本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Quick Sight 生成式問答體驗中嵌入 Amazon Q
| 目標對象:Amazon Quick Suite 開發人員 |
在下列各節中,您可以找到有關如何設定使用 LLM 提供之增強型 NLQ 功能的嵌入生成式問答功能的詳細資訊。生成式問答功能是嵌入式 Q 搜尋列的建議替代項目,並為使用者提供更新的 BI 體驗。
為已註冊的使用者嵌入 Amazon Quick Sight 生成式問答體驗
在下列各節中,您可以找到有關如何為 Amazon Quick Sight 註冊使用者設定內嵌生成式問答體驗的詳細資訊。
步驟 1:設定許可
在以下章節中,您可以了解如何為後端應用程式或 Web 伺服器設定許可,以嵌入生成式問答功能。此任務需要 AWS Identity and Access Management (IAM) 的管理存取權。
每個存取生成式問答體驗的使用者都會擔任一個角色,為他們提供 Amazon Quick Sight 存取權和許可。為了實現這一點,請在您的 AWS 帳戶中建立 IAM 角色。將 IAM 政策與此角色建立關聯,以提供許可給擔任此角色的任何使用者。IAM 角色需要提供許可,以擷取特定使用者集區的內嵌 URL。
藉助萬用字元 *,您可以授予許可,以便為特定命名空間中的所有使用者產生 URL。或者,您可以授予許可來為特定命名空間中的使用者子集產生 URL。對於這一點,您新增 quicksight:GenerateEmbedUrlForRegisteredUser。
您可以在 IAM 政策中建立條件,以限制開發人員可在 GenerateEmbedUrlForRegisteredUser API 操作的 AllowedDomains 參數中列出的域。AllowedDomains 參數是選用參數。它可讓開發人員選擇覆寫在管理 Amazon Quick Sight 選單中設定的靜態網域,並改為列出最多三個可以存取產生 URL 的網域或子網域。然後將此 URL 內嵌到開發人員的網站中。只有在參數中列出的網域可以存取嵌入生成式問答功能。如果沒有這種情況,開發人員可以在 AllowedDomains 參數中列出網際網路上的任何域。
若要限制開發人員可搭配此參數使用的網域,請在 IAM 政策中新增 AllowedEmbeddingDomains 條件。如需 AllowedDomains 參數的詳細資訊,請參閱《Amazon Quick Sight API 參考》中的 GenerateEmbedUrlForRegisteredUser。
下列範例政策提供這些許可。
此外,如果您要建立將成為 Amazon Quick Sight 讀者的第一次使用者,請務必在政策中新增 quicksight:RegisterUser許可。
下列範例政策提供許可,以擷取初次成為 Amazon Quick Sight 讀取器之使用者的內嵌 URL。
最後,您的應用程式的 IAM 身分必須有相關聯的信任政策,以允許存取至您剛建立的角色。這表示當使用者存取您的應用程式時,您的應用程式可以代表使用者擔任該角色,並在 Amazon Quick Sight 中佈建使用者。
範例信任政策如下所示。
如需 OpenID Connect 或安全性聲明標記語言 (SAML) 身分驗證的信任政策詳細資訊,請參閱《IAM 使用者指南》的下列各章節:
步驟 2:產生帶有身分驗證碼的 URL
在下一章節,您可以了解如何在您的應用程式伺服器上驗證使用者,以及取得可內嵌的 Q 主題 URL。如果您打算內嵌 IAM 或 Amazon Quick Sight 身分類型的生成式問答體驗,請與使用者共用 Q 主題。
當使用者存取您的應用程式時,該應用程式代表使用者擔任 IAM 角色。然後,如果使用者尚未存在,應用程式會將使用者新增至 Amazon Quick Sight。接著,它傳遞識別符當作唯一的角色工作階段 ID。
執行所述的步驟可確保 Q 主題的每個檢視器都是在 Amazon Quick Sight 中唯一佈建。它還會強制執行個別使用者設定,例如資料列層級的安全性和參數的動態預設值。標籤型資料列層級安全性可用於 Q 列的匿名使用者嵌入。
下列範例會代表使用者執行 IAM 身分驗證。此代碼在您的應用程式伺服器上運行。
import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.regions.Regions; import com.amazonaws.services.quicksight.AmazonQuickSight; import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserRequest; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForRegisteredUserResult; import com.amazonaws.services.quicksight.model.RegisteredUserEmbeddingExperienceConfiguration; import com.amazonaws.services.quicksight.model.RegisteredUserGenerativeQnAEmbeddingConfiguration; /** * Class to call QuickSight AWS SDK to get url for embedding Generative Q&A experience. */ public class RegisteredUserGenerativeQnAEmbeddingSample { private final AmazonQuickSight quickSightClient; public RegisteredUserGenerativeQnAEmbeddingSample() { this.quickSightClient = AmazonQuickSightClientBuilder .standard() .withRegion(Regions.US_EAST_1.getName()) .withCredentials(new AWS CredentialsProvider() { @Override public AWSCredentials getCredentials() { // provide actual IAM access key and secret key here return new BasicAWSCredentials("access-key", "secret-key"); } @Override public void refresh() { } } ) .build(); } public String getQuicksightEmbedUrl( final String accountId, // AWS Account ID final String topicId, // Topic ID to embed final List<String> allowedDomains, // Runtime allowed domain for embedding final String userArn // Registered user arn to use for embedding. Refer to Get Embed Url section in developer portal to find how to get user arn for a QuickSight user. ) throws Exception { final RegisteredUserEmbeddingExperienceConfiguration experienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration() .withGenerativeQnA(new RegisteredUserGenerativeQnAEmbeddingConfiguration().withInitialTopicId(topicId)); final GenerateEmbedUrlForRegisteredUserRequest generateEmbedUrlForRegisteredUserRequest = new GenerateEmbedUrlForRegisteredUserRequest(); generateEmbedUrlForRegisteredUserRequest.setAwsAccountId(accountId); generateEmbedUrlForRegisteredUserRequest.setUserArn(userArn); generateEmbedUrlForRegisteredUserRequest.setAllowedDomains(allowedDomains); generateEmbedUrlForRegisteredUserRequest.setExperienceConfiguration(experienceConfiguration); final GenerateEmbedUrlForRegisteredUserResult generateEmbedUrlForRegisteredUserResult = quickSightClient.generateEmbedUrlForRegisteredUser(generateEmbedUrlForRegisteredUserRequest); return generateEmbedUrlForRegisteredUserResult.getEmbedUrl(); } }
