通过受信任的身份传播,集中管理从 Amazon QuickSight 访问的表和视图的权限 商业智能
Amazon QuickSight中的客户身份管理与权限集中管理
关键总结: 本文讨论了如何通过AWS IAM身份中心在Amazon QuickSight中简化对Amazon Redshift的访问权限管理。通过启用受信任的身份传播,数据所有者和BI管理员可以在QuickSight中集中管理细粒度的数据权限,确保不同用户按需访问数据,简化数据治理。
在启用受信任的身份传播之前,当Amazon QuickSight的作者创建与Amazon Redshift数据源的连接时,必须提供Redshift数据库用户凭证。这些凭证会在用户与QuickSight仪表板交互时,用于后续在Redshift上处理所有查询。然而,用户凭据需要在多个服务中维护,而数据所有者无法集中启用和管理细粒度的数据访问控制。
本文展示了数据所有者和商业智能BI管理员如何通过AWS IAM身份中心在Amazon Redshift的表和视图上集中管理细粒度的数据权限,并将其强制应用于Amazon QuickSight中的所有用户,利用受信任的身份传播。
解决方案概述
本架构采用AWS IAM身份中心。身份中心使您能够安全地创建或连接工作区身份,并管理AWS应用程序中的用户访问。无论企业规模如何,身份中心都是在AWS上进行工作区身份验证和授权的推荐方法。使用身份中心,您可以直接在身份中心目录中创建和管理用户身份,或者连接现有的第三方企业身份提供者,例如Microsoft Entra ID、Okta和Ping Identity。在本文中,我们使用Okta作为企业身份提供者。Okta存储用户身份,并与身份中心一起,基于用户或组的分配进行身份验证和授权。
解决方案步骤
下面的步骤涉及到如何配置QuickSight与Amazon Redshift之间的受信任身份传播。
前置条件:使用Okta配置IAM身份中心使用IAM身份中心配置Amazon Redshift使用IAM身份中心配置QuickSight完成前置条件后,配置并测试QuickSight与Amazon Redshift间的受信任身份传播。步骤如下:
用IAM身份中心用户和组配置Redshift行和列级安全性配置通过VPC访问您的Redshift集群为Amazon Redshift配置QuickSight的受信任身份传播范围使用受信任的身份传播连接到QuickSight中的Redshift数据源验证在QuickSight中应用了Redshift行级安全性配置Redshift行级和列级安全性为了向通过QuickSight访问Redshift数据的用户应用行级和列级安全性,您需要在Amazon Redshift中创建规则。详情请参见 Row level security。
注意: 以下步骤仅在您要通过行级和列级安全性确保用户对Redshift数据的安全访问时才需要。
使用以下示例代码为IAM身份中心用户创建、附加并激活行级安全政策:
sqlCREATE RLS POLICY policystore1WITH (srstoresk INTEGER)USING (srstoresk = 1)
在需要的情况下,使用以下SQL命令附加策略,并激活行级安全性。
sqlALTER TABLE ltyour table namegt ROW LEVEL SECURITY ON
通过VPC连接到RedshiftQuickSight支持Amazon Virtual Private Cloud (Amazon VPC)连接以安全地连接到Redshift集群。
注意: 如果您有私有Redshift实例,则必须进行以下步骤。
在VPC中创建两个安全组: Redshift安全组 QuickSight安全组
对于Redshift的安全组,设置相应的入站和出站规则。
使用以下步骤在QuickSight中添加VPC连接,并配置相应的连接参数。
配置QuickSight的受信任身份传播范围
为允许QuickSight用户通过受信任的身份传播连接到Redshift数据源,管理员需创建一个允许QuickSight将用户身份传播到Amazon Redshift的范围。
通过AWS命令行界面CLI管理QuickSight中的身份传播配置。
bashaws quicksight updateidentitypropagationconfig awsAccountId ltyour account idgt service REDSHIFT authorizedTargets ltyour applicationARN1gt ltyour applicationARN2gt
使用受信任身份传播连接到Amazon Redshift在QuickSight控制台中,创建Redshift数据源,选择VPC并输入连接的数据库服务器信息。
通过这些步骤快速收集到数据源,并在QuickSight中验证连接。确保相关用户能够基于行级安全规则安全访问数据。
总结
本文介绍了如何通过受信任身份传播简化对分析数据的访问管理。通过集中管理数据访问权限,不仅满足了安全性需求,也大大提升了管理效率。
猎豹加速官网登录入口如有任何疑问或反馈,请随时留言。欲了解更多信息,可访问 QuickSight社区,与其他用户互动、交流和学习新的资源。
作者介绍
Asem Akhtar是AWS的高级GTM解决方案架构师,专注于数据分析。他在商业智能与数据分析解决方案的交付中积累了近30年的丰富经验。
Ashok Dasineni是Amazon QuickSight的解决方案架构师,专注于金融领域的数据解决方案,推进了多项创新性成果。
Raji Sivasubramaniam是AWS的首席解决方案架构师,专注于数据管理与分析,拥有多年的行业经验。
Srikanth Baheti是Amazon QuickSight的特化全球首席解决方案架构师,曾在多个行业中解决复杂的数据管理问题。
Camille Taylor是AWS的高级技术产品经理,专注于QuickSight的架构与治理,协助企业实现商业价值。
加载评论
让我们来架构吧!AWS上的DevOps最佳实践 架构博客
DevOps最佳实践在AWS上的架构设计作者:Luca Mezzalira Federica Ciuffo Laura Hyatt Vittorio Denti Zamira Jaupaj 发表于:2023年7月19日分类:架构、DevOps、思想领袖永久链接关键要点本文探讨了如何利用AWS实施De...