非服务器上的数据库,请更改该AWS 服务器的防火墙配置以接受来自适用的 Amazon Quick IP 地址范围的流量。
****SSL**** – 使用 SSL 连接到您的数据库,在使用公有网络时尤其应该这样操作。在 Amazon Quick 中使用 SSL 需要使用由公共认可的证书颁发机构 (CA) 签名的证书。
****增强安全性****-使用 Amazon Quick Enterprise 版利用其增强的安全功能,包括以下功能。
+ 静态加密将数据存储在 SPICE 中。
+ 集成 Active Directory 和 IAM Identity Center 身份验证。
+ 在私有 VPCs 和本地安全地访问数据。
+ 限制访问具有行级别安全性的数据。
****VPC**** —(企业版)使用虚拟私有云 (VPC) 来 AWS 存储数据源中的数据和没有公共连接的本地服务器中的数据。对于数据 AWS 源,Amazon Quick 的 VPC 访问使用弹性网络接口与 VPC 中的数据源进行安全的私密通信。对于您的本地数据,VPC 允许您使用 Direct Connect 与本地资源创建安全的私有链接。
# AWS Amazon Quick 的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管策略: AWSQuickSightElasticsearchPolicy](#security-iam-quicksight-AWSQuickSightElasticsearchPolicy)
+ [AWS 托管策略: AWSQuickSightOpenSearchPolicy](#security-iam-quicksight-AWSQuickSightOpenSearchPolicy)
+ [AWS 托管策略: AWSQuickSightSageMakerPolicy](#security-iam-quicksight-AWSQuickSightSageMakerPolicy)
+ [AWS 托管策略: AWSQuickSightAssetBundleExportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleExportPolicy)
+ [AWS 托管策略: AWSQuickSightAssetBundleImportPolicy](#security-iam-quicksight-AWSQuickSightAssetBundleImportPolicy)
+ [Amazon AWS 托管政策的快速更新](#security-iam-quicksight-updates)
## AWS 托管策略: AWSQuickSightElasticsearchPolicy
提供此信息仅用于向后兼容。`AWSQuickSightOpenSearchPolicy` AWS 托管策略取代`AWSQuickSightElasticsearchPolicy` AWS 托管策略。
以前,您使用`AWSQuickSightElasticsearchPolicy` AWS 托管策略来提供从 Amazon Quick 访问亚马逊 Elasticsearch Service 资源的权限。从 2021 年 9 月 7 日或之后,亚马逊 Elasticsearch 服务更名为亚马逊服务。 OpenSearch
无论您在何处使用`AWSQuickSightElasticsearchPolicy`,都可以更新到所调用的新 AWS 托管策略`AWSQuickSightOpenSearchPolicy`。可以将 策略附加到您的 IAM 实体。Amazon Quick 还将该政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。 `AWSQuickSightElasticsearchPolicy`仍然可用,截至 2021 年 8 月 31 日,其权限与新政策相同。但是`AWSQuickSightElasticsearchPolicy`,不再保留 up-to-date最新更改。
该策略授予只读权限,允许访问来自 Amazon Quick 的资源 OpenSearch (以前称为 Elasticsearch)。
**权限详细信息**
该策略包含以下权限:
+ `es`— 允许委托人使用`es:ESHttpGet`访问您的 OpenSearch (以前称为 Elasticsearch)域名、集群设置和索引。这是使用 Amazon Quick 提供的搜索服务所必需的。
+ `es`— 允许委托人使用`es:ListDomainNames`列出您的 OpenSearch (以前称为 Elasticsearch)域名。这是通过 Amazon Quick 启动对搜索服务的访问所必需的。
+ `es`— 允许委托人使用`es:DescribeElasticsearchDomain`搜索您的 OpenSearch(以前称为 Elasticsearch)域名。这是使用 Amazon Quick 提供的搜索服务所必需的。
+ `es`— 允许委托人使用`es:ESHttpPost`和`es:ESHttpGet`处理您的 OpenSearch (以前称为 Elasticsearch)域名。这是使用对来自 Amazon Quick 的搜索服务域具有只读访问权限的 SQL 插件所必需的。
有关此 IAM 策略内容的信息,请参阅 IAM 控制台[AWSQuickSightElasticsearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightElasticsearchPolicy$jsonEditor)中的。