注意
無法直接從瀏覽器呼叫嵌入式 URL 產生 API。請改為參閱 Node.JS 範例。
import json import boto3 from botocore.exceptions import ClientError sts = boto3.client('sts') # Function to generate embedded URL # accountId: AWS account ID # topicId: Topic ID to embed # userArn: arn of registered user # allowedDomains: Runtime allowed domain for embedding # roleArn: IAM user role to use for embedding # sessionName: session name for the roleArn assume role def getEmbeddingURL(accountId, topicId, userArn, allowedDomains, roleArn, sessionName): try: assumedRole = sts.assume_role( RoleArn = roleArn, RoleSessionName = sessionName, ) except ClientError as e: return "Error assuming role: " + str(e) else: assumedRoleSession = boto3.Session( aws_access_key_id = assumedRole['Credentials']['AccessKeyId'], aws_secret_access_key = assumedRole['Credentials']['SecretAccessKey'], aws_session_token = assumedRole['Credentials']['SessionToken'], ) try: quicksightClient = assumedRoleSession.client('quicksight', region_name='us-west-2') response = quicksightClient.generate_embed_url_for_registered_user( AwsAccountId=accountId, ExperienceConfiguration = { 'GenerativeQnA': { 'InitialTopicId': topicId } }, UserArn = userArn, AllowedDomains = allowedDomains, SessionLifetimeInMinutes = 600 ) return { 'statusCode': 200, 'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"}, 'body': json.dumps(response), 'isBase64Encoded': bool('false') } except ClientError as e: return "Error generating embedding url: " + str(e)
以下範例顯示的 JavaScript (Node.js) 可在應用程式伺服器上用來產生嵌入式儀表板的 URL。您可以在您的網站或應用程式中使用此 URL 來顯示儀表板。
const AWS = require('aws-sdk'); const https = require('https'); var quicksightClient = new AWS.Service({ region: 'us-east-1' }); quicksightClient.generateEmbedUrlForRegisteredUser({ 'AwsAccountId': '111122223333', 'ExperienceConfiguration': { 'GenerativeQnA': { 'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f' } }, 'UserArn': 'REGISTERED_USER_ARN', 'AllowedDomains': allowedDomains, 'SessionLifetimeInMinutes': 100 }, function(err, data) { console.log('Errors: '); console.log(err); console.log('Response: '); console.log(data); });
以下範例顯示的 .NET/C# 程式碼可在應用程式伺服器上用來產生嵌入式 Q 搜尋列的 URL。您可以在您的網站或應用程式中使用此 URL 來顯示 Q 搜尋列。
using System; using Amazon.QuickSight; using Amazon.QuickSight.Model; namespace GenerateGenerativeQnAEmbedUrlForRegisteredUser { class Program { static void Main(string[] args) { var quicksightClient = new AmazonQuickSightClient( AccessKey, SecretAccessKey, SessionToken, Amazon.RegionEndpoint.USEast1); try { RegisteredUserGenerativeQnAEmbeddingConfiguration registeredUserGenerativeQnAEmbeddingConfiguration = new RegisteredUserGenerativeQnAEmbeddingConfiguration { InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f" }; RegisteredUserEmbeddingExperienceConfiguration registeredUserEmbeddingExperienceConfiguration = new RegisteredUserEmbeddingExperienceConfiguration { GenerativeQnA = registeredUserGenerativeQnAEmbeddingConfiguration }; Console.WriteLine( quicksightClient.GenerateEmbedUrlForRegisteredUserAsync(new GenerateEmbedUrlForRegisteredUserRequest { AwsAccountId = "111122223333", ExperienceConfiguration = registeredUserEmbeddingExperienceConfiguration, UserArn = "REGISTERED_USER_ARN", AllowedDomains = allowedDomains, SessionLifetimeInMinutes = 100 }).Result.EmbedUrl ); } catch (Exception ex) { Console.WriteLine(ex.Message); } } } }
若要擔任角色,請選擇下列其中一個 AWS Security Token Service (AWS STS) API 操作:
-
AssumeRole – 在使用 IAM 身分擔任角色的情況下使用此操作。
-
AssumeRoleWithWebIdentity – 在使用 Web 身分提供者驗證您的使用者時,請使用此操作。
-
AssumeRoleWithSaml –在您使用 SAML 驗證使用者時,請使用此操作。
以下範例顯示用來設定 IAM 角色的 CLI 命令。角色需要啟用 quicksight:GenerateEmbedUrlForRegisteredUser 的許可。如果您正在採取即時方法在使用者使用 Q 搜尋列中的主題時新增使用者,則該角色還需要啟用 quicksight:RegisterUser 的許可。
aws sts assume-role \ --role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_generative_qna_role" \ --role-session-namejohn.doe@example.com
assume-role 操作會傳回三個輸出參數:存取金鑰、私密金鑰和工作階段字符。
注意
若您呼叫 AssumeRole 操作時收到 ExpiredToken 錯誤,原因可能是先前的 SESSION TOKEN 仍在環境變數中。設定以下變數便可清除此錯誤:
-
AWS_ACCESS_KEY_ID
-
AWS_SECRET_ACCESS_KEY
-
AWS_SESSION_TOKEN
以下範例說明如何在 CLI 中設定這三個參數。對於 Microsoft Windows 電腦,請使用 set,不要使用 export。
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role" export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role" export AWS_SESSION_TOKEN = "session_token_from_assume_role"
對於瀏覽您網站的使用者,執行這些命令可將其角色工作階段 ID 設為 embedding_quicksight_q_search_bar_role/john.doe@example.com。角色工作階段 ID 由來自 role-arn 和 role-session-name 值的角色名稱所組成。對每個使用者使用唯一的角色工作階段 ID,可確保為每個使用者設定適當的許可。還能避免對使用者存取進行任何調節。調節是一項安全功能,可防止相同的使用者從多個位置存取 Amazon Quick Sight。
角色工作階段 ID 也會成為 Amazon Quick Sight 中的使用者名稱。您可以使用此模式提前在 Amazon Quick Sight 中佈建使用者,或在他們第一次存取生成式問答體驗時佈建使用者。
以下範例顯示可用來佈建使用者的 CLI 命令。如需 RegisterUser、DescribeUser 和其他 Amazon Quick Sight API 操作的詳細資訊,請參閱 Amazon Quick Sight API 參考。
aws quicksight register-user \ --aws-account-id111122223333\ --namespacedefault\ --identity-typeIAM\ --iam-arn "arn:aws:iam::111122223333:role/embedding_quicksight_q_generative_qna_role" \ --user-roleREADER\ --user-namejhnd\ --session-name "john.doe@example.com" \ --emailjohn.doe@example.com\ --regionus-east-1\ --custom-permissions-nameTeamA1
如果使用者是透過 Microsoft AD 進行身分驗證,您就不需要使用 RegisterUser 設定他們。相反地,他們應該在第一次存取 Amazon Quick Sight 時自動訂閱。若是 Microsoft AD 使用者,您可以使用 DescribeUser 取得使用者的 Amazon Resource Name (ARN)。
使用者第一次存取 Amazon Quick Sight 時,您也可以將此使用者新增至與儀表板共用的群組。以下範例顯示用於將使用者新增至群組的 CLI 命令。
aws quicksight create-group-membership \ --aws-account-id111122223333\ --namespacedefault\ --group-namefinanceusers\ --member-name "embedding_quicksight_q_generative_qna_role/john.doe@example.com"
您現在擁有的應用程式使用者也是 Amazon Quick Sight 的使用者,以及有權存取儀表板的使用者。
最後,為了取得儀表板的簽章 URL,請從應用程式伺服器呼叫 generate-embed-url-for-registered-user。這會傳回可嵌入的儀表板 URL。下列範例示範如何使用伺服器端呼叫為透過 AWS Managed Microsoft AD 或單一登入 (IAM Identity Center) 驗證的使用者產生內嵌儀表板的 URL。
aws quicksight generate-embed-url-for-anonymous-user \ --aws-account-id111122223333\ --namespacedefault-or-something-else\ --authorized-resource-arns '["topic-arn-topicId1","topic-arn-topicId2"]' \ --allowed-domains '["domain1","domain2"]' \ --experience-configuration 'GenerativeQnA={InitialTopicId="topicId1"}' \ --session-tags '["Key":tag-key-1,"Value":tag-value-1,{"Key":tag-key-1,"Value":tag-value-1}]' \ --session-lifetime-in-minutes15
如需使用此操作的詳細資訊,請參閱 GenerateEmbedUrlForRegisteredUser。您可以在您自己的程式碼中使用這個和其他 API 操作。
步驟 3:嵌入生成式問答功能 URL
在下一章節,您可以了解如何在網站或應用程式頁面中嵌入生成式問答功能 URL。您可以使用 Amazon Quick Sight 內嵌 SDK
-
將生成式問答功能放置在 HTML 頁面上。
-
自訂嵌入功能的版面配置和外觀,以符合您的應用程式需求。
-
以針對您的應用程式而訂做的訊息來處理錯誤狀態。
若要產生可以內嵌到應用程式中的 URL,請呼叫 GenerateEmbedUrlForRegisteredUser API 操作。此 URL 的有效期為 5 分鐘,而產生的工作階段有效期最長為 10 小時。此 API 操作提供的 URL 附有可啟用單一登入工作階段的 auth_code 值。
以下是 generate-embed-url-for-registered-user 的回應範例。
//The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete. { "Status": "200", "EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...", "RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713" }
使用 Amazon Quick Sight 內嵌 SDK
請確定託管內嵌生成式問答體驗的網域列於允許清單上,即 Amazon Quick Sight 訂閱的已核准網域清單。這項要求將使未獲核准的網域無法託管嵌入儀表板,進而保護您的資料。如需為嵌入生成式問答功能新增網域的詳細資訊,請參閱管理網域。
您可以使用 Amazon Quick Sight 內嵌 SDK 自訂內嵌生成式問答體驗的配置和外觀,以符合您的應用程式。使用 panelType 屬性設定生成式問答功能在應用程式中轉譯時的登陸狀態。將 panelType 屬性設定為 'FULL',以轉譯完整的生成式問答功能面板。此面板類似 Amazon Quick Sight 使用者在 Amazon Quick Sight 主控台中擁有的體驗。面板的影格高度不會根據使用者互動而變更,並且會遵守您在 frameOptions.height 屬性中設定的值。下圖顯示當您將 panelType 值設定為 'FULL' 時轉譯的生成式問答功能面板。
將 panelType 屬性設定為 'SEARCH_BAR',以搜尋列形式轉譯生成式問答功能。此搜尋列類似於 Q 搜尋列在嵌入應用程式時轉譯的方式。生成式問答搜尋列會展開為較大面板,顯示主題選取選項、問題建議清單、答案面板或 Pinboard。
嵌入式資產載入時,會轉譯生成式問答搜尋列的預設最小高度。建議您將 frameOptions.height 值設定為 "38px",以最佳化搜尋列體驗。使用 focusedHeight 屬性來設定主題選取下拉式清單與問題建議清單的最佳大小。使用 expandedHeight 屬性來設定答案面板和 Pinboard 的最佳大小。如果您選擇 'SEARCH_BAR' 選項,建議您使用位置來設定父系容器的樣式;絕對要避免應用程式中不必要的內容轉移。下圖顯示當您將 panelType 值設定為 'SEARCH_BAR' 時轉譯的生成式問答功能搜尋列。
設定 panelType 屬性之後,請使用 Amazon Quick Sight 內嵌 SDK 來自訂生成式問答體驗的下列屬性。
-
生成式問答面板的標題 (僅適用於
panelType: FULL選項)。 -
搜尋列的預留位置文字。
-
是否允許主題選取。
-
是否顯示或隱藏主題名稱。
-
是否顯示或隱藏 Amazon Q 圖示 (僅適用於
panelType: FULL選項)。 -
是否顯示為隱藏 Pinboard。
-
使用者是否可以將生成式問答面板最大化為全螢幕。
-
生成式問答面板的佈景主題。自訂佈景主題 ARN 可在 SDK 中傳遞,以變更影格內容的外觀。內嵌生成 BI 面板不支援 Amazon Quick Sight 入門主題。若要使用 Amazon Quick Sight 入門佈景主題,請在 Amazon Quick Sight 中將其儲存為自訂佈景主題。
當您使用 Amazon Quick Sight 內嵌 SDK 時,頁面上的生成式問答體驗會根據狀態動態調整大小。透過使用 Amazon Quick Sight 內嵌 SDK,您也可以控制生成式問答體驗中的參數,並在頁面載入完成、狀態變更和錯誤方面接收回呼。
下列範例示範如何使用產生的 URL。此代碼在您的應用程式伺服器上生成。
<!DOCTYPE html> <html> <head> <title>Generative Q&A Embedding Example</title> <script src="https://unpkg.com/amazon-quicksight-embedding-sdk@2.7.0/dist/quicksight-embedding-js-sdk.min.js"></script> <script type="text/javascript"> const embedGenerativeQnA = async() => { const {createEmbeddingContext} = QuickSightEmbedding; const embeddingContext = await createEmbeddingContext({ onChange: (changeEvent, metadata) => { console.log('Context received a change', changeEvent, metadata); }, }); const frameOptions = { url: "<YOUR_EMBED_URL>", // replace this value with the url generated via embedding API container: '#experience-container', height: "700px", width: "1000px", onChange: (changeEvent, metadata) => { switch (changeEvent.eventName) { case 'FRAME_MOUNTED': { console.log("Do something when the experience frame is mounted."); break; } case 'FRAME_LOADED': { console.log("Do something when the experience frame is loaded."); break; } } }, }; const contentOptions = { // Optional panel settings. Default behavior is equivalent to {panelType: 'FULL'} panelOptions: { panelType: 'FULL', title: 'custom title', // Optional showQIcon: false, // Optional, Default: true }, // Use SEARCH_BAR panel type for the landing state to be similar to embedQSearchBar // with generative capability enabled topics /* panelOptions: { panelType: 'SEARCH_BAR', focusedHeight: '250px', expandedHeight: '500px', }, */ showTopicName: false, // Optional, Default: true showPinboard: false, // Optional, Default: true allowTopicSelection: false, // Optional, Default: true allowFullscreen: false, // Optional, Default: true searchPlaceholderText: "custom search placeholder", // Optional themeOptions: { // Optional themeArn: 'arn:aws:quicksight:<Region>:<AWS-Account-ID>:theme/<Theme-ID>' } onMessage: async (messageEvent, experienceMetadata) => { switch (messageEvent.eventName) { case 'Q_SEARCH_OPENED': { // called when pinboard is shown / visuals are rendered console.log("Do something when SEARCH_BAR type panel is expanded"); break; } case 'Q_SEARCH_FOCUSED': { // called when question suggestions or topic selection dropdown are shown console.log("Do something when SEARCH_BAR type panel is focused"); break; } case 'Q_SEARCH_CLOSED': { // called when shrinked to initial bar height console.log("Do something when SEARCH_BAR type panel is collapsed"); break; } case 'Q_PANEL_ENTERED_FULLSCREEN': { console.log("Do something when panel enters full screen mode"); break; } case 'Q_PANEL_EXITED_FULLSCREEN': { console.log("Do something when panel exits full screen mode"); break; } case 'CONTENT_LOADED': { console.log("Do something after experience is loaded"); break; } case 'ERROR_OCCURRED': { console.log("Do something when experience fails to load"); break; } } } }; const embeddedGenerativeQnExperience = await embeddingContext.embedGenerativeQnA(frameOptions, contentOptions); }; </script> </head> <body onload="embedGenerativeQnA()"> <div id="experience-container"></div> </body> </html>
若要讓此範例運作,請務必使用 Amazon Quick Sight 內嵌 SDK,透過 JavaScript 在您的網站上載入內嵌的生成式問答體驗。為獲得您的版本,請執行以下其中一項操作:
-
從 GitHub 下載 Amazon Quick Sight 內嵌 SDK
。此儲存庫由一組 Amazon Quick Sight 開發人員維護。 -
