Come posso risolvere i problemi di sicurezza a livello di riga in QuickSight?

4 minuti di lettura

Ho applicato RLS al mio set di dati in Amazon QuickSight, ma ho problemi con l'accesso ai dati.

Breve descrizione

Di seguito sono riportati i problemi più comuni che si possono verificare quando si utilizza la sicurezza a livello di riga (RLS) sul set di dati Amazon QuickSight:

Non è possibile visualizzare alcun dato nella dashboard integrata di QuickSight per gli utenti anonimi di QuickSight.
Gli utenti con restrizioni possono comunque visualizzare tutti i dati.
Gli utenti senza restrizioni non possono vedere alcun dato.
Quando si applica RLS, viene visualizzato il codice di errore DatasetRulesInvalidColType.
Viene visualizzato il codice di errore DatasetRulesUserDenied quando si crea un'analisi.

RLS è caratterizzato dalle seguenti limitazioni:

RLS è disponibile solo per l'edizione Enterprise di QuickSight.
RLS supporta solo dati testuali, come string, char e varchar per i campi nella regola del set di dati. Attualmente, RLS non funziona per date o campi numerici.
Il set completo di record di regole applicati per utente non può superare 999. I set di dati con più di 999 regole potrebbero non riuscire ad applicare le regole RLS al set di dati.
Non è possibile applicare RLS a righe vuote con il valore null predefinito perché QuickSight considera null come un valore di campo vuoto. Tuttavia, gli spazi in un campo vengono trattati come un valore letterale, quindi la regola del set di dati si applica a queste righe.
Solo gli utenti aggiunti alla regola del set di dati possono visualizzare i dati in base alla regola definita. Gli altri utenti non possono vedere i dati.
Quando vengono utilizzati più campi nelle regole del set di dati, le regole funzionano come un operatore AND. L'operatore OR non è attualmente supportato.
Le regole basate su tag RLS sono supportate solo per le dashboard incorporate per utenti anonimi con l'API GenerateEmbedUrlForAnonymousUser. Se hai incorporato dashboard per utenti registrati con l'API GenerateEmbedUrlForRegisteredUser, utilizza regole a livello utente.

Soluzione

Non riesco a vedere alcun dato nella dashboard integrata di QuickSight per utenti anonimi

Se utilizzi regole basate su tag per la tua dashboard incorporata anonima, non puoi vedere o modificare i dati. Per visualizzare i dati, è necessario aggiungere regole RLS basate sull'utente al set di dati.

Nel seguente esempio di regola del set di dati, John Stiles può visualizzare i dati solo dal reparto Logistica. Martha Rivera può vedere tutti i dati del set di dati:

UserName,Department JohnStiles,Logistics
MarthaRivera,

Nota: è possibile applicare sia regole basate su tag che regole RLS basate sull'utente al tuo set di dati.

Gli utenti con restrizioni possono ancora vedere tutti i dati

Se un set di dati contiene troppe regole, anche se hai applicato correttamente RLS, gli utenti con restrizioni possono comunque vedere tutti i dati. Per risolvere questo problema, assicurati che il set di dati contenga solo 999 regole o meno. Se limiti gli utenti in base in base a UserName e hai più di 999 utenti nella regola del set di dati, crea gruppi QuickSight. Aggiungi gli utenti ai gruppi e usa GroupName invece di UserName nella regola del set di dati.

Gli utenti senza restrizioni non possono vedere alcun dato

Di seguito sono riportati i possibili motivi per cui gli utenti senza restrizioni non possono visualizzare i dati:

L'utente non esiste nella regola del set di dati. Controlla la regola del set di dati per verificare che tutti gli utenti previsti siano presenti.
UserName o GroupName non corrispondono agli utenti o ai gruppi in QuickSight. Controlla UserName o GroupName dalla regola del set di dati per verificare che corrispondano agli utenti o ai gruppi in QuickSight.

Riceverai il codice di errore DatasetRulesInvalidColType quando applichi RLS

L'errore DatasetRulesInvalidColType si verifica quando si utilizza RLS per date o campi numerici.

Controlla il campo utilizzato per valutare RLS nella regola del set di dati per verificare che il tipo di dati sia String. Puoi anche modificare il set di dati per convertire i campi numerici in String in QuickSight.

Riceverai il codice di errore DatasetRulesUserDenied quando crei un'analisi

Questo errore DataRulesUserDenied si verifica quando l'utente non è presente nella regola del set di dati. Per risolvere questo errore, aggiungi l'utente alla regola del set di dati, quindi aggiorna il set di dati.

Informazioni correlate

Using row-level security (RLS) with user-based rules to restrict access to a dataset

Using row-level security (RLS) with tag-based rules to restrict access to a dataset when embedding dashboards for anonymous users

Adding filter conditions (group filters) with AND and OR operators

Argomenti

Analisi

Tag

Amazon QuickSight

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso risolvere i problemi che si verificano quando utilizzo EC2 Connect per connettermi a un'istanza EC2?
AWS UFFICIALEAggiornata 5 mesi fa
Quali sono i problemi più comuni che possono verificarsi quando si utilizzano il backup e il ripristino nativi in RDS per SQL Server?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi relativi all'unione di origini dei dati in QuickSight?
AWS UFFICIALEAggiornata 3 anni fa
Come posso risolvere i problemi che si verificano quando aggiorno il sistema operativo SUSE sulla mia istanza EC2?
AWS UFFICIALEAggiornata un anno fa