本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置 Amazon Quick Sight 对 Amazon 数据源的访问权限 配置 Amazon Quick Sight 对 Amazon 数据的访问权限 使用此部分可帮助您配置对其他 Amazon 服务中资源的访问权限。 我们建议您使用 SSL 来保护 Amazon Quick Sight 与您的数据源的连接。要使用 SSL,您必须拥有由公认的证书颁发机构(CA)签名的证书。Amazon Quick 不接受自签名证书或由非公共 CA 颁发的证书。有关更多信息,请参阅 [Amazon Quick SSL 和 CA 证书](https://docs.amazonaws.cn/quicksuite/latest/userguide/configure-access.html#network-configuration-requirements)。 **Topics** + [ # 所需的权限 ](required-permissions.md) + [ # 网络和数据库配置要求 ](configure-access.md) + [ # 允许自动发现资源 Amazon ](autodiscover-aws-data-sources.md) + [ # 授权从 Amazon Quick Sight 连接到 Amazon 数据存储 ](enabling-access.md) + [ # 在 Amazon Quick 中浏览你的 Amazon 数据 ](explore-in-quicksight.md) + [ # Amazon 服务操作连接器 ](builtin-services-integration.md) # 所需的权限 当您连接到需要用户名的 Amazon Quick Sight 数据源时,该用户名必须具有某些系统表的`SELECT`权限。这些权限允许 Amazon Quick Sight 执行诸如发现表架构和估算表格大小之类的事情。 下表列出了账户必须对其有 `SELECT` 权限的表,具体取决于您所连接的数据库类型。这些要求适用于您连接到的所有数据库实例,而与其环境无关。换句话说,无论您的数据库实例是位于本地、Amazon RDS 中、Amazon EC2 中,还是其他地方,它们都适用。 **** | 实例类型 | 表 | | --- | --- | | Amazon Aurora | `INFORMATION_SCHEMA.STATISTICS` `INFORMATION_SCHEMA.TABLES` | | Amazon Redshift | `pg_stats` `pg_class` `pg_namespace` | | MariaDB | `INFORMATION_SCHEMA.STATISTICS` `INFORMATION_SCHEMA.TABLES` | | Microsoft SQL Server | `DBCC SHOW_STATISTICS` `sp_statistics` | | MySQL | `INFORMATION_SCHEMA.STATISTICS` INFORMATION\$1SCHEMA.TABLES | | **Oracle** | DBA\$1TAB\$1COLS ALL\$1TABLES dba\$1segments all\$1segments user\$1segments | | PostgreSQL | `pg_stats` `pg_class` `pg_namespace` | | ServiceNow | `sys_dictionary (column metadata)` `sys_db_object (table metadata)` `sys_glide_object (field type metadata)` | **注意** 如果您使用的是 MySQL 或 PostgreSQL,请确认您在从允许的主机或 IP 地址进行连接。有关更多详细信息,请参阅[自管理实例的数据库配置要求](https://docs.amazonaws.cn/quicksuite/latest/userguide/configure-access.html#database-configuration-requirements)。 # 网络和数据库配置要求 要充当数据源,需要对数据库进行配置,以便 Amazon Quick 可以访问它们。下面几部分内容可确保您的数据库配置正确。 **重要** 由于 Amazon EC2 上的数据库实例由您管理 Amazon,而不是由您管理,因此它必须满足[网络配置要求](https://docs.amazonaws.cn/quicksuite/latest/userguide/configure-access.html#network-configuration-requirements)以及[自管理实例的数据库配置要求](https://docs.amazonaws.cn/quicksuite/latest/userguide/configure-access.html#database-configuration-requirements)。 **Topics** + [ ## 网络配置要求 ](#network-configuration-requirements) + [ ## 自主管理实例的数据库配置要求 ](#database-configuration-requirements) ## 网络配置要求 | | | --- | |    目标受众:系统管理员  | 要使用 Amazon Quick 上的数据库服务器,必须能够通过互联网访问您的服务器。它还必须允许来自 Amazon Quick 服务器的入站流量。 如果数据库已开启 Amazon 且与您的 Amazon Quick 账户 Amazon Web Services 区域 相同,则可以自动发现该实例,以便更轻松地连接到该实例。为此,您必须向 Amazon Quick 授予访问权限。有关更多信息,请参阅[访问数据源](https://docs.amazonaws.cn/quicksight/latest/user/access-to-aws-resources.html)。 **Topics** + [ ### 默认 VPC 中 Amazon 实例的网络配置 ](#network-configuration-aws-default-vpc) + [ ### 非默认 VP Amazon C 中实例的网络配置 ](#network-configuration-aws-nondefault-vpc) + [ ### 私有 VPC 中 Amazon 实例的网络配置 ](#network-configuration-aws-private-vpc) + [ ### 不在 VPC 中的 Amazon 实例的网络配置 ](#network-configuration-aws-no-vpc) + [ ### 除之外的数据库实例的网络配置 Amazon ](#network-configuration-not-aws) ### 默认 VPC 中 Amazon 实例的网络配置 在某些情况下,您的数据库可能位于您在默认 VPC 中创建的 Amazon 集群或实例上。因此可以公开访问(也就是说,您没有选择将它设为私有)。在这种情况下,您的数据库已正确配置为可从 Internet 访问。但是,您仍然需要允许从 Amazon Quick 服务器访问您的 Amazon 集群或实例。有关如何执行此操作的详细信息,请选择下面的相应主题: + [授权从 Amazon Quick 到 Amazon RDS 数据库实例的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-rds.html) + [授权从 Amazon Quick 到 Amazon Redshift 集群的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-redshift.html) + [授权从 Amazon Quick 到 Amazon EC2 实例的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-ec2.html) ### 非默认 VP Amazon C 中实例的网络配置 如果您在非默认 VPC 中配置 Amazon 实例,请确保该实例可公开访问并且 VPC 具有以下特性: + Internet 网关。 + 公有子网。 + 路由表中互联网网关和 Amazon 实例之间的路由。 + 您的 VPC 中的网络访问控制列表 (ACLs),允许集群或实例与 Amazon Quick 服务器之间的流量。这些 ACLs 必须做到以下几点: + 允许来自相应的 Amazon Quick IP 地址范围和所有端口的入站流量到数据库正在监听的 IP 地址和端口。 + 允许从数据库的 IP 地址和端口到相应的 Amazon Quick IP 地址范围和所有端口的出站流量。 有关 Amazon Quick IP 地址范围的更多信息,请参阅下面的 [Amazon Quick 的 IP 地址范围](https://docs.amazonaws.cn/quicksuite/latest/userguide/regions.html)。 有关配置 VPC 的更多信息 ACLs,请参阅[网络 ACLs](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_ACLs.html)。 + 允许集群或实例与 Amazon Quick 服务器之间的流量的安全组规则。