¿Cómo soluciono los problemas de seguridad a nivel de fila en QuickSight?

5 minutos de lectura
0

He aplicado RLS a mi conjunto de datos en Amazon QuickSight, pero tengo problemas con el acceso a los datos.

Breve descripción

Los siguientes son problemas comunes que puede experimentar al usar la seguridad a nivel de fila (RLS) en su conjunto de datos de Amazon QuickSight:

  • No puede ver ningún dato en el panel integrado de QuickSight para los usuarios anónimos de QuickSight.
  • Los usuarios con restricciones aún pueden ver todos los datos.
  • Los usuarios sin restricciones no pueden ver ningún dato.
  • Recibe el código de error DatasetRulesInvalidColType al aplicar RLS.
  • Recibe el código de error DatasetRulesUserDenied al crear un análisis.

RLS tiene las siguientes limitaciones:

  • RLS solo está disponible para la edición Enterprise de QuickSight.
  • RLS solo admite datos textuales, como cadena, char y varchar, para los campos de la regla del conjunto de datos. Actualmente, RLS no funciona para fechas o campos numéricos.
  • El conjunto completo de registros de reglas que se aplican por usuario no puede superar los 999. Es posible que los conjuntos de datos con más de 999 reglas no apliquen las reglas de RLS al conjunto de datos.
  • No puede aplicar RLS a filas vacías con el valor nulo predeterminado porque QuickSight trata el valor nulo como un valor de campo vacío. Sin embargo, los espacios de un campo se tratan como un valor literal, por lo que la regla del conjunto de datos se aplica a estas filas.
  • Solo los usuarios que se agregan a la regla del conjunto de datos pueden ver los datos según la regla definida. Los demás usuarios no pueden ver los datos.
  • Cuando se utilizan varios campos en las reglas del conjunto de datos, las reglas funcionan como un operador Y. El operador O no es compatible actualmente.
  • Las reglas basadas en etiquetas de RLS solo se admiten en los paneles integrados para usuarios anónimos con la API GenerateEmbedUrlForAnonymousUser. Si ha incorporado paneles para usuarios registrados con la API GenerateEmbedUrlForRegisteredUser, utilice reglas a nivel de usuario.

Resolución

No puedo ver ningún dato en el panel integrado de QuickSight para los usuarios anónimos

Si utiliza reglas basadas en etiquetas para su panel integrado anónimo, no podrá ver ni modificar los datos. Para ver los datos, debe agregar reglas de RLS basadas en el usuario al conjunto de datos.

En el siguiente ejemplo de regla de conjunto de datos, Juan Martínez solo puede ver los datos del departamento de logística. Marta Rivera puede ver todos los datos del conjunto de datos:

UserName,Department JohnStiles,Logistics
MarthaRivera,

Nota: Puede aplicar reglas basadas en etiquetas y reglas de RLS basadas en usuarios en su conjunto de datos.

Los usuarios con restricciones aún pueden ver todos los datos

Si un conjunto de datos contiene demasiadas reglas, aunque haya aplicado correctamente la RLS, los usuarios con restricciones pueden seguir viendo todos los datos. Para resolver este problema, asegúrese de que su conjunto de datos contenga solo 999 reglas o menos. Si restringe los usuarios por UserName y tiene más de 999 usuarios en la regla de su conjunto de datos, cree grupos de QuickSight. Agregue los usuarios a los grupos y use GroupName lugar de UserName en la regla del conjunto de datos.

Los usuarios sin restricciones no pueden ver ningún dato

Estos son los posibles motivos por los que los usuarios sin restricciones no pueden ver los datos:

  • El usuario no existe en la regla del conjunto de datos. Verifique la regla del conjunto de datos para verificar que todos los usuarios previstos estén allí.
  • El UserName o GroupName no coinciden con los usuarios o grupos de QuickSight. Compruebe elUserName o GroupName de la regla del conjunto de datos para comprobar que coinciden con los usuarios o grupos de QuickSight.

Recibe el código de error DatasetRulesInvalidColType al aplicar RLS

El error DatasetRulesInvalidColType se produce cuando se usa RLS para fechas o campos numéricos.

Compruebe el campo que se usa para evaluar el RLS en la regla del conjunto de datos para verificar que el tipo de datos sea Cadena. También puede editar el conjunto de datos para convertir los campos numéricos en cadenas en QuickSight.

Recibe el código de error DatasetRulesUserDenied al crear un análisis

Este error DataRulesUserDenied se produce cuando el usuario no está en la regla del conjunto de datos. Para resolver este error, agregue el usuario a la regla del conjunto de datos y, a continuación, actualice el conjunto de datos.

Información relacionada

Uso de la seguridad a nivel de fila (RLS) con reglas basadas en el usuario para restringir el acceso a un conjunto de datos

Uso de la seguridad a nivel de fila (RLS) con reglas basadas en etiquetas para restringir el acceso a un conjunto de datos al incrustar paneles para usuarios anónimos

Agregar condiciones de filtro (filtros de grupo) con operadores Y y O

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 6 meses