從 https://www.npmjs.com/package/amazon-quicksight-embedding-sdk
下載最新的內嵌開發套件版本。 -
如果您使用 JavaScript 相依性的
npm,請執行下列命令來下載並安裝它。npm install amazon-quicksight-embedding-sdk
選用的嵌入生成式問答功能功能
下列選用功能可在使用嵌入式 SDK 的嵌入生成式問答功能中使用。
調用生成式問答搜尋列動作
-
設定問題:此功能會將問題傳送至生成式問答功能,並立即查詢問題。
embeddedGenerativeQnExperience.setQuestion('show me monthly revenue'); -
關閉答案面板 (適用於生成式問答搜尋列選項):此功能會關閉答案面板,並將 iframe 回復至原始搜尋列狀態。
embeddedGenerativeQnExperience.close();
如需詳細資訊,請參閱 Amazon Quick Sight 內嵌 SDK
為匿名 (未註冊) 使用者嵌入 Quick Suite 中的 Amazon Q 生成式問答體驗
| 目標對象:Amazon Quick Suite 開發人員 |
在以下章節中,您可以找到有關如何為匿名 (未註冊) 使用者設定嵌入生成式問答功能的詳細資訊。
步驟 1:設定許可
在以下章節中,您可以了解如何為後端應用程式或 Web 伺服器設定許可,以嵌入生成式問答功能。此任務需要 AWS Identity and Access Management (IAM) 的管理存取權。
每個存取生成式問答體驗的使用者都會擔任一個角色,為他們提供 Amazon Quick Sight 存取權和許可。為了實現這一點,請在您的 AWS 帳戶中建立 IAM 角色。將 IAM 政策與此角色建立關聯,以提供許可給擔任此角色的任何使用者。IAM 角色需要提供許可,以擷取特定使用者集區的內嵌 URL。
藉助萬用字元 *,您可以授予許可,以便為特定命名空間中的所有使用者產生 URL。或者,您可以授予許可來為特定命名空間中的使用者子集產生 URL。對於這一點,您新增 quicksight:GenerateEmbedUrlForAnonymousUser。
您可以在 IAM 政策中建立條件,以限制開發人員可在 GenerateEmbedUrlForAnonymousUser API 操作的 AllowedDomains 參數中列出的域。AllowedDomains 參數是選用參數。它可讓開發人員選擇覆寫在管理 Amazon Quick Sight 選單中設定的靜態網域,並改為列出最多三個可存取產生 URL 的網域或子網域。然後將此 URL 內嵌到開發人員的網站中。只有參數中列出的域可以存取內嵌 Q 搜尋列。如果沒有這種情況,開發人員可以在 AllowedDomains 參數中列出網際網路上的任何域。
若要限制開發人員可搭配此參數使用的網域,請在 IAM 政策中新增 AllowedEmbeddingDomains 條件。如需 AllowedDomains 參數的詳細資訊,請參閱《Amazon Quick Sight API 參考》中的 GenerateEmbedUrlForAnonymousUser。
您的應用程式的 IAM 身分必須有相關聯的信任政策,以允許存取至您剛建立的角色。這表示當使用者存取您的應用程式時,您的應用程式可代表使用者擔任該角色,並載入生成式問答功能。範例回應如下所示。
如需有關信任政策的詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的臨時安全憑證
步驟 2:產生帶有身分驗證碼的 URL
在下一章節,您可以了解如何在您的應用程式伺服器上驗證使用者,以及取得可內嵌的 Q 主題 URL。
當使用者存取您的應用程式時,該應用程式代表使用者擔任 IAM 角色。然後,如果使用者尚未存在,應用程式會將使用者新增至 Amazon Quick Sight。接著,它傳遞識別符當作唯一的角色工作階段 ID。
import java.util.List; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.AWSCredentialsProvider; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.regions.Regions; import com.amazonaws.services.quicksight.AmazonQuickSight; import com.amazonaws.services.quicksight.AmazonQuickSightClientBuilder; import com.amazonaws.services.quicksight.model.AnonymousUserGenerativeQnAEmbeddingConfiguration; import com.amazonaws.services.quicksight.model.AnonymousUserEmbeddingExperienceConfiguration; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserRequest; import com.amazonaws.services.quicksight.model.GenerateEmbedUrlForAnonymousUserResult; import com.amazonaws.services.quicksight.model.SessionTag; /** * Class to call QuickSight AWS SDK to generate embed url for anonymous user. */ public class GenerateEmbedUrlForAnonymousUserExample { private final AmazonQuickSight quickSightClient; public GenerateEmbedUrlForAnonymousUserExample() { quickSightClient = AmazonQuickSightClientBuilder .standard() .withRegion(Regions.US_EAST_1.getName()) .withCredentials(new AWSCredentialsProvider() { @Override public AWSCredentials getCredentials() { // provide actual IAM access key and secret key here return new BasicAWSCredentials("access-key", "secret-key"); } @Override public void refresh() { } } ) .build(); } public String GenerateEmbedUrlForAnonymousUser( final String accountId, // YOUR AWS ACCOUNT ID final String initialTopicId, // Q TOPIC ID TO WHICH THE CONSTRUCTED URL POINTS AND EXPERIENCE PREPOPULATES INITIALLY final String namespace, // ANONYMOUS EMBEDDING REQUIRES SPECIFYING A VALID NAMESPACE FOR WHICH YOU WANT THE EMBEDDING URL final List<String> authorizedResourceArns, // Q TOPIC ARN LIST TO EMBED final List<String> allowedDomains, // RUNTIME ALLOWED DOMAINS FOR EMBEDDING final List<SessionTag> sessionTags // SESSION TAGS USED FOR ROW-LEVEL SECURITY ) throws Exception { AnonymousUserEmbeddingExperienceConfiguration experienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration(); AnonymousUserGenerativeQnAEmbeddingConfiguration generativeQnAConfiguration = new