有关如何创建相应安全组规则的更多详细信息,请参阅[授权与 Amazon 数据源的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access.html)。 有关在 Amazon VPC 服务中配置 VPC 的更多信息,请参阅 [VPC 中的联网](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Networking.html)。 ### 私有 VPC 中 Amazon 实例的网络配置 如果您的数据库位于您在私有 VPC 中创建的 Amazon 集群或实例上,则可以将其与 Amazon Quick 配合使用。有关更多信息,请参阅使用 Amazon [Quick 连接到亚马逊 VPC](https://docs.amazonaws.cn/quicksight/latest/user/working-with-aws-vpc.html)。 有关 Amazon VPC 的更多信息,请参阅 [Amazon VPC](https://www.amazonaws.cn/vpc/) 和 [Amazon VPC 文档](https://docs.amazonaws.cn/vpc/)。 ### 不在 VPC 中的 Amazon 实例的网络配置 如果您正在配置不在 VPC 中的 Amazon 实例,请确保该实例可公开访问。此外,请确保有安全组规则允许集群或实例与 Amazon Quick 服务器之间的流量。有关如何执行此操作的详细信息,请选择下面的相应主题: + [授权从 Amazon Quick 到 Amazon RDS 数据库实例的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-rds.html) + [授权从 Amazon Quick 到 Amazon Redshift 集群的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-redshift.html) + [授权从 Amazon Quick 到 Amazon EC2 实例的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-ec2.html) ### 除之外的数据库实例的网络配置 Amazon 要使用 SSL 保护您的数据库连接安全(*推荐*),请确保您拥有由获得认可的证书颁发机构(CA)签发的证书。Amazon Quick 不接受自签名证书或由非公共 CA 颁发的证书。有关更多信息,请参阅 [Amazon Quick SSL 和 CA 证书](https://docs.amazonaws.cn/quicksuite/latest/userguide/configure-access.html#database-configuration-requirements)。 如果您的数据库位于其他服务器上 Amazon,则必须更改该服务器的防火墙配置以接受来自相应 Amazon Quick IP 地址范围的流量。有关 Amazon Quick IP 地址范围的更多信息,请参阅 [Amazon Quick 的 IP 地址范围](https://docs.amazonaws.cn/quicksuite/latest/userguide/regions.html)。有关启用 Internet 连接所需执行的任何其他步骤,请参阅您的操作系统文档。 #### Amazon 快速 SSL 和 CA 证书 我们建议您使用由 Certifice M [anager (ACM) 颁发的公共Amazon 证书](https://docs.amazonaws.cn/acm/latest/userguide/)。Amazon Quick 支持与 Mozilla 相同的证书颁发机构 (CAs),因此,如果您不使用 ACM,请使用 M [ozilla 包含的 CA 证书列表中由 CA](https://wiki.mozilla.org/CA/Included_Certificates) 颁发的证书。 #### Amazon Quick 的 IP 地址范围 有关支持区域中 Amazon Quick 的 IP 地址范围的更多信息,请参阅[Amazon 区域、网站、IP 地址范围和终端节点](https://docs.amazonaws.cn/quicksight/latest/user/regions.html)。 ## 自主管理实例的数据库配置要求 | | | --- | |    目标受众:系统管理员和 Amazon Quick 管理员  | 为了使 Amazon Quick 能够访问数据库,它必须满足以下标准: + 它必须可从 Internet 访问。要启用 Internet 连接,请参阅您的数据库管理系统文档。 + 它必须配置为接受连接,并使用您在创建数据集时提供的用户凭证对访问进行身份验证。 + 如果您连接到的是 MySQL 或 PostgreSQL,则数据库引擎必须可从您的主机或 IP 范围访问。在 MySQL 或 PostgreSQL 连接设置中指定此可选安全限制。如果存在此限制,任何来自非指定主机或 IP 地址的连接尝试都会被拒绝,即使您有正确的用户名和密码也是如此。 + 在 MySQL 中,仅当用户和主机在用户表中验证后服务器才会接受连接。有关更多信息,请参阅 MySQL 文档中的[访问控制阶段 1:连接验证](https://dev.mysql.com/doc/refman/5.7/en/connection-access.html)。 + 在 PostgreSQL 中,您可以使用数据库集群数据目录中的 `pg_hba.conf` 文件来控制客户端身份验证。但是,此文件在您的系统中可能有不同的名称和位置。有关更多信息,请参阅 PostgreSQL 文档中的[客户端身份验证](https://www.postgresql.org/docs/9.3/static/client-authentication.html)。 # 允许自动发现资源 Amazon | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 您从 Amazon Quick 访问的每项 Amazon 服务都需要允许来自 Quick 的流量。Quick 管理员无需单独打开每个服务控制台来添加权限,而可以在管理屏幕中执行此操作。在开始之前,确保满足以下要求。 如果您选择为 Quick 账户启用 Amazon 资源自动发现功能,Quick 将在您的账户中创建一个 Amazon Identity and Access Management (IAM) 角色。 Amazon Web Services 账户此 IAM 角色向您的账户授予识别和检索数据源 Amazon 数据的权限。 由于 Amazon 限制了您可以创建的 IAM 角色的数量,因此请确保您至少有一个免费角色。如果你想让 Amazon Quick 自动发现你的 Amazon 资源,你需要这个角色才能让 Amazon Quick 使用。 您可以让 Amazon Quick 自动发现与您的关联的 Amazon RDS 数据库实例或 Amazon Redshift 集群。 Amazon Web Services 账户这些资源必须与您的 Amazon Quick 账户位于同一 Amazon Web Services 区域 位置。 如果您选择启用自动发现,请选择以下选项之一以使 Amazon 资源可供访问: + 对于您在默认 VPC 中创建但未设为私有的 Amazon RDS 数据库实例,或者不在 VPC 中的实例(EC2-Classic 实例),请参阅[授权从 Amazon Quick 到 Amazon RDS 实例的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-rds.html)。在本主题中,您可以找到有关创建安全组以允许来自 Amazon Quick 服务器的连接的信息。 + 对于您在默认 VPC 中创建但未选择私有化的 Amazon Redshift 集群,或者不在 VPC 中的集群(即 EC2-Classic 实例),请参阅[授权从 Amazon Quick 到 Amazon Redshift 集群的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-redshift.html)。在本主题中,您可以找到有关创建安全组以允许来自 Amazon Quick 服务器的连接的信息。 + 有关位于非默认 VPC 中的 Amazon RDS 数据库实例或 Amazon Redshift 集群,[请参阅授权从 Amazon Quick 到 Amazon RDS 实例的连接或授权从 Amazon Quick 到](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-rds.html) [Amazon Redshift 集群的连接](https://docs.amazonaws.cn/quicksight/latest/user/enabling-access-redshift.html)。在这些主题中,您可以找到有关首先创建安全组以允许来自 Amazon Quick 服务器的连接的信息。此外,您还可以找到有关如何验证 VPC 是否满足[非默认 VPC 中 Amazon 实例的网络配置中描述的](https://docs.amazonaws.cn/quicksight/latest/user/configure-access.html#network-configuration-aws-nondefault-vpc)要求的信息。 + 如果您不使用私有 VPC,请将 Amazon RDS 实例设置为允许从 Amazon Quick 区域的公有 IP 地址进行连接。 启用自动发现是在 Amazon Quick 中提供这些数据的最简单方法。您仍然可以手动创建数据连接,无论是否启用自动发现。 # 授权从 Amazon Quick Sight 连接到 Amazon 数据存储 在中使用数据 Amazon | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 要让 Amazon Quick Sight 访问您的 Amazon 资源,您必须为这些资源创建安全组,以授权来自 Amazon Quick Sight 服务器使用的 IP 地址范围的连接。您必须拥有允许您访问这些 Amazon 资源的 Amazon 凭证才能修改其安全组。 使用以下各节中的步骤启用 Amazon Quick Sight 连接。 **Topics** + [ # 授权从 Amazon Quick Sight 到 Amazon RDS 数据库实例的连接 ](enabling-access-rds.md) + [ # 授权从 Amazon Quick Sight 到亚马逊 Redshift 集群的连接 ](enabling-access-redshift.md) + [ # 授权从 Amazon Quick 到 Amazon EC2 实例的连接 ](enabling-access-ec2.md) + [ # 通过以下方式授权连接 Amazon Lake Formation ](lake-formation.md) + [ # 授权连接到 Amazon 服务 OpenSearch ](opensearch.md) + [ # 授权连接到 Amazon Athena ](athena.md) + [ # 数据访问集成 ](data-access-integrations.md) # 授权从 Amazon Quick Sight 到 Amazon RDS 数据库实例的连接 Amazon RDS | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 要让 Amazon Quick Sight 连接到 Amazon RDS 数据库实例,您必须为该数据库实例创建一个新的安全组。该安全组包含一条入站规则,授权从相应的 IP 地址范围内访问该安全组中的 Quick 服务器。 Amazon Web Services 区域要了解有关授权快速连接的更多信息,请参阅[手动启用对 VPC 中的 Amazon RDS 实例的访问权限或手动启用对不在 VPC](https://docs.amazonaws.cn/quicksight/latest/user/rds-vpc-access.html) [中的 Amazon RDS 实例的](https://docs.amazonaws.cn/quicksight/latest/user/rds-classic-access.html)访问权限。 要了解有关手动授权 Amazon Quick Sight 连接的更多信息,请参阅[手动启用对 VPC 中的 Amazon RDS 实例的访问权限或手动启用对不在](https://docs.amazonaws.cn/quicksight/latest/user/rds-vpc-access.html) [Amazon VPC 中的 Amazon RDS 实例](https://docs.amazonaws.cn/quicksight/latest/user/rds-classic-access.html)的访问权限。 要为 Amazon RDS 数据库实例创建和分配安全组,您必须具有允许访问该数据库实例的 Amazon 凭证。 启用从 Amazon Quick 服务器到您的实例的连接只是基于 Amazon 数据库数据源创建数据集的几个先决条件之一。有关所需内容的更多信息,请参阅[从数据库创建数据集](https://docs.amazonaws.cn/quicksight/latest/user/create-a-database-data-set.html)。 **Topics** + [ ## 手动启用 Amazon Quick Sight 对 VPC 中的 Amazon RDS 实例的访问权限 ](#rds-vpc-access) + [ ## 手动允许从 Amazon Quick Sight 访问不在 VPC 中的 Amazon RDS 实例 ](#rds-classic-access) ## 手动启用 Amazon Quick Sight 对 VPC 中的 Amazon RDS 实例的访问权限 使用 VPC 的 Amazon RDS 使用以下步骤启用 Amazon Quick Sight 对 VPC 中的 Amazon RDS 数据库实例的访问权限。如果您的 Amazon RDS 数据库实例位于私有子网(与 Amazon Quick 有关)或已连接互联网网关的子网中,请参阅[使用 Amazon Quick 连接到 VPC](https://docs.amazonaws.cn/quicksight/latest/user/working-with-aws-vpc.html)。 **启用 Amazon Quick Sight 访问 VPC 中的 Amazon RDS 数据库实例** 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon RDS 控制台,网址为[https://console.aws.amazon.com/rds/](https://console.amazonaws.cn/rds/)。 1. 选择 **Databases (数据库)**,找到数据库实例并查看其详细信息。为此,请直接单击其名称(**DB identifier (数据库标识符)** 列中的超链接)。 1. 找到 **Port (端口)** 并记下 **Port (端口)** 值。这可以是一个数字或一个范围。 1. 找到 **VPC** 并记下 **VPC** 值。 1. 选择该 **VPC** 值以打开 VPC 控制台。在 Amazon VPC 管理控制台的导航窗格中,选择**安全组**。 1. 选择**创建安全组**。 1. 在 **Create Security Group** 页面上,输入安全组信息,如下所示: + 对于**名称标签**和**组名称**,输入 **Amazon-QuickSight-access**。 + 对于**描述**,输入 **Amazon-QuickSight-access**。 + 对于 **VPC**,选择实例的 VPC。这是具有您之前记下的 **VPC ID** 的 VPC。 1. 选择**创建**。在确认页面上,记下 **Security Group ID (安全组 ID)**。选择 **Close (关闭)** 以退出此屏幕。 1. 从列表中选择新的安全组,然后从下面的选项卡列表中选择 **Inbound Rules (入站规则)**。 1. 选择 **Edit rules (编辑规则)** 来创建新的规则。 1. 在 **Edit inbound rules (编辑入站规则)** 页面上,选择 **Add rule (添加规则)** 以创建新的规则。 使用以下值: + 对于 **Type(类型)**,选择 **Custom TCP Rule(自定义 TCP 规则)**。 + 对于**协议**,选择 **TCP**。 + 对于**端口范围**,输入 Amazon RDS 集群的端口号或范围。此端口号(或范围)是您之前记下的端口号(或范围)。 + 对于 **Source (源)**,从列表中选择 **Custom (自定义)**。在 “自定义” 一词旁边,输入您计划在 Amazon Web Services 区域 哪里使用 Amazon Quick 的 CIDR 地址块。 例如,对于欧洲地区(爱尔兰),您可以输入欧洲地区(爱尔兰)的 CIDR 地址块:`52.210.255.224/27`。有关支持的 Amazon Quick 的 IP 地址范围的更多信息 Amazon Web Services 区域,请参阅[Amazon 区域、网站、IP 地址范围和终端节点](https://docs.amazonaws.cn/quicksight/latest/user/regions.html)。 **注意** 如果您已多次激活 Amazon Quick Amazon Web Services 区域,则可以为每个 Amazon Quick 终端节点 CIDR 创建入站规则。这样做可以让 Amazon Quick 从入站规则中定义的任何 Amazon 区域访问 Amazon RDS 数据库实例。 任何同时使用 Amazon Quick 的用户都 Amazon Web Services 区域 被视为单个用户。换句话说,即使你在每个地方都使用Amazon Quick Amazon Web Services 区域,你的亚马逊快捷订阅(有时称为 “账户”)和你的用户都是全球性的。 1. 在**描述**中,输入有用的描述,例如 “*Europe (Ireland) QuickSight*”。 1. 选择 **Save rules (保存规则)** 以保存您的新入站规则。然后选择**关闭**。 1. 返回数据库实例的详细视图。返回 Amazon RDS 控制台([https://console.amazonaws.cn/rds/](https://console.amazonaws.cn/rds/))并选择**数据库**。 1. 选择相关 RDS 实例的数据库标识符。选择 **Modify**(修改)。