透過隔離命名空間支援多租戶 - Amazon Quick Suite
將一個命名空間中的現有使用者遷移到另一個命名空間

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過隔離命名空間支援多租戶

Amazon Quick Suite Enterprise Edition 透過命名空間支援多租戶。Amazon Quick Suite 命名空間是邏輯容器,可用來組織用戶端、子公司、團隊等。命名空間可以協助您實現以下目標:

  • 您可以允許 Amazon Quick Suite 訂閱的使用者探索共用內容,並與其他使用者共用。同時確保一個命名空間中的使用者無法查看另一個命名空間中的使用者,或進行互動。

  • 您可以安全地隔離資料,也可以支援各種工作負載,而無需新增其他 AWS 帳戶。對資料的存取仍然受到 AWS 安全功能的嚴格控制。只有當使用者擁有正確的資源許可時,使用者才能查看資產 (例如資料和儀表板)。此外,可以防止擁有許可的使用者不小心向其命名空間之外的人員公開內容。如需詳細資訊,請參閱支援具有隔離命名空間的多租戶

  • 透過按命名空間整理的報告監控資料串流和用量。按命名空間對資料和報告進行分類,有助於簡化成本和安全分析。

  • 將使用者註冊到命名空間後,便不會產生額外的管理複雜性或開銷。

  • 命名空間旨在跨越 AWS 區域,因此即使有人登入不同的 ,使用遏制也不會變更 AWS 區域。

命名空間目前有以下限制:

  • 自訂命名空間 (非預設命名空間) 僅可供 IAM 聯合單一登入使用者存取。

  • 如需支援以下功能,請使用預設命名空間而不是自訂命名空間:

    • 將您的 Amazon Quick Suite 帳戶與 IAM Identity Center 整合。如需整合 Amazon Quick Suite 帳戶與 IAM Identity Center 的詳細資訊,請參閱 AWS Amazon Quick Suite 中的安全性

    • 以密碼為基礎的登入。

    • 以憑證為基礎的 Active Directory 登入。

  • 您無法將使用者直接從一個命名空間轉移到另一個命名空間。您可以選擇以程式設計方式完成這一工作的部分或全部。如需詳細資訊,請參閱 Quick Suite API 參考。在每個 API 操作的頁面底部,都有一個指向其他語言 SDK 中相同操作的連結清單。若要查看可用的 SDK,請參閱 AWS getting started resource center 中的 SDKs and toolkits

  • 命名空間適用於隔離使用者與許可,但不適用於共用資產。儀表板、資料集與分析可以與不同命名空間中的使用者共用。依預設,使用者無法存取存在於同一命名空間中的項目,但與使用者共用資產後,使用者則可取得對該特定資產的存取權。

如果您沒有現有 AWS 帳戶 或需要註冊 Amazon Quick Suite,請閱讀下列準則,然後遵循註冊 Amazon Quick Suite 訂閱中的適用指示:

如果您註冊的是標準版,您可以輕鬆地將訂閱升級到企業版。執行升級的人員必須是具有管理員權限的 Amazon Quick Suite 使用者。如需詳細資訊,請參閱升級 Amazon Quick Suite 訂閱

如果您擁有已經使用了一段時間的企業版訂閱,也可以將使用者遷移到命名空間。當您註冊 Amazon Quick Suite 並新增使用者時,它們全都位於預設命名空間中。所有使用者都可以直接相互互動以及共用資料和儀表板。為了將使用者彼此隔離,您可以建立一個或多個額外命名空間。

重要

Amazon Quick Suite 資產和資源,包括資料集、資料來源、儀表板、分析等,存在於任何命名空間之外。它們僅會向經授予資源許可的使用者顯示。

若要實作命名空間,您可以使用下列 Amazon Quick Suite API 操作:

下列區域不支援命名空間:

  • af-south-1 非洲 (開普敦)

  • ap-southeast-3 亞太區域 (雅加達)

  • eu-south-1 歐洲 (米蘭)

  • eu-central-2 歐洲 (蘇黎世)