AnonymousUserGenerativeQnAEmbeddingConfiguration(); generativeQnAConfiguration.setInitialTopicId(initialTopicId); experienceConfiguration.setGenerativeQnA(generativeQnAConfiguration); GenerateEmbedUrlForAnonymousUserRequest generateEmbedUrlForAnonymousUserRequest = new GenerateEmbedUrlForAnonymousUserRequest() .withAwsAccountId(accountId) .withNamespace(namespace) .withAuthorizedResourceArns(authorizedResourceArns) .withExperienceConfiguration(experienceConfiguration) .withSessionTags(sessionTags) .withSessionLifetimeInMinutes(600L); // OPTIONAL: VALUE CAN BE [15-600]. DEFAULT: 600 .withAllowedDomains(allowedDomains); GenerateEmbedUrlForAnonymousUserResult result = quickSightClient.generateEmbedUrlForAnonymousUser(generateEmbedUrlForAnonymousUserRequest); return result.getEmbedUrl(); } }
注意
無法直接從瀏覽器呼叫嵌入式 URL 產生 API。請改為參閱 Node.JS 範例。
import json import boto3 from botocore.exceptions import ClientError import time # Create QuickSight and STS clients quicksightClient = boto3.client('quicksight',region_name='us-west-2') sts = boto3.client('sts') # Function to generate embedded URL for anonymous user # accountId: YOUR AWS ACCOUNT ID # topicId: Topic ID to embed # quicksightNamespace: VALID NAMESPACE WHERE YOU WANT TO DO NOAUTH EMBEDDING # authorizedResourceArns: TOPIC ARN LIST TO EMBED # allowedDomains: RUNTIME ALLOWED DOMAINS FOR EMBEDDING # sessionTags: SESSION TAGS USED FOR ROW-LEVEL SECURITY def generateEmbedUrlForAnonymousUser(accountId, quicksightNamespace, authorizedResourceArns, allowedDomains, sessionTags): try: response = quicksightClient.generate_embed_url_for_anonymous_user( AwsAccountId = accountId, Namespace = quicksightNamespace, AuthorizedResourceArns = authorizedResourceArns, AllowedDomains = allowedDomains, ExperienceConfiguration = { 'GenerativeQnA': { 'InitialTopicId': topicId } }, SessionTags = sessionTags, SessionLifetimeInMinutes = 600 ) return { 'statusCode': 200, 'headers': {"Access-Control-Allow-Origin": "*", "Access-Control-Allow-Headers": "Content-Type"}, 'body': json.dumps(response), 'isBase64Encoded': bool('false') } except ClientError as e: print(e) return "Error generating embeddedURL: " + str(e)
以下範例顯示的 JavaScript (Node.js) 可在應用程式伺服器上用來產生嵌入式儀表板的 URL。您可以在您的網站或應用程式中使用此 URL 來顯示儀表板。
const AWS = require('aws-sdk'); const https = require('https'); var quicksightClient = new AWS.Service({ region: 'us-east-1', }); quicksightClient.generateEmbedUrlForAnonymousUser({ 'AwsAccountId': '111122223333', 'Namespace': 'DEFAULT' 'AuthorizedResourceArns': '["topic-arn-topicId1","topic-arn-topicId2"]', 'AllowedDomains': allowedDomains, 'ExperienceConfiguration': { 'GenerativeQnA': { 'InitialTopicId': 'U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f' } }, 'SessionTags': '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]', 'SessionLifetimeInMinutes': 15 }, function(err, data) { console.log('Errors: '); console.log(err); console.log('Response: '); console.log(data); });
以下範例顯示的 .NET/C# 程式碼可在應用程式伺服器上用來產生嵌入式 Q 搜尋列的 URL。您可以在您的網站或應用程式中使用此 URL 來顯示 Q 搜尋列。
using System; using Amazon.QuickSight; using Amazon.QuickSight.Model; namespace GenerateGenerativeQnAEmbedUrlForAnonymousUser { class Program { static void Main(string[] args) { var quicksightClient = new AmazonQuickSightClient( AccessKey, SecretAccessKey, SessionToken, Amazon.RegionEndpoint.USEast1); try { AnonymousUserGenerativeQnAEmbeddingConfiguration anonymousUserGenerativeQnAEmbeddingConfiguration = new AnonymousUserGenerativeQnAEmbeddingConfiguration { InitialTopicId = "U4zJMVZ2n2stZflc8Ou3iKySEb3BEV6f" }; AnonymousUserEmbeddingExperienceConfiguration anonymousUserEmbeddingExperienceConfiguration = new AnonymousUserEmbeddingExperienceConfiguration { GenerativeQnA = anonymousUserGenerativeQnAEmbeddingConfiguration }; Console.WriteLine( quicksightClient.GenerateEmbedUrlForAnonymousUserAsync(new GenerateEmbedUrlForAnonymousUserRequest { AwsAccountId = "111122223333", Namespace = "DEFAULT", AuthorizedResourceArns '["topic-arn-topicId1","topic-arn-topicId2"]', AllowedDomains = allowedDomains, ExperienceConfiguration = anonymousUserEmbeddingExperienceConfiguration, SessionTags = '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]', SessionLifetimeInMinutes = 15, }).Result.EmbedUrl ); } catch (Exception ex) { Console.WriteLine(ex.Message); } } } }