无论您是从数据库屏幕还是数据库实例屏幕选择“Modify (修改)”,都会显示相同的屏幕:**Modify DB Instance (修改数据库实例)**。 1. 找到 **Network & Security (网络与安全性)** 部分(从顶部开始的第三部分)。 已为 **Security Group (安全组)** 选择当前已分配的安全组。除非您确定,否则不要删除任何现有安全组。 相反,请选择您的新安全组以将其添加到其他选定组。如果您使用之前建议的名称,则该群组的命名可能与 **Amazon QuickSight-acces** s 类似。 1. 滚动到屏幕底部。选择 **Continue (继续)**,然后选择 **Modify DB Instance (修改数据库实例)**。 1. 选择 **Apply during the next scheduled maintenance (在下一个计划的维护期间应用)**(此屏幕显示何时执行此操作)。 请不要选择 **Apply immediately (立即应用)**。执行此操作还会应用待处理修改队列中的任何其他更改。其中一些更改可能要求停机。如果在维护时段之外使服务器停机,则可能会给此数据库实例的用户带来一个问题。在应用即时更改之前,请咨询您的系统管理员。 1. 选择 **Modify DB Instance (修改数据库实例)** 以确认更改。然后,等待下一个维护时段经过。 ## 手动允许从 Amazon Quick Sight 访问不在 VPC 中的 Amazon RDS 实例 不使用 VPC 的 Amazon RDS 可以使用以下过程访问不在 VPC 中的 Amazon RDS 数据库实例。您可以使用 RDS 控制台上的 “**修改**”、`ModifyDBInstance` Amazon RDS API 或`modify-db-instance` Amazon CLI 命令将安全组与数据库实例关联。 **注意** 包含此部分以实现向后兼容性。 **使用控制台访问不在 VPC 中的 Amazon RDS 数据库实例** 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon RDS 控制台,网址为[https://console.aws.amazon.com/rds/](https://console.amazonaws.cn/rds/)。 1. 依次选择 **Databases (数据库)**、数据库实例和 **Modify (修改)**。 1. 在导航窗格中,选择 **Security Groups**。 1. 选择 **Create DB Security Group**。 1. 对于**名称**和**描述**值,输入 **Amazon-QuickSight-access**,然后选择**创建**。 1. 默认情况下会选择新的安全组。 选择该安全组旁边的详细信息图标,如下所示。 1. 对于 **Connection Type**,选择 **CIDR/IP**。 1. 对于**要授权的 CIDR/IP**,输入相应的 CIDR 地址块。有关支持的 Amazon Quick 的 IP 地址范围的更多信息 Amazon Web Services 区域,请参阅[Amazon 区域、网站、IP 地址范围和终端节点](https://docs.amazonaws.cn/quicksight/latest/user/regions.html)。 1. 选择**授权**。 1. 返回到 Amazon RDS 管理控制台的**实例**页面,选择要启用访问权限的实例,选择**实例操作**,然后选择**修改**。 1. 在 **Network & Security** 部分,已为 **Security Group** 选择当前已分配的一个或多个安全组。除了其他选定的群组外,按 CTRL 键并选择 **Amazon QuickSight-acces** s。 1. 选择 **Continue**,然后选择 **Modify DB Instance**。 # 授权从 Amazon Quick Sight 到亚马逊 Redshift 集群的连接 Amazon Redshift | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 您可以使用三种身份验证方法提供对 Amazon Redshift 数据的访问权限:可信身份传播、运行方式 IAM 角色或 Amazon Redshift 数据库凭证。 利用可信身份传播,用户的身份可以通过由 IAM Identity Center 管理的单点登录传递到 Amazon Redshift。在 Amazon Quick Sight 中访问控制面板的用户会将其身份传播到亚马逊 Redshift。在 Amazon Redshift 中,在数据以 Amazon Quick 资产形式呈现给用户之前,会对数据应用精细的数据权限。Amazon Quick 作者无需输入密码或 IAM 角色即可连接到 Amazon Redshift 数据源。如果使用 Amazon Redshift Spectrum,则所有权限管理都集中在 Amazon Redshift 中。当 Amazon Quick 和 Amazon Redshift 使用相同的 IAM 身份中心组织实例时,支持可信身份传播。以下功能当前不支持可信身份传播。 + SPICE 数据集 + 数据来源上的自定义 SQL + 警报 + 电子邮件报告 + Amazon Quick Q + CSV、Excel 和 PDF 导出 + 异常检测 要让 Amazon Quick 连接到 Amazon Redshift 实例,您必须为该实例创建一个新的安全组。该安全组包含一条入站规则,该规则授权从相应的 IP 地址范围内访问该安全组中的 Amazon Quick 服务器。 Amazon Web Services 区域要了解有关授权 Amazon Quick 连接的更多信息,请参阅[在 VPC 中手动启用对 Amazon Redshift 集群的访问权限](https://docs.amazonaws.cn/quicksight/latest/user/redshift-vpc-access.html)。 启用从 Amazon Quick 服务器到您的集群的连接只是基于 Amazon 数据库数据源创建数据集的几个先决条件之一。有关所需内容的更多信息,请参阅[从数据库创建数据集](https://docs.amazonaws.cn/quicksuite/latest/userguide/create-a-database-data-set.html)。 **Topics** + [ ## 使用 Amazon Redshift 启用可信身份传播 ](#redshift-trusted-identity-propagation) + [ ## 手动启用 VPC 中的 Amazon Redshift 集群的访问权限 ](#redshift-vpc-access) + [ ## 启用对 Amazon Redshift Spectrum 的访问 ](#redshift-spectrum-access) ## 使用 Amazon Redshift 启用可信身份传播 启用可信身份传播 当最终用户访问利用支持可信身份传播的数据源的 Amazon Quick 资产时,可信身份传播会在 Amazon Redshift 中对其进行身份验证。当作者创建具有可信身份传播的数据源时,Amazon Quick Sight 中数据源使用者的身份会被传播并登录 CloudTrail。这允许数据库管理员在 Amazon Redshift 中集中管理数据安全,并自动将所有数据安全规则应用于 Amazon Quick 中的数据使用者。对于其他身份验证方法,创建数据来源的作者的数据权限将应用于所有数据来源消费者。数据源作者可以选择对他们在 Amazon Quick Sight 中创建的数据源应用额外的行和列级安全保护。 仅 Direct Query 数据集支持可信身份传播数据来源。SPICE 数据集目前不支持可信身份传播。 **Topics** + [ ### 先决条件 ](#redshift-trusted-identity-propagation-prerequisites) + [ ### 在 Amazon Quick Sight 中启用可信身份传播 ](#redshift-trusted-identity-propagation-enable) + [ ### 使用可信身份传播连接到 Amazon Redshift ](#redshift-trusted-identity-propagation-connect) ### 先决条件 在开始之前,请确保您已准备好所有必需的先决条件。 + 只有与 IAM 身份中心集成的 Amazon Quick 账户才支持可信身份传播。有关更多信息,请参阅[使用 IAM 身份中心配置您的 Amazon Quick 账户](https://docs.amazonaws.cn/quicksight/latest/user/sec-identity-management-identity-center.html)。 + 与 IAM Identity Center 集成的 Amazon Redshift 应用程序。您使用的 Amazon Redshift 集群必须与您要使用的 Amazon Quick 账户位于同一个组织中 Amazon Organizations 。集群还必须使用您的 Amazon Quick 账户配置的 IAM 身份中心中相同的组织实例。