AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie behebe ich Sicherheitsprobleme auf Zeilenebene in QuickSight?

Lesedauer: 4 Minute

Ich habe RLS auf meinen Datensatz in Amazon QuickSight angewendet, aber ich habe Probleme mit dem Datenzugriff.

Kurzbeschreibung

Die folgenden Probleme können häufig auftreten, wenn du Sicherheit auf Zeilenebene (RLS) für den Amazon-QuickSight-Datensatz verwendest:

Im eingebetteten QuickSight-Dashboard kannst du keine Daten für anonyme QuickSight-Benutzer sehen.
Eingeschränkte Benutzer können weiterhin alle Daten sehen.
Uneingeschränkte Benutzer können keine Daten sehen.
Du erhältst den Fehlercode DatasetRulesInvalidColType, wenn du RLS anwendest.
Du erhältst den Fehlercode DatasetRulesUserDenied, wenn du eine Analyse erstellst.

RLS hat die folgenden Einschränkungen:

RLS ist nur für die Enterprise Edition von QuickSight verfügbar.
RLS unterstützt nur Textdaten wie string, char und varchar für Felder in der Datensatzregel. Derzeit funktioniert RLS nicht für Datums- oder numerische Felder.
Der gesamte Satz von Regeldatensätzen, die pro Benutzer:in angewendet werden, darf 999 nicht überschreiten. Datensätze mit mehr als 999 Regeln wenden möglicherweise keine RLS-Regeln auf den Datensatz an.
Du kannst RLS nicht auf leere Zeilen mit dem Standard-Nullwert anwenden, da QuickSight Null als leeren Feldwert behandelt. Leerzeichen in einem Feld werden jedoch als literaler Wert behandelt, sodass die Datensatzregel für diese Zeilen gilt.
Nur Benutzer, die der Datensatzregel hinzugefügt wurden, können die Daten sehen, die auf der definierten Regel basieren. Andere Benutzer können die Daten nicht sehen.
Wenn mehrere Felder in den Datensatzregeln verwendet werden, funktionieren die Regeln als AND-Operator. Der OR-Operator wird derzeit nicht unterstützt.
Regeln, die auf RLS-Tags basieren, werden nur für eingebettete Dashboards für anonyme Benutzer mit der GenerateEmbedUrlForAnonymousUser-API unterstützt. Wenn du Dashboards für registrierte Benutzer mit der GenerateEmbedUrlForRegisteredUser-API eingebettet hast, verwende Regeln auf Benutzerebene.

Lösung

Ich kann im eingebetteten QuickSight-Dashboard keine Daten für anonyme Benutzer sehen

Wenn du tagbasierte Regeln für das anonyme eingebettete Dashboard verwendest, kannst du die Daten weder sehen noch ändern. Um die Daten zu sehen, musst du dem Datensatz benutzerbasierte RLS-Regeln hinzufügen.

In der folgenden Beispiel-Datensatzregel kann John Stiles nur Daten aus der Logistikabteilung sehen. Martha Rivera kann alle Daten aus dem Datensatz sehen:

UserName,Department JohnStiles,Logistics
MarthaRivera,

Hinweis: Du kannst sowohl tagbasierte Regeln als auch benutzerbasierte RLS-Regeln auf den Datensatz anwenden.

Eingeschränkte Benutzer können weiterhin alle Daten sehen

Wenn ein Datensatz zu viele Regeln enthält, können eingeschränkte Benutzer auch dann alle Daten sehen, wenn du RLS erfolgreich angewendet hast. Um dieses Problem zu beheben, stelle sicher, dass der Datensatz nur 999 oder weniger Regeln enthält. Wenn du Benutzer nach UserName einschränkst und mehr als 999 Benutzer in der Datensatzregel hast, erstelle QuickSight-Gruppen. Füge die Benutzer zu den Gruppen hinzu und verwende GroupName anstelle von UserName in der Datensatzregel.

Uneingeschränkte Benutzer können keine Daten sehen

Im Folgenden sind mögliche Gründe aufgeführt, warum Benutzer mit uneingeschränkten Zugriffsrechten keine Daten sehen können:

Der/Die Benutzer:in ist in der Datensatzregel nicht vorhanden. Überprüfe die Datensatzregel, um sicherzustellen, dass alle vorgesehenen Benutzer vorhanden sind.
Der UserName oder GroupName stimmt nicht mit den Benutzern oder Gruppen in QuickSight überein. Überprüfe den UserName oder GroupName aus der Datensatzregel, um sicherzustellen, dass sie mit den Benutzern oder Gruppen in QuickSight übereinstimmen.

Du erhältst den Fehlercode DatasetRulesInvalidColType, wenn du RLS anwendest

Der DatasetRulesInvalidColType-Fehler tritt auf, wenn du RLS für Datums- oder numerische Felder verwendest.

Überprüfe das Feld, das zur Auswertung von RLS in der Datensatzregel verwendet wird, um sicherzustellen, dass der Datentyp Zeichenfolge ist. Du kannst den Datensatz auch bearbeiten, um numerische Felder in QuickSight in eine Zeichenfolge zu konvertieren.

Du erhältst den Fehlercode DatasetRulesUserDenied, wenn du eine Analyse erstellst

Dieser DataRulesUserDenied-Fehler tritt auf, wenn der/die Benutzer:in nicht in der Datensatzregel enthalten ist. Um diesen Fehler zu beheben, füge den/die Benutzer:in zur Datensatzregel hinzu und aktualisiere dann den Datensatz.

Relevanter Inhalt

Wie behebe ich AWS-Ressourcenberechtigungsfehler in QuickSight?
AWS OFFICIALAktualisiert vor 3 Monaten
Wie behebe ich Probleme mit verknüpften Datenquellen in QuickSight?
AWS OFFICIALAktualisiert vor einem Jahr
Wie greife ich in QuickSight auf verwaiste Ressourcen eines gelöschten Benutzers zu?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich den QuickSight-Fehler „An error occurred (AccessDeniedException)“, wenn ich eine eingebettete QuickSight-Dashboard-URL für nicht registrierte Benutzer generiere?
AWS OFFICIALAktualisiert vor 2 Jahren