若要擔任角色,請選擇下列其中一個 AWS Security Token Service (AWS STS) API 操作:
-
AssumeRole – 在使用 IAM 身分擔任角色的情況下使用此操作。
-
AssumeRoleWithWebIdentity – 在使用 Web 身分提供者驗證您的使用者時,請使用此操作。
-
AssumeRoleWithSaml –在您使用 SAML 驗證使用者時,請使用此操作。
以下範例顯示用來設定 IAM 角色的 CLI 命令。角色需要啟用 quicksight:GenerateEmbedUrlForAnonymousUser 的許可。
aws sts assume-role \ --role-arn "arn:aws:iam::111122223333:role/embedding_quicksight_generative_qna_role" \ --role-session-nameanonymous caller
assume-role 操作會傳回三個輸出參數:存取金鑰、私密金鑰和工作階段字符。
注意
若您呼叫 AssumeRole 操作時收到 ExpiredToken 錯誤,原因可能是先前的 SESSION TOKEN 仍在環境變數中。設定以下變數便可清除此錯誤:
-
AWS_ACCESS_KEY_ID
-
AWS_SECRET_ACCESS_KEY
-
AWS_SESSION_TOKEN
以下範例說明如何在 CLI 中設定這三個參數。對於 Microsoft Windows 電腦,請使用 set,不要使用 export。
export AWS_ACCESS_KEY_ID = "access_key_from_assume_role" export AWS_SECRET_ACCESS_KEY = "secret_key_from_assume_role" export AWS_SESSION_TOKEN = "session_token_from_assume_role"
對於瀏覽您網站的使用者,執行這些命令可將其角色工作階段 ID 設為 embedding_quicksight_q_search_bar_role/QuickSightEmbeddingAnonymousPolicy。角色工作階段 ID 由來自 role-arn 和 role-session-name 值的角色名稱所組成。對每個使用者使用唯一的角色工作階段 ID,可確保為每個使用者設定適當的許可。還能避免對使用者存取進行任何調節。調節是一項安全功能,可防止相同的使用者從多個位置存取 Amazon Quick Sight。此外,它使每個會話獨立且不同。如果您正在使用 Web 伺服器陣列 (例如負載平衡),且工作階段重新連線到不同的伺服器,則會開始新的工作階段。
為了取得儀表板的簽章 URL,請從應用程式伺服器呼叫 generate-embed-url-for-anynymous-user。這會傳回可嵌入的儀表板 URL。下列範例會顯示如何使用伺服器端呼叫,針對匿名造訪您的 Web 入口網站或應用程式的使用者,產生內嵌式儀表板的 URL。
aws quicksight generate-embed-url-for-anonymous-user \ --aws-account-id111122223333\ --namespacedefault-or-something-else\ --authorized-resource-arns '["topic-arn-topicId","topic-arn-topicId2"]' \ --allowed-domains '["domain1","domain2"]' \ --experience-configuration 'GenerativeQnA={InitialTopicId="topicId1"}' \ --session-tags '["Key": tag-key-1,"Value": tag-value-1,{"Key": tag-key-1,"Value": tag-value-1}]' \ --session-lifetime-in-minutes15
如需使用此操作的詳細資訊,請參閱 GenerateEmbedUrlForAnonymousUser。您可以在您自己的程式碼中使用這個和其他 API 操作。
步驟 3:嵌入生成式問答功能 URL
在下一章節,您可以了解如何在網站或應用程式頁面中嵌入生成式問答功能 URL。您可以使用 Amazon Quick Sight 內嵌 SDK
-
將生成式問答功能放置在 HTML 頁面上。
-
自訂嵌入功能的版面配置和外觀,以符合您的應用程式需求。
-
以針對您的應用程式而訂做的訊息來處理錯誤狀態。
若要產生可以內嵌到應用程式中的 URL,請呼叫 GenerateEmbedUrlForAnonymousUser API 操作。此 URL 的有效期為 5 分鐘,而產生的工作階段有效期最長為 10 小時。此 API 操作提供的 URL 附有可啟用單一登入工作階段的 auth_code 值。
以下是 generate-embed-url-for-anonymous-user 的回應範例。
//The URL returned is over 900 characters. For this example, we've shortened the string for //readability and added ellipsis to indicate that it's incomplete.{ "Status": "200", "EmbedUrl": "https://quicksightdomain/embedding/12345/q/search...", "RequestId": "7bee030e-f191-45c4-97fe-d9faf0e03713" }
使用 Amazon Quick Sight 內嵌 SDK
請確定託管生成式問答體驗的網域列於允許清單,即 Amazon Quick Sight 訂閱的已核准網域清單。這項要求將使未獲核准的網域無法託管嵌入生成式問答功能,進而保護您的資料。如需為嵌入生成式問答功能新增網域的詳細資訊,請參閱管理網域。
您可以使用 Amazon Quick Sight 內嵌 SDK 自訂內嵌生成式問答體驗的配置和外觀,以符合您的應用程式。使用 panelType 屬性設定生成式問答功能在應用程式中轉譯時的登陸狀態。將 panelType 屬性設定為 'FULL',以轉譯完整的生成式問答功能面板。此面板類似 Amazon Quick Sight 使用者在 Amazon Quick Sight 主控台中擁有的體驗。面板的影格高度不會根據使用者互動而變更,並且會遵守您在 frameOptions.height 屬性中設定的值。下圖顯示當您將 panelType 值設定為 'FULL' 時轉譯的生成式問答功能面板。
將 panelType 屬性設定為 'SEARCH_BAR',以搜尋列形式轉譯生成式問答功能。此搜尋列類似於 Q 搜尋列在嵌入應用程式時轉譯的方式。生成式問答搜尋列會展開為較大面板,顯示主題選取選項、問題建議清單、答案面板或 Pinboard。
嵌入式資產載入時,會轉譯生成式問答搜尋列的預設最小高度。建議您將 frameOptions.height 值設定為 "38px",以最佳化搜尋列體驗。使用 focusedHeight 屬性來設定主題選取下拉式清單與問題建議清單的最佳大小。使用 expandedHeight 屬性來設定答案面板和 Pinboard 的最佳大小。如果您選擇 'SEARCH_BAR' 選項,建議您使用位置來設定父系容器的樣式;絕對要避免應用程式中不必要的內容轉移。下圖顯示當您將 panelType 值設定為 'SEARCH_BAR' 時轉譯的生成式問答功能搜尋列。
設定 panelType 屬性之後,請使用 Amazon Quick Sight 內嵌 SDK 來自訂生成式問答體驗的下列屬性。
-
生成式問答面板的標題 (僅適用於
panelType: FULL選項)。 -
搜尋列的預留位置文字。
-
是否允許主題選取。
-
是否顯示或隱藏主題名稱。
-
是否顯示或隱藏 Amazon Q 圖示 (僅適用於
panelType: FULL選項)。 -
是否顯示為隱藏 Pinboard。
-
使用者是否可以將生成式問答面板最大化為全螢幕。
-
