管理域名 - Amazon 快速
允许列出静态域允许在运行时列出域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理域名

 适用于:企业版 
   目标受众:Amazon Quick 管理员 

在 Amazon Quick Enterprise 版中,您可以将 Amazon Quick Sight 仪表板、视觉效果、控制台和 Q 搜索栏嵌入应用程序或网页中。要托管这些嵌入式资产的域名必须位于允许列表中,即您的 Quick 订阅的已批准域名列表。这一要求可防止未经批准的域托管嵌入式控制面板,从而保护您的数据。要将 Amazon Quick Sight 控制面板、视觉内容、控制台或 Q 搜索栏嵌入网页或应用程序,请将已批准的域名添加到 Quick 控制台的静态允许列表中。或者,也可以在运行时使用 Quick API 添加它们。

使用以下章节了解有关为嵌入式分析添加域的更多信息。

允许列出静态域

您可以通过 Amazon Quick 控制台将静态域添加到允许列表中。必须明确允许允许列表中的所有域(如开发、暂存和生产),并且这些域必须使用 HTTPS。最多可以向允许列表添加 100 个域。

要将控制面板嵌入到静态域中,请执行以下操作:

  • 批准要进行嵌入的托管域和子域。

  • 发布控制面板。

  • 与用户或组共享控制面板,使他们能够看到嵌入的控制面板版本。

可以按照以下步骤查看或编辑已批准域的列表。

查看或编辑已批准的域列表

  1. 选择右上角的个人资料图标。

  2. 选择 “快速管理 Amazon”。您必须是 Amazon Quick 管理员才能访问此屏幕。

  3. 在左侧选择 Domains and Embedding (域和嵌入)。页面底部列出了您可以嵌入控制面板的域。

  4. (可选)通过在框中输入新域在此添加新的域。也可以选择 Include subdomains (包括子域) 允许在所有子域上嵌入控制面板。选择 Add (添加) 以添加域。

    可以通过选择页面底部列表中每个域旁边的图标来编辑或删除现有域。

确保使用有效的 HTTPS URL。以下列表显示了适用于使用静态域的嵌入式仪表板的示例: URLs

  • https://example-1.com

  • https://www.アマゾンドメイン.jp

  • https://www.亚马逊域名.cn:1234

  • https://111.222.33.44:1234

  • https://111.222.33.44

  • http://localhost

以下列表显示了适用于嵌入式仪表板的示例: URLs

  • http://example

  • https://example.com.*.example-1.co.uk

  • https://co.uk

  • https://111.222.33.44.55:1234

  • https://111.222.33.44.55

允许在运行时使用 Amazon Quick API 上架域名

您可以在运行时使用 GenerateEmbedUrlForAnonymousUserGenerateEmbedUrlForRegisteredUser API 调用的 AllowedDomains 参数将域添加到允许列表中。AllowedDomains 参数是可选参数。作为开发者,它允许您选择覆盖在 “管理 Amazon Quick” 菜单中配置的静态域。

您最多可以列出三个域或子域。在运行时将域添加到允许列表也会增加对域 localhost 的 HTTP 支持。然后,生成的 URL 将嵌入到开发人员的网站中。只有参数中列出的域才能访问嵌入式控制面板。

IAM 条件运算符的安全最佳实践

配置不当的 IAM 条件运算符可能会允许未经授权地通过 URL 变体访问您的嵌入式 Quick 资源。在您的 IAM 策略中使用quicksight:AllowedEmbeddingDomains条件密钥时,请使用条件运算符,允许特定域名或拒绝所有未特别允许的域。有关 IAM 条件运算符的更多信息,请参阅 IAM 用户指南中的 IAM JSON 策略元素:条件运算符

许多不同的网址变体可以指向同一个资源。例如,以下 URLs 所有内容都解析为相同的内容:

  • https://example.com

  • https://example.com/

  • https://Example.com

如果您的策略使用的运算符不考虑这些 URL 变体,则攻击者可以通过提供等效的 URL 变体来绕过您的限制。

您必须验证您的 IAM 策略是否使用了适当的条件运算符来防止绕过漏洞,并确保只有您的目标域才能访问您的嵌入式资源。

要在运行时将控制面板嵌入到域中,请参阅使用 Amazon Quick 嵌入 APIs

确保使用有效的 URL。以下列表显示了适用于使用运行时域的嵌入式仪表板的示例: URLs

  • https://example-1.com

  • http://localhost

  • https://www.アマゾンドメイン.jp

  • https://*.sapp.amazon.com

以下列表显示了适用于嵌入式仪表板的示例: URLs

  • https://example.com.*.example-1.co.uk

  • https://co.uk

  • https://111.222.33.44.55:1234

  • https://111.222.33.44.55

有关嵌入式控制面板的更多信息,请参阅使用 Amazon Quick 嵌入 APIs