## AWS 托管策略: AWSQuickSightOpenSearchPolicy
使用`AWSQuickSightOpenSearchPolicy` AWS 托管策略提供从 Amazon Quick 访问亚马逊 OpenSearch 服务资源的权限。 `AWSQuickSightOpenSearchPolicy`取代`AWSQuickSightElasticsearchPolicy`。截至 2021 年 8 月 31 日,该策略的权限与旧版策略 `AWSQuickSightElasticsearchPolicy` 相同。现在,您可以互换使用它们。从长远来看,我们建议将您的策略使用情况更新为 `AWSQuickSightOpenSearchPolicy`。
您可以将 `AWSQuickSightOpenSearchPolicy` 附加到 IAM 实体。Amazon Quick 还将此政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。
此策略授予只读权限,允许访问来自 Amazon Quick 的 OpenSearch 资源。
**权限详细信息**
该策略包含以下权限:
+ `es`— 允许委托人使用`es:ESHttpGet`访问您的 OpenSearch 域名、集群设置和索引。这是使用 Amazon Quick OpenSearch 提供的亚马逊服务所必需的。
+ `es`— 允许委托人使用列`es:ListDomainNames`出您的 OpenSearch 域名。这是从 Amazon Quick 开始访问亚马逊 OpenSearch 服务所必需的。
+ `es`— 允许委托人使用`es:DescribeElasticsearchDomain`和搜索`es:DescribeDomain`您的 OpenSearch 域名。这是使用 Amazon Quick OpenSearch 提供的亚马逊服务所必需的。
+ `es`— 允许委托人使用`es:ESHttpPost`和`es:ESHttpGet`处理您的 OpenSearch 域名。这是使用具有从 Amazon Quick 访问亚马逊 OpenSearch 服务域名只读权限的 SQL 插件所必需的。
有关此 IAM 策略内容的信息,请参阅 IAM 控制台[AWSQuickSightOpenSearchPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSQuickSightOpenSearchPolicy$jsonEditor)中的。
## AWS 托管策略: AWSQuickSightSageMakerPolicy
使用`AWSQuickSightSageMakerPolicy` AWS 托管策略提供从 Amazon Quick 访问亚马逊 A SageMaker I 资源的权限。
您可以将 `AWSQuickSightSageMakerPolicy` 附加到 IAM 实体。Amazon Quick 还将此政策附加到一个服务角色,该角色允许 Amazon Quick 代表您执行操作。
该策略授予只读权限,允许从 Amazon Quick 访问 Amazon A SageMaker I 资源。
要查看`AWSQuickSightSageMakerPolicy`,请参阅[AWS 托管策略参考[AWSQuickSightSageMakerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightSageMakerPolicy.html)](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)中的。
**权限详细信息**
该策略包含以下权限:
+ `sagemaker` – .
+ `s3`— 允许委托人在所有以前缀开头的 Amazon S3 存储桶`s3:GetObject`上使用`arn:aws:s3:::sagemaker.*`来访问存储在 SageMaker AI 默认存储桶中的数据。这是将从 Amazon A SageMaker I Canvas 共享的模型加载到默认的亚马逊 AI Canv SageMaker as Amazon S3 存储桶所必需的。
+ `s3` – 允许主体使用 `s3:PutObject` 将对象导出到 Amazon S3 存储桶。这是支持从 Amazon Quick 到 Amazon A SageMaker I Canvas 的现有数据集来构建预测模型所必需的。
+ `s3`— 允许委托人使用`s3:ListBucket`允许 Amazon Quick 验证亚马逊 S3 中现有的 Amazon SageMaker AI Canvas 存储桶。这是允许将数据从 Amazon Quick 导出到 Amazon A SageMaker I Canvas 以构建预测模型所必需的。
+ `s3`— 允许委托人在 Amazon Quick 拥有的以前缀开头的所有 Amazon S3 存储桶`s3:GetObject`上使用。`arn:aws:s3:::quicksight-ml`这是允许 Amazon Quick 访问由 Amazon A SageMaker I Canvas 生成的预测所必需的。生成的预测可以附加到 Amazon Quick 数据集中。
+ `sagemaker`— 允许委托人代表您使用`sagemaker:CreateTransformJob``sagemaker:DescribeTransformJob`、和`sagemaker:StopTransformJob`执行 SageMaker AI 转换作业。Amazon Quick 请求可附加到 Amazon Quick 数据集 SageMaker 的人工智能模型的预测是必需的。