有关配置 Amazon Redshift 集群的更多信息,请参阅[集成 IAM Identity Center](https://docs.amazonaws.cn/redshift/latest/mgmt/redshift-iam-access-control-idp-connect.html)。 ### 在 Amazon Quick Sight 中启用可信身份传播 要将 Amazon Quick Sight 配置为通过可信身份传播连接到亚马逊 Redshift 数据源,请将 Amazon OAuth Redshift 范围配置到您的 Amazon Quick 账户。 要添加允许 Amazon Quick 授权向 Amazon Redshift 传播身份的范围,请指定 Amazon Quick 账户的 Amazon Web Services 账户 ID 以及您想要授权身份传播的服务(在本例中为该服务)。`'REDSHIFT'` 指定您正在授权 Amazon Quick 向其传播用户身份的 Amazon Redshift 集群的 IAM 身份中心应用程序 ARN。此信息可在 Amazon Redshift 控制台中找到。如果您没有为 Amazon Redshift 范围指定授权目标,Amazon Quick 会授权来自任何共享相同 IAM 身份中心实例的 Amazon Redshift 集群的用户。以下示例将 Amazon Quick 配置为通过可信身份传播连接到 Amazon Redshift 数据源。 ``` aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" ``` 以下示例从 Amazon Quick 账户中删除 OAuth 范围。 ``` aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" ``` 以下示例列出了 Amazon Quick 账户中当前存在的所有 OAuth 范围。 ``` aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID" ``` ### 使用可信身份传播连接到 Amazon Redshift 使用以下过程连接到 Amazon Redshift 可信身份传播。 **使用可信身份传播连接到 Amazon Redshift** 1. 在 Amazon Quick 中创建新的数据集。有关创建数据集的更多信息,请参阅[创建数据集](https://docs.amazonaws.cn/quicksight/latest/user/creating-data-sets.html)。 1. 选择 Amazon Redshift 作为新数据集的数据来源。 **注意** 现有数据来源的身份验证类型无法更改为可信身份传播 1. 选择 IAM Identity Center 作为数据来源的身份选项,然后选择**创建数据来源**。 ## 手动启用 VPC 中的 Amazon Redshift 集群的访问权限 允许访问 VPC 中的 Amazon Redshift 集群 | | | --- | |  适用于:企业版  | 使用以下步骤启用 Amazon Quick Sight 对 VPC 中的 Amazon Redshift 集群的访问权限。 **启用 Amazon Quick Sight 访问 VPC 中的 Amazon Redshift 集群** 1. 登录 Amazon Web Services 管理控制台 并打开亚马逊 Redshift 控制台,网址为。[https://console.aws.amazon.com/redshiftv2/](https://console.amazonaws.cn/redshiftv2/) 1. 导航到您要在 Amazon Quick 中提供的集群。 1. 在**集群属性**部分中,找到**端口**。记下 **Port** 值。 1. 在**集群属性**部分中找到 **VPC ID**,记下 **VPC ID** 值。选择 **VPC ID** 以打开 Amazon VPC 控制台。 1. 在 Amazon VPC 控制台上,选择导航窗格中的**安全组**。 1. 选择**创建安全组**。 1. 在 **Create Security Group** 页面上,输入安全组信息,如下所示: + 对于**安全组名称**,输入 **redshift-security-group**。 + 对于**描述**,输入 **redshift-security-group**。 + 对于 **VPC**,为您的 Amazon Redshift 集群选择 VPC。这是您记下 ID 的 VPC。 1. 选择**创建安全组**。 您的新安全组应显示在屏幕上。 1. 使用以下属性创建第二个安全组。 + 对于**安全组名称**,输入 **quicksight-security-group**。 + 对于**描述**,输入 **quicksight-security-group**。 + 对于 **VPC**,为您的 Amazon Redshift 集群选择 VPC。这是您记下 ID 的 VPC。 1. 选择**创建安全组**。 1. 创建新的安全组后,为新组创建入站规则。 选择新的 `redshift-security-group` 安全组,然后输入以下值。 + 对于**类型**,选择 **Amazon Redshift**。 + 对于**协议**,选择 **TCP**。 + 对于**端口范围**,请输入您要提供访问权限的 Amazon Redshift 集群的端口号。此端口号是您在先前步骤中记下的端口号。 + 对于**来源**,输入 `quicksight-security-group` 的安全组 ID。 1. 选择 **Save rules (保存规则)** 以保存您的新入站规则。 1. 对 `quicksight-security-group` 重复上一步并输入以下值。 + 对于**类型**,请选择**所有流量**。 + 对于**协议**,选择**全部**。 + 对于**端口范围**,选择**全部**。 + 对于**来源**,输入 `redshift-security-group` 的安全组 ID。 1. 选择 **Save rules (保存规则)** 以保存您的新入站规则。 1. 在 Amazon Quick 中,导航至 “**管理亚马逊快捷方式**” 菜单。 1. 选择**管理 VPC 连接**,然后选择**添加 VPC 连接**。 1. 为新 VPC 连接配置以下值。 + 对于 **VPC 连接名称**,为 VPC 连接选择一个有意义的名称。 + 对于 **VPC ID**,选择 Amazon Redshift 集群所在的 VPC。 + 对于**子网 ID**,为用于 Amazon Redshift 的可用区(AZ)选择子网。 + 对于**安全组 ID**,复制并粘贴 `quicksight-security-group` 的安全组 ID。 1. 选择**创建**。新的 VPC 可能需要几分钟才能生成。 1. 在 Amazon Redshift 控制台中,导航到 `redshift-security-group` 配置为的 Amazon Redshift 集群。选择**属性**。在**网络和安全设置**下,输入安全组的名称。 1. 在 Amazon Quick 中,选择**数据集**,然后选择**新建数据集**。创建具有以下值的新数据集。 + 对于**数据来源**,选择 **Amazon Redshift 自动发现**。 + 为数据来源指定一个有意义的名称。 + 实例 ID 应使用您在 Amazon Quick 中创建的 VPC 连接自动填充。如果实例 ID 未自动填充,请从下拉列表中选择您创建的 VPC。 + 输入数据库凭证。如果您的 Amazon Quick 账户使用可信身份传播,请选择**单点登录**。 1. 验证连接,然后选择**创建数据来源**。 如果要进一步限制默认出站规则,请更新 `quicksight-security-group` 的出站规则,以仅允许 Amazon Redshift 流量进入 `redshift-security-group`。您还可以删除位于 `redshift-security-group` 中的出站规则。 ## 启用对 Amazon Redshift Spectrum 的访问 允许访问 Redshift 频谱 使用亚马逊 Redshift Spectrum,你可以使用 Amazon Redshift 将 Amazon Quick 连接到外部目录。例如,您可以访问 Amazon Athena 目录。然后,您可以使用 Amazon Redshift 集群(而不是 Athena 查询引擎)查询 Amazon S3 数据湖上的非结构化数据。 您也可以合并数据集以包含 Amazon Redshift 和 S3 中存储的数据。然后,您可以在 Amazon Redshift 中使用 SQL 语法访问这些数据。 注册数据目录(适用于 Athena)或外部架构(对于 [Hive](https://www.amazonaws.cn/blogs/big-data/migrate-external-table-definitions-from-a-hive-metastore-to-amazon-athena/) 元数据仓)后,您可以使用 Amazon Quick 选择外部架构和 Amazon Redshift Spectrum 表。此过程的工作方式与集群中的任何其他 Amazon Redshift 表相同。您不需要加载或转换数据。 有关使用 Amazon Redshift Spectrum 的更多信息,请参阅《Amazon Redshift 数据库开发人员指南》**中的[使用 Amazon Redshift Spectrum 查询外部数据](https://docs.amazonaws.cn/redshift/latest/dg/c-using-spectrum.html)。 要使用 Redshift Spectrum 进行连接,请执行以下操作: + 创建或指定与 Amazon Redshift 集群关联的 IAM 角色。 + 为此 IAM 角色添加 IAM 策略`AmazonS3ReadOnlyAccess` 和 `AmazonAthenaFullAccess`。 + 为您计划使用的表注册外部架构或数据目录。 Redshift Spectrum 可将存储与计算分离,以便单独扩展。您只需为您运行的查询付费。 要连接到 Redshift Spectrum 表,你无需授予亚马逊快速访问亚马逊 S3 或 Athena 的权限。Amazon Quick 只需要访问 Amazon Redshift 集群。有关配置 Redshift Spectrum 的完整详情,请参阅《Amazon Redshift 数据库开发人员指南》**中的 [Amazon Redshift Spectrum 入门](https://docs.amazonaws.cn/redshift/latest/dg/c-getting-started-using-spectrum.html)。 # 授权从 Amazon Quick 到 Amazon EC2 实例的连接 Amazon EC2 | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 要让 Amazon Quick Sight 连接到 Amazon EC2 实例,您必须为该实例创建一个新的安全组。该安全组包含一条入站规则,授权从相应的 IP 地址范围内访问该安全组中的 Quick 服务器。 Amazon Web Services 区域 要修改这些 Amazon EC2 实例的安全组,您必须具有能够访问这些实例的 Amazon 凭证。 启用从 Quick 服务器到您的实例的连接只是基于 Amazon 数据库数据源创建数据集的几个先决条件之一。有关所需内容的更多信息,请参阅[从数据库创建数据集](https://docs.amazonaws.cn/quicksight/latest/user/create-a-database-data-set.html)。 **启用 Amazon 快速访问亚马逊 EC2 实例** 1. 登录 Amazon Web Services 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.amazonaws.cn/ec2/)。 1. 如果 EC2 实例在 VPC 中,选择该实例可查看实例详细信息窗格。查找其 VPC ID 并记下 ID 以供将来使用。 1. 在导航窗格的**网络和安全**部分,选择**安全组**。然后选择 **Create Security Group**,如下所示。 1. 输入安全组信息,如下所示: + 对于**安全组名称**,输入 **Amazon-QuickSight-access**。 + 对于**描述**,输入 **Amazon-QuickSight-access**。 + 对于 **VPC**,如果您的 Amazon EC2 实例位于 VPC 中,请选择在步骤 2 中记下的 VPC ID。否则,请选择 **No VPC (无 VPC)**。 1. 在 **Inbound** 选项卡上选择 **Add Rule**。 1. 创建一个具有以下值的新规则: + 对于 **Type(类型)**,选择 **Custom TCP Rule(自定义 TCP 规则)**。 + 对于**协议**,选择 **TCP**。 + (可选)对于**端口范围**,请输入实例在您要提供访问权限的 Amazon EC2 实例上使用的端口号。 + 对于**来源**,输入您计划使用 Amazon Quick 的 Amazon Web Services 区域 位置的 CIDR 地址块。例如,欧洲地区(爱尔兰)的 CIDR 地址块为:`52.210.255.224/27`。有关支持 Amazon 区域中 Amazon Quick 的 IP 地址范围的更多信息,请参阅[Amazon 区域、网站、IP 地址范围和终端节点](https://docs.amazonaws.cn/quicksight/latest/user/regions.html)。 **注意** 如果您已多次激活 Amazon Quick Amazon Web Services 区域,则可以为每个 Amazon Quick 终端节点 CIDR 创建入站规则。这样做可以让 Amazon Quick 从入站规则中 Amazon Web Services 区域 定义的任何数据库实例访问 Amazon RDS 数据库实例。 在多个 Amazon 区域使用 Amazon Quick 的 Amazon Quick 用户或管理员被视为单个用户。换句话说,即使你在每个账户中都使用Amazon Quick Amazon Web Services 区域,你的Amazon Quick账户和用户都是全球性的。 1. 选择**创建**。 1. 在导航窗格的 **INSTANCES** 部分选择 **Instances**,然后选择您要启用访问权限的实例。 1. 依次选择 **Actions**、**Networking** 和 **Change Security Groups**。 1. 在**更改安全组**中,选择 **Amazon QuickSight-access** 安全组。 然后选择 **Assign Security Groups**,如下所示。 # 通过以下方式授权连接 Amazon Lake Formation Lake Formation | | | --- | |  适用于:企业版  | | | | --- | |    目标受众:系统管理员  | 如果您使用查询数据 Amazon Athena,则可以使用 Amazon Lake Formation 来简化从 Amazon Quick Sight 保护和连接数据的方式。Lake Formation 提供了自己的权限模型,该模型适用于 Amazon 分析和机器学习服务,从而增加了 Amazon Identity and Access Management (IAM) 权限模型。这种集中定义的权限模型通过简单的授予和撤销机制以精细级别控制数据访问权限。您可以使用 Lake Formation 来代替或补充使用 IAM 的范围缩小策略。 设置 Lake Formation 时,您需要注册数据来源,使其能够将数据移动到 Amazon S3 中的新数据湖。Lake Formation 和 Athena 都可以与 Amazon Glue Data Catalog无缝协作,因此组合使用非常容易。Athena 数据库和表是元数据容器。这些容器描述了数据的底层架构、数据定义语言(DDL)语句以及数据在 Amazon S3 中的位置。 配置 Lake Formation 后,您可以使用 Amazon Quick 按名称或通过 SQL 查询访问数据库和表。Amazon Quick 提供了一个功能齐全的编辑器,您可以在其中编写 SQL 查询。或者你可以使用 Athena 控制台、或你 Amazon CLI最喜欢的查询编辑器。有关更多信息,请参阅《Amazon Athena 用户指南》**中的[访问 Athena](https://docs.amazonaws.cn/athena/latest/ug/accessing-ate.html)。 使用以下主题通过 Lake Formation 或 Amazon Quick 配置 Lake Formation 连接。 **Topics** + [ ## 启用来自 Lake Formation 的连接 ](#lake-formation-lf-steps) + [ ## 启用来自 Amazon Quick 的连接 ](#lake-formation-qs-steps) ## 启用来自 Lake Formation 的连接 在开始将此解决方案与 Quick 配合使用之前,请确保您可以使用带有 Lake Formation 的 Athena 来访问您的数据。在您确认连接是否通过 Athena 正常运行后,您只需验证 Amazon Quick 是否可以连接到 Athena。这样做意味着您不必同时对所有三种产品的连接进行问题排查。测试连接的一种简单方法是使用 [Athena 查询控制台](https://console.amazonaws.cn/athena/)运行简单的 SQL 命令,例如 `SELECT 1 FROM table`。 要设置 Lake Formation,负责其工作的人员或团队需要访问权限才能创建新的 IAM 角色和 Lake Formation。他们还需要以下列表中显示的信息。有关更多信息,请参阅《Amazon Lake Formation Developer Guide》**中的 [Setting up lake formation](https://docs.amazonaws.cn/lake-formation/latest/dg/getting-started-setup.html)。 + 收集需要访问 Lake Formation 中数据的快速用户和群组的亚马逊资源名称 (ARNs)。这些用户应该是 Amazon Quick 的作者或管理员。 **查找 Amazon Quick 用户和群组 ARNs** 1. 使用 Amazon CLI 来查 ARNs 找 Amazon Quick 作者和管理员的用户。为此,请在终端(Linux 或 Mac)或命令提示符(Windows)上运行以下 `list-users` 命令。 ``` aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1 ``` 响应返回每个用户的信息。在以下示例中,我们以粗体显示 Amazon 资源名称(ARN)。 ``` RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468 Status: 200 UserList: - Active: true Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar Email: SaanviSarkar@example.com PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA Role: ADMIN UserName: SaanviSarkar ``` 为避免使用 Amazon CLI,您可以手动 ARNs 为每个用户构建。 1. (可选)在终端(Linux 或 Mac)或`list-group`命令提示符 (Windows) 上运行以下命令,使用查找 ARNs Amazon Quick 群组。 Amazon CLI ``` aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1 ``` 响应返回每个组的信息。在以下示例中,ARN 以粗体显示。 ``` GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard Description: Data Lake for CXO Balanced Scorecard GroupName: DataLake-Scorecard PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db RequestId: c1000198-18fa-4277-a1e2-02163288caf6 Status: 200 ``` 如果您没有 Amazon Quick 群组,请使用运行`create-group`命令 Amazon CLI 来添加群组。目前无法通过 Amazon Quick 控制台执行此操作。有关更多信息,请参阅[在 Amazon Quick 中创建和管理群组](https://docs.amazonaws.cn/quicksight/latest/user/creating-quicksight-groups.html)。 为避免使用 Amazon CLI,您可以手动 ARNs 为每个组构建。 ## 启用来自 Amazon Quick 的连接 要使用 Lake Formation 和 Athena,请确保您 Amazon 已在 Amazon Quick 中配置了资源权限: + 启用对 Amazon Athena 的访问权限。 + 启用对 Amazon S3 中正确存储桶的访问权限。通常,在启用 Athena 时会启用对 S3 的访问权限。但是,由于您可以在该过程之外更改 S3 权限,因此最好分别对其进行验证。 有关如何在 Quick 中验证或更改 Amazon 资源权限的信息,请参阅[允许自动发现 Amazon 资源](https://docs.amazonaws.cn/quicksight/latest/user/autodiscover-aws-data-sources.html)和[访问数据源](https://docs.amazonaws.cn/quicksight/latest/user/access-to-aws-resources.html)。 # 授权连接到 Amazon 服务 OpenSearch OpenSearch | | | --- | |  适用于:企业版  | | | | --- | |    目标受众:系统管理员  | OpenSearch 在 Amazon Quick Sight 数据集中使用之前,Quick 管理员需要在有权访问 OpenSearch 控制台的人员的配合下完成一些任务。 首先,请确定要连接的每个 OpenSearch 域。然后为每个域收集以下信息: + OpenSearch 域的名称。 + 该域使用的 OpenSearch 版本。 + 域名的亚马逊资源名称 (ARN)。 OpenSearch + HTTPS 端点。 + OpenSearch 仪表板 URL(如果您使用仪表板)。您可以通过将“`/dashboards/`”附加到端点来推断控制面板 URL。 + 如果域具有 VPC 终端节点,请在 OpenSearch 服务控制台的 VPC 选项卡上收集所有相关信息: + VPC ID + VPC 安全组 + 关联的一个或多个 IAM 角色 + 相关的可用区 + 关联的子网 + 如果域有一个常规端点(不是 VPC 端点),请注意使用公共网络。 + 每日自动快照的开始时间(如果您的用户想知道)。 在您继续操作之前,Amazon Quick 管理员会启用从 Amazon Quick 到 S OpenSearch ervice 的授权连接。您从 Amazon Quick 连接的每项 Amazon 服务都需要执行此过程。对于用作数据源的每项服务,您只需 Amazon Web Services 账户 为每项 Amazon 服务执行一次此操作即可。 对于 OpenSearch 服务,授权过程会将 Amazon 托管策略`AWSQuickSightOpenSearchPolicy`添加到您的 Amazon Web Services 账户。 **重要** 确保您的 OpenSearch 域的 IAM 策略与中的权限不冲突`AWSQuickSightOpenSearchPolicy`。您可以在 OpenSearch 服务控制台中找到域访问策略。有关更多信息,请参阅《*亚马逊 OpenSearch 服务开发者指南*》中的[配置访问策略](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/ac.html#ac-creating)。 **开启或关闭 Amazon Quick to S OpenSearch ervice 的连接** 1. 在 Amazon Quick 中,选择**管理员**并**快速管理 Amazon Quick**。 1. 选择**安全和权限**、**添加或删除**。 1. 要启用连接,请选中 **Amazon OpenSearch 服务**复选框。 要禁用连接,请清除 “**亚马逊 OpenSearch 服务**” 复选框。 1. 选择**更新**,确认您的选择。 如果需要,请使用以下主题配置 OpenSearch VPC 连接和 Amazon Quick 访问权限 OpenSearch。 **Topics** + [ ## 使用 VPC 连接 ](#opensearch-and-vpc-connection) + [ ## 使用 OpenSearch 权限 ](#opensearch-permissions) ## 使用 VPC 连接 在某些情况下,您的 OpenSearch 域位于基于 Amazon VPC 服务的虚拟私有云 (VPC) 中。如果是,请务必确定 Amazon Quick 是否已连接到该 OpenSearch 域所使用的 VPC ID。您可以重复使用现有 VPC 连接。如果您不确定它是否起作用,可以对它进行测试。有关更多信息,请参阅[测试与您的 Amazon VPC 数据源的连接](https://docs.amazonaws.cn/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)。 如果尚未在 Amazon Quick 中为您要使用的 VPC 定义连接,则可以创建一个连接。此任务是一个多步骤的过程,您需要先完成此任务,然后才能继续。要了解如何将 Amazon Quick 添加到 VPC 以及如何添加从 Amazon Quick 到 VPC 的连接,请参阅[使用 Amazon Quick 连接到亚马逊 VPC](https://docs.amazonaws.cn/quicksight/latest/user/working-with-aws-vpc.html)。 ## 使用 OpenSearch 权限 将 Amazon Quick 配置为连接到 OpenSearch 服务后,您可能需要在中启用权限 OpenSearch。对于设置过程的这一部分,您可以使用每个 OpenSearch 域的 OpenSearch 控制面板链接。使用以下列表来帮助确定您需要的权限: 1. 对于使用精细访问控制的域,以角色的形式配置权限。此过程与在 Amazon Quick 中使用范围缩小策略类似。 1. 对于您为其创建角色的每个域,添加角色映射。 有关更多信息,请参阅下面的。 如果您的 OpenSearch 域名启用了[精细访问控制](https://docs.amazonaws.cn/opensearch-service/latest/developerguide/fgac.html),则需要配置一些权限,以便可以从 Amazon Quick 访问该域。对于要使用的每个域,执行以下步骤。 以下过程使用 OpenSearch 仪表板,这是一种可与之配合使用的开源工具 OpenSearch。您可以在 OpenSearch 服务控制台的域控制面板上找到仪表板的链接。 **向域添加权限以允许从 Amazon Quick 进行访问** 1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 `opensearch-domain-endpoint/dashboards/`。 1. 