生成式問答面板的佈景主題。自訂佈景主題 ARN 可在 SDK 中傳遞,以變更影格內容的外觀。內嵌生成 BI 面板不支援 Amazon Quick Sight 入門主題。若要使用 Amazon Quick Sight 入門佈景主題,請在 Amazon Quick Sight 中將其儲存為自訂佈景主題。
當您使用 Amazon Quick Sight 內嵌 SDK 時,頁面上的生成式問答體驗會根據狀態動態調整大小。使用 Amazon Quick Sight 內嵌 SDK,您也可以控制生成式問答體驗中的參數,並在頁面載入完成、狀態變更和錯誤方面接收回呼。
下列範例示範如何使用產生的 URL。此代碼在您的應用程式伺服器上生成。
<!DOCTYPE html> <html> <head> <title>Generative Q&A Embedding Example</title> <script src="https://unpkg.com/amazon-quicksight-embedding-sdk@2.7.0/dist/quicksight-embedding-js-sdk.min.js"></script> <script type="text/javascript"> const embedGenerativeQnA = async() => { const {createEmbeddingContext} = QuickSightEmbedding; const embeddingContext = await createEmbeddingContext({ onChange: (changeEvent, metadata) => { console.log('Context received a change', changeEvent, metadata); }, }); const frameOptions = { url: "<YOUR_EMBED_URL>", // replace this value with the url generated via embedding API container: '#experience-container', height: "700px", width: "1000px", onChange: (changeEvent, metadata) => { switch (changeEvent.eventName) { case 'FRAME_MOUNTED': { console.log("Do something when the experience frame is mounted."); break; } case 'FRAME_LOADED': { console.log("Do something when the experience frame is loaded."); break; } } }, }; const contentOptions = { // Optional panel settings. Default behavior is equivalent to {panelType: 'FULL'} panelOptions: { panelType: 'FULL', title: 'custom title', // Optional showQIcon: false, // Optional, Default: true }, // Use SEARCH_BAR panel type for the landing state to be similar to embedQSearchBar // with generative capability enabled topics /* panelOptions: { panelType: 'SEARCH_BAR', focusedHeight: '250px', expandedHeight: '500px', }, */ showTopicName: false, // Optional, Default: true showPinboard: false, // Optional, Default: true allowTopicSelection: false, // Optional, Default: true allowFullscreen: false, // Optional, Default: true searchPlaceholderText: "custom search placeholder", // Optional themeOptions: { // Optional themeArn: 'arn:aws:quicksight:<Region>:<AWS-Account-ID>:theme/<Theme-ID>' } onMessage: async (messageEvent, experienceMetadata) => { switch (messageEvent.eventName) { case 'Q_SEARCH_OPENED': { // called when pinboard is shown / visuals are rendered console.log("Do something when SEARCH_BAR type panel is expanded"); break; } case 'Q_SEARCH_FOCUSED': { // called when question suggestions or topic selection dropdown are shown console.log("Do something when SEARCH_BAR type panel is focused"); break; } case 'Q_SEARCH_CLOSED': { // called when shrinked to initial bar height console.log("Do something when SEARCH_BAR type panel is collapsed"); break; } case 'Q_PANEL_ENTERED_FULLSCREEN': { console.log("Do something when panel enters full screen mode"); break; } case 'Q_PANEL_EXITED_FULLSCREEN': { console.log("Do something when panel exits full screen mode"); break; } case 'CONTENT_LOADED': { console.log("Do something after experience is loaded"); break; } case 'ERROR_OCCURRED': { console.log("Do something when experience fails to load"); break; } } } }; const embeddedGenerativeQnExperience = await embeddingContext.embedGenerativeQnA(frameOptions, contentOptions); }; </script> </head> <body onload="embedGenerativeQnA()"> <div id="experience-container"></div> </body> </html>
若要讓此範例運作,請務必使用 Amazon Quick Sight 內嵌 SDK,透過 JavaScript 在您的網站上載入內嵌的生成式問答體驗。為獲得您的版本,請執行以下其中一項操作:
-
從 GitHub 下載 Amazon Quick Sight 內嵌 SDK
。此儲存庫由一組 Amazon Quick Sight 開發人員維護。 -
從 https://www.npmjs.com/package/amazon-quicksight-embedding-sdk
下載最新的內嵌開發套件版本。 -
如果您使用 JavaScript 相依性的
npm,請執行下列命令來下載並安裝它。npm install amazon-quicksight-embedding-sdk
選用的嵌入生成式問答功能功能
下列選用功能可在使用嵌入式 SDK 的嵌入生成式問答功能中使用。
調用生成式問答搜尋列動作
-
設定問題:此功能會將問題傳送至生成式問答功能,並立即查詢問題。
embeddedGenerativeQnExperience.setQuestion('show me monthly revenue'); -
關閉答案面板 (適用於生成式問答搜尋列選項):此功能會關閉答案面板,並將 iframe 回復至原始搜尋列狀態。
embeddedGenerativeQnExperience.close();
如需詳細資訊,請參閱 Amazon Quick Sight 內嵌 SDK