+ `sagemaker`— 允许委托人使用列`sagemaker:ListModels`出你的 SageMaker AI 模型。这是允许生成的 SageMaker AI 模型显示在 Amazon Quick 中所必需的。
## AWS 托管策略: AWSQuickSightAssetBundleExportPolicy
使用`AWSQuickSightAssetBundleExportPolicy` AWS 托管策略执行资产包导出操作。您可以将 `AWSQuickSightAssetBundleExportPolicy` 附加到 IAM 实体。
此策略授予只读权限,允许访问 Amazon Quick 资产资源。要查看此策略的详细信息,请参阅 AWS 托管策略参考[AWSQuickSightAssetBundleExportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleExportPolicy.html)中的。
该策略包含以下权限:
+ `quicksight`— 允许委托人使用`quicksight:Describe*`、查找和`quicksight:List*`提取 Amazon Quick 资产及其相应的权限。
+ `quicksight`— 允许委托人使用`quicksight:ListTagsForResource`来获取 Amazon Quick 资产的标签。
+ `quicksight` – 允许主体列出、执行和获取资产包导出作业的状态。此策略使用 `quicksight:ListAssetBundleExportJob`、`StartAssetBundleExportJob` 和 `quicksight:DescribeAssetBundleExportJob` 权限。
## AWS 托管策略: AWSQuickSightAssetBundleImportPolicy
使用`AWSQuickSightAssetBundleImportPolicy` AWS 托管策略执行资产包导入操作。此托管策略不授予使用某些 VPC 连接和 DataSource 操作所需的任何 run-as-role功能的权限。`iam:passrole`此策略也不授予从用户 Amazon S3 存储桶检索对象的访问权限。
您可以将 `AWSQuickSightAssetBundleImportPolicy` 附加到 IAM 实体。该政策授予允许访问 Amazon Quick 资源的读写权限。要查看此策略的详细信息,请参阅 AWS 托管策略参考[AWSQuickSightAssetBundleImportPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSightAssetBundleImportPolicy.html)中的。
该策略包含以下权限:
+ `quicksight`— 允许委托人使用`quicksight:Describe*`和`quicksight:List*`检测 Amazon Quick 资产及其权限的变化。
+ `quicksight`— 允许委托人使用`quicksight:Create*`和`quicksight:Update*`更改所提供资产包中的 Amazon Quick 资产和权限。
+ `quicksight`— 允许委托人使用`quicksight:ListTagsForResource``quicksight:TagResource`、和`quicksight:UntagResource`更新 Amazon Quick 资产的标签。
+ `quicksight` – 允许主体列出、执行和获取资产包导入作业的状态。此策略使用 `quicksight:ListAssetBundleImportJob`、`quicksight:StartAssetBundleImportJob` 和 `quicksight:DescribeAssetBundleImportJob` 权限。
## Amazon AWS 托管政策的快速更新
查看自该服务开始跟踪这些更改以来对 Amazon Quick AWS 托管政策的更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 [Amazon 快速文档历史记录](doc-history.md)页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| `AWSQuickSightAssetBundleExportPolicy` - 新策略 | Amazon Quick 添加了新的权限以简化资产捆绑包导出操作。 | 2024 年 3 月 27 日 |
| `AWSQuickSightAssetBundleImportPolicy`:新策略 | Amazon Quick 添加了新的权限,以简化资产捆绑包的导入操作。 | 2024 年 3 月 27 日 |
| `AWSQuickSageMakerPolicy`:对现有策略的更新 | Amazon Quick 添加了新的权限,允许与亚马逊 A SageMaker I Canvas 集成。 | 2023 年 7 月 25 日 |
| `AWSQuickSightElasticsearchPolicy`:对现有策略的更新 | Amazon Quick 添加了新的权限以提供对亚马逊 OpenSearch 服务资源的访问权限。 | 2021 年 9 月 8 日 |
| `AWSQuickSightOpenSearchPolicy`:新策略 | Amazon Quick 添加了一项新政策,允许从 Quick 访问亚马逊 OpenSearch 服务资源。 | 2021 年 9 月 8 日 |
| Amazon 快速开始追踪变更 | Amazon Quick 开始跟踪其 AWS 托管策略的变更。 | 2021 年 8 月 2 日 |