注意

如果您需要安裝 AWS CLI,請參閱《 使用者指南》中的安裝 AWS CLI 第 2 版。 AWS Command Line Interface

若要將使用者新增至命名空間,請使用 RegisterUser API 操作。每個命名空間都有一組完全獨立的使用者。使用者 ARN 包含命名空間限定詞以示區別,如以下範例所示:

  • Amazon Quick Suite 會將這兩個實體視為不同的人員:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-456/username123

  • Amazon Quick Suite 會將這兩個實體視為同一個人:

    • arn:aws:quicksight:us-east-1:111122223333:user/namespace-123/username123

    • arn:aws:quicksight:us-west-2:111122223333:user/namespace-123/username123

當您使用 RegisterUser 時,您可以為每個使用者選取一個存取層級。將某人的使用者名稱指派給其中一個安全群組後,他們對主控台和 API 的存取將受到限制。使用 Amazon Quick Suite 的人可以擁有單一存取層級,如下所示:

  • 讀者存取權限,適用於儀表板的唯讀訂閱用戶

  • 作者存取權限,適用於分析師和儀表板設計人員

  • 管理員存取權,適用於 Amazon Quick Suite 管理員

將一個命名空間中的現有使用者遷移到另一個命名空間

請依循下方的程序操作,以將現有使用者從一個命名空間遷移到不同的命名空間。

  1. 使用 Amazon Quick Suite 使用者和群組 API 操作,識別您要轉移到不同命名空間的使用者。如需詳細資訊,請參閱 Quick Suite API 參考中的用於控制存取的 API 操作

  2. 使用 RegisterUser API 操作在新命名空間中建立使用者。命名空間內的使用者名稱是唯一的。

    如果命名空間使用者在新的 中開始使用 Amazon Quick Suite 主控台或 API AWS 區域,則該使用者仍受限於您將其新增至其中的命名空間。每個命名空間代表身分供應商的一個使用者目錄。因此,它源自於設定 Amazon Quick Suite 的主要 AWS 區域 。不過,由於使用者目錄會在您的帳戶 AWS 中全域傳播,因此可從使用者使用 Amazon Quick Suite 的任何 AWS 區域 位置存取命名空間。

  3. 若要識別新命名空間使用者所需的資產和資源許可,請使用與每種資產類型 (儀表板、資料集等) 相關聯的 Amazon Quick Suite API 操作。如需詳細資訊,請參閱 Quick Suite API 參考中的 QuickSight API 操作以控制資產https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html

    例如,假設您關注的是儀表板。您可以使用 ListDashboards 列出 AWS 帳戶中的所有儀表板 ID。然後,要決定哪些使用者或群組可以存取這些儀表板,您可以對 ListDashboards 產生的結果集使用 DescribeDashboardPermissions。如果您需要識別儀表板的特定版本,則可以使用 ListDashboardVersions 來實現。您還可以透過資料來源和資料集 API 操作,收集有關儀表板中使用之資料的位置資訊。如需詳細資訊,請參閱 Quick Suite API 參考中的 QuickSight API 操作以控制資料資源https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html

    如需篩選 API 回應輸出的詳細資訊,請參閱您所使用語言的 SDK 文件。如需 AWS Command Line Interface (AWS CLI) 的相關資訊,請參閱AWS Command Line Interface 《 使用者指南》中的從 AWS CLI 控制命令輸出

  4. 對於 Amazon Quick Suite 資產和資源,複製來源命名空間使用者為每個資產擁有的許可。然後可以使用 UpdateDashboardPermissions 等將相同的許可套用至目標命名空間使用者。每種資產類型都有自己獨立的一組 API 操作,用於控制使用者的使用許可。如需詳細資訊,請參閱 Quick Suite API 參考中的資產和資源許可的 QuickSight API 操作https://docs.aws.amazon.com/quicksight/latest/APIReference/Welcome.html

  5. 新增完使用者和許可後,最好留一些時間進行使用者接受度測試。這樣做可以確保每個人都能順利使用新的命名空間,並確保透過新命名空間可以存取所有資產和資源。

    在確定不再需要原始使用者名稱後,您可以開始棄用他們在原始命名空間中的許可。最後,當使用者準備好時,您可以移除來源命名空間中未使用的群組和使用者名稱。在您的使用者先前處於作用中 AWS 區域 狀態的每個 中執行此操作。