Wie behebe ich Sicherheitsprobleme auf Zeilenebene in QuickSight?
Ich habe RLS auf meinen Datensatz in Amazon QuickSight angewendet, aber ich habe Probleme mit dem Datenzugriff.
Kurzbeschreibung
Die folgenden Probleme können häufig auftreten, wenn Sie Sicherheit auf Zeilenebene (RLS) für Ihren Amazon QuickSight-Datensatz verwenden:
- Im eingebetteten QuickSight-Dashboard können Sie keine Daten für anonyme QuickSight-Benutzer sehen.
- Eingeschränkte Benutzer können weiterhin alle Daten sehen.
- Uneingeschränkte Benutzer können keine Daten sehen.
- Sie erhalten den Fehlercode DatasetRulesInvalidColType, wenn Sie RLS anwenden.
- Sie erhalten den Fehlercode DatasetRulesUserDenied, wenn Sie eine Analyse erstellen.
Beachten Sie die folgenden Einschränkungen:
- RLS ist nur für die Enterprise Edition von QuickSight verfügbar.
- RLS unterstützt nur Textdaten wie String, Char und Varchar für Felder in der Datensatzregel. Derzeit funktioniert RLS nicht für Datums- oder numerische Felder.
- Der gesamte Satz von Regeldatensätzen, die pro Benutzer angewendet werden, darf 999 nicht überschreiten. Datensätze mit mehr als 999 Regeln wenden möglicherweise keine RLS-Regeln auf das Dataset an.
- Sie können RLS nicht auf leere Zeilen mit dem Standard-Nullwert anwenden, da QuickSight Null als leeren Feldwert behandelt. Leerzeichen in einem Feld werden jedoch als Literalwert behandelt, sodass die Datensatzregel für diese Zeilen gilt.
- Nur Benutzer, die der Datensatzregel hinzugefügt wurden, können die Daten sehen, die auf der definierten Regel basieren. Andere Benutzer können die Daten nicht sehen.
- Wenn mehrere Felder in den Datensatzregeln verwendet werden, funktionieren die Regeln als AND-Operator. Der OR-Operator wird derzeit nicht unterstützt.
- Regeln, die auf RLS-Tags basieren, werden nur für eingebettete Dashboards für anonyme Benutzer mit der GenerateEmbedURLForAnonymousUser-API unterstützt. Wenn Sie Dashboards für registrierte Benutzer mit der GenerateEmbedURLForRegisteredUser-API eingebettet haben, verwenden Sie Regeln auf Benutzerebene.
Lösung
Ich kann im eingebetteten QuickSight-Dashboard keine Daten für anonyme Benutzer sehen
Wenn Sie tagbasierte Regeln für Ihr anonymes eingebettetes Dashboard verwenden, können Sie die Daten weder sehen noch ändern. Um die Daten zu sehen, müssen Sie dem Datensatz benutzerbasierte RLS-Regeln hinzufügen.
In der folgenden Beispiel-Datensatzregel kann John Stiles nur Daten aus der Logistikabteilung sehen. Martha Rivera kann alle Daten aus dem Datensatz sehen:
UserName,Department JohnStiles,Logistics MarthaRivera,
**Hinweis:**Sie können sowohl tagbasierte Regeln als auch benutzerbasierte RLS-Regeln auf Ihren Datensatz anwenden.
Eingeschränkte Benutzer können weiterhin alle Daten sehen
Wenn ein Datensatz zu viele Regeln enthält, können eingeschränkte Benutzer auch dann alle Daten sehen, wenn Sie RLS erfolgreich angewendet haben. Um dieses Problem zu beheben, stellen Sie sicher, dass Ihr Datensatz nur 999 oder weniger Regeln enthält. Wenn Sie Benutzer nach UserName einschränken und mehr als 999 Benutzer in Ihrer Datensatzregel haben, erstellen Sie QuickSight-Gruppen. Fügen Sie die Benutzer zu den Gruppen hinzu und verwenden Sie GroupName anstelle von UserName in der Datensatzregel.
Uneingeschränkte Benutzer können keine Daten sehen
Im Folgenden sind mögliche Gründe aufgeführt, warum Benutzer mit uneingeschränkten Zugriffsrechten keine Daten sehen können:
- Der Benutzer ist in der Datensatzregel nicht vorhanden. Überprüfen Sie die Datensatzregel, um sicherzustellen, dass alle vorgesehenen Benutzer vorhanden sind.
- Der UserName oder GroupName stimmt nicht mit den Benutzern oder Gruppen in QuickSight überein. Überprüfen Sie den UserName oder GroupName aus der Datensatzregel, um sicherzustellen, dass sie mit den Benutzern oder Gruppen in QuickSight übereinstimmen.
Sie erhalten den Fehlercode DatasetRulesInvalidColType, wenn Sie RLS anwenden
Der DatasetRulesInvalidColType-Fehler tritt auf, wenn Sie RLS für Datums- oder numerische Felder verwenden.
Überprüfen Sie das Feld, das zur Auswertung von RLS in der Datensatzregel verwendet wird, um sicherzustellen, dass der Datentyp String ist. Sie können den Datensatz auch bearbeiten, um numerische Felder in QuickSight in eine Zeichenfolge zu konvertieren.
Sie erhalten den Fehlercode DatasetRulesUserDenied, wenn Sie eine Analyse erstellen
Dieser DataRulesUserDenied-Fehler tritt auf, wenn der Benutzer nicht in der Datensatzregel enthalten ist. Um diesen Fehler zu beheben, fügen Sie den Benutzer zur Datensatzregel hinzu und aktualisieren Sie dann den Datensatz.
Ähnliche Informationen
Hinzufügen von Filterbedingungen (Gruppenfilter) mit AND- und OR-Operatoren.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 10 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren