管理網域 - Amazon Quick
將靜態域新增至允許清單在執行期將域新增至允許清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理網域

 適用於:企業版 
   目標對象:Amazon Quick 管理員 

在 Amazon Quick Enterprise 版中,您可以在應用程式或網頁中嵌入 Amazon Quick Sight 儀表板、視覺效果、主控台和 Q 搜尋列。將託管這些內嵌資產的網域必須列在允許清單上,即快速訂閱的已核准網域清單。這項要求將防止未獲核准的域託管內嵌式儀表板,進而保護您的資料。若要將 Amazon Quick Sight 儀表板、視覺效果、主控台或 Q 搜尋列內嵌至網頁或應用程式,請將核准的網域新增至 Quick 主控台中的靜態允許清單。或者,使用 Quick API 在執行時間新增它們。

透過以下各章節進一步了解如何新增域以進行內嵌分析。

將靜態域新增至允許清單

您可以透過 Amazon Quick 主控台將靜態網域新增至允許清單。必須明確允許您的允許清單 (例如開發、預備和生產) 中的所有域,且必須使用 HTTPS。新增至允許清單中的域可多達 100 個。

若要將儀表板內嵌到靜態域:

  • 核准將要進行內嵌的託管網域和子網域。

  • 發布儀表板。

  • 與使用者或群組共用儀表板,讓對方能夠看到內嵌的版本。

請使用以下程序,檢視或編輯已獲核准的網域清單。

檢視或編輯已獲核准的域清單

  1. 選擇右上角的設定檔圖示。

  2. 選擇管理 Amazon Quick。您必須是 Amazon Quick 管理員才能存取此畫面。

  3. 選擇左側的 Domains and Embedding (網域和內嵌)。頁面底部會列出可供您內嵌式儀表板的域。

  4. (選用) 在此處的方塊中輸入新的域以進行新增。您也可以選擇包括子網域允許所有子網域內嵌式儀表板。選擇 Add (新增) 以新增網域。

    您可以透過從頁面底部的清單中選擇各個網域旁的圖示,編輯或刪除現有的網域。

請務必使用有效的 HTTPS URL。以下清單顯示使用靜態域之內嵌式儀表板適用的有效 URL 範例:

  • https://example-1.com

  • https://www.アマゾンドメイン.jp

  • https://www.亚马逊域名.cn:1234

  • https://111.222.33.44:1234

  • https://111.222.33.44

  • http://localhost

以下清單顯示內嵌式儀表板不適用的無效 URL 範例:

  • http://example

  • https://example.com.*.example-1.co.uk

  • https://co.uk

  • https://111.222.33.44.55:1234

  • https://111.222.33.44.55

允許使用 Amazon Quick API 在執行時間列出網域

您可以在執行期使用 GenerateEmbedUrlForAnonymousUserGenerateEmbedUrlForRegisteredUser API 呼叫的 AllowedDomains 參數將域新增至允許清單。AllowedDomains 參數是選用參數。它可讓您以開發人員身分選擇覆寫管理 Amazon Quick 功能表中設定的靜態網域。

您最多可以列出三個域或子網域。在執行期將域新增至允許清單也會新增對域 localhost 的 HTTP 支援。然後將產生的 URL 內嵌到開發人員的網站中。只有參數中列出的域可以存取內嵌式儀表板。

IAM 條件運算子的安全最佳實務

設定不當的 IAM 條件運算子可能會允許透過 URL 變化未經授權存取您的內嵌 Quick 資源。在 IAM 政策中使用 quicksight:AllowedEmbeddingDomains條件金鑰時,請使用允許特定網域或拒絕未特別允許的所有網域的條件運算子。如需 IAM 條件運算子的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件運算子

許多不同的 URL 變化可以指向相同的資源。例如,下列 URLs全部解析為相同的內容:

  • https://example.com

  • https://example.com/

  • https://Example.com

如果您的政策使用未考慮這些 URL 變化的運算子,攻擊者可以透過提供同等的 URL 變化來繞過您的限制。

您必須驗證 IAM 政策是否使用適當的條件運算子來防止繞過漏洞,並確保只有預期的網域可以存取您的內嵌資源。

若要在執行時間將儀表板內嵌至網域,請參閱使用 Amazon Quick APIs 內嵌

請務必使用有效的 URL。以下清單顯示使用執行期域之內嵌式儀表板適用的有效 URL 範例:

  • https://example-1.com

  • http://localhost

  • https://www.アマゾンドメイン.jp

  • https://*.sapp.amazon.com

以下清單顯示內嵌式儀表板不適用的無效 URL 範例:

  • https://example.com.*.example-1.co.uk

  • https://co.uk

  • https://111.222.33.44.55:1234

  • https://111.222.33.44.55

如需內嵌儀表板的詳細資訊,請參閱使用 Amazon Quick APIs 內嵌