在导航窗格中,选择**安全性**。 如果您未看到导航窗格,请使用左上角的菜单图标将其打开。要保持菜单处于打开状态,请选择左下角的**悬浮导航**。 1. 依次选择**角色**和**创建角色**。 1. 将角色命名为 **quicksight\$1role**。 您可以选择其他名称,但我们推荐使用这个名称,因为我们在文档中使用的就是这个名称,因此更容易予以支持。 1. 在**集群权限**下,添加以下权限: + `cluster:monitor/main` + `cluster:monitor/health` + `cluster:monitor/state` + `indices:data/read/scroll` + `indices:data/read/scroll/clear`, 1. 在**索引权限**下,将 **\$1** 指定为索引模式。 1. 对于**索引权限**,请添加以下权限: + `indices:admin/get` + `indices:admin/mappings/get` + `indices:admin/mappings/fields/get*` + `indices:data/read/search*` + `indices:monitor/settings/get` 1. 选择**创建**。 1. 对您计划使用的每个 OpenSearch 域名重复此过程。 使用以下过程,为在上一个过程中添加的权限添加角色映射。您可能会发现,在单个流程中添加权限和角色映射会更有效率。为清楚起见,这些说明是分开的。 **为您添加的 IAM 角色创建角色映射** 1. 打开您要 OpenSearch 使用的域名的控制面 OpenSearch 板。URL 为 `opensearch-domain-endpoint/dashboards/`。 1. 在导航窗格中,选择**安全性**。 1. 从列表中搜索并打开 **quicksight\$1role**。 1. 在**映射的用户**选项卡上,选择**管理映射**。 1. 在**后端角色**部分,输入 Amazon Quick 的 Amazon托管 IAM 角色的 ARN。以下为示例。 ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 ``` 1. 选择**映射**。 1. 对要使用的每个 OpenSearch 域重复此过程。 # 授权连接到 Amazon Athena Amazon Athena 如果您需要将 Amazon Quick Sight 与 Amazon Athena Amazon Athena 联合查询一起使用,则首先需要授权与 Athena 的连接以及亚马逊简单存储服务 (Amazon S3) Simple Service 中的关联存储桶。Amazon Athena 是一种交互式查询服务,方便使用标准 SQL 分析 Amazon S3 的数据。Athena Federated Query 可通过使用访问更多类型的数据。 Amazon Lambda使用 Quick 到 Athena 的连接,您可以编写 SQL 查询来查询存储在关系、非关系、对象和自定义数据源中的数据。有关更多信息,请参阅《Amazon Athena 用户指南》中的[使用 Athena 联合查询](https://docs.amazonaws.cn/athena/latest/ug/connect-to-a-data-source.html)。 在 Quick 中设置访问 Athena 的权限时,请查看以下注意事项: + Athena 将来自 Amazon Quick Sight 的查询结果存储在存储桶中。默认情况下,此存储桶的名称类似于 `aws-athena-query-results-AWSREGION-AWSACCOUNTID`,例如 `aws-athena-query-results-us-east-2-111111111111`。因此,请务必确保 Amazon Quick Sight 有权访问 Athena 目前正在使用的存储桶。 + 如果您的数据文件使用 Amazon KMS 密钥加密,请向 Amazon Quick Sight IAM 角色授予解密密钥的权限。执行该操作的最简单方法是使用 Amazon CLI。 您可以在中运行 KMS [创建授权](https://docs.amazonaws.cn/cli/latest/reference/kms/create-grant.html) API 操作 Amazon CLI 来执行此操作。 ``` aws kms create-grant --key-id / --grantee-principal --operations Decrypt ``` Amazon Quick 角色的亚马逊资源名称 (ARN) 的格式为`arn:aws:iam:::role/service-role/aws-quicksight-s3-consumers-role-v`,可以从 IAM 控制台进行访问。要查找您的 KMS 密钥 ARN,请使用 S3 控制台。转到包含数据文件的存储桶,然后选择**概述**选项卡。密钥位于 **KMS 密钥 ID** 旁边。 + 对于亚马逊 Athena、Amazon S3 和 Athena Query Federation 连接,Amazon Quick 默认使用以下 IAM 角色: ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0 ``` 如果不存在`aws-quicksight-s3-consumers-role-v0`,那么 Amazon Quick 会使用: ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 ``` + 如果您为用户分配了范围缩小策略,请验证这些策略是否包含 `lambda:InvokeFunction` 权限。如果没有此权限,您的用户将无法访问 Athena 联合查询。有关在 Amazon Quick 中为您的用户分配 IAM 策略的更多信息,请参阅[通过 IAM 设置对 Amazon 服务的精细访问权限](https://docs.amazonaws.cn/quicksight/latest/user/scoping-policies-iam-interface.html)。有关 lambda: InvokeFunction 权限的更多信息,请参阅 *IAM 用户指南 Amazon Lambda*中的[操作、资源和条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awslambda.html)。 **授权 Amazon Quick 连接到 Athena 或 Athena 联合数据源** 1. (可选)如果您使用的是 Athena Amazon Lake Formation ,则还需要启用 Lake Formation。有关更多信息,请参阅[通过 Amazon Lake Formation对连接进行授权](https://docs.amazonaws.cn/quicksight/latest/user/lake-formation.html)。 1. 打开右上角的个人资料菜单,然后选择**管理 QuickSight**。要执行此操作,您必须是 Amazon Quick 管理员。如果您在个人资料菜单 QuickSight上看不到**管理**,则说明您没有足够的权限。 1. 选择**安全和权限**、**添加或删除**。 1. 选择 Amazon Athena 附近的方框,单击**下一步**。 如果它已经启用,则可能需要双击它。即使 Amazon Athena 已启用,也要执行此操作,这样您就可以查看设置了。在此过程结束且选择**更新**之前,不会保存任何更改。 1. 启用您要访问的 S3 存储桶。 1. (可选)要启用 Athena 联合查询,请选择要使用的 Lambda 函数。 **注意** 你只能在 Amazon Quick 的同一区域中查看 Athena 目录的 Lambda 函数。 1. 确认您所做的更改,选择**完成**。 要取消,请选择**取消**。 1. 要保存对安全和权限的更改,选择**更新**。 **测试连接授权设置** 1. 从 Amazon 快速入门页面中,选择**数据集**,**新数据集**。 1. 选择 Athena 卡。 1. 按照屏幕上的提示,使用您需要连接的资源创建新的 Athena 数据来源。选择**验证连接**以测试连接。 1. 如果连接有效,则表示您已成功配置了 Athena 或 Athena 联合查询连接。 如果您没有足够的权限连接到 Athena 数据集或运行 Athena 查询,则会显示一条错误消息,指示您联系 Amazon Quick 管理员。此错误意味着需要重新检查您的连接授权设置以找出差异。 1. 成功连接后,您或您的 Amazon Quick 作者可以创建数据源连接并与其他 Amazon Quick 作者共享这些连接。然后,作者可以从连接中创建多个数据集,以在 Amazon Quick 控制面板中使用。 有关 Athena 的疑难解答信息,[请参阅将 Athena 与 Amazon Quick 配合使用时的连接问题。](https://docs.amazonaws.cn/quicksight/latest/user/troubleshoot-athena.html) ## 将可信身份传播与 Athena 结合使用 可信身份传播允许 Amazon 服务根据用户的身份上下文访问 Amazon 资源,并安全地与其他 Amazon 服务共享该用户的身份。这些功能让用户可以更轻松地定义、授予和记录访问权限。 当管理员配置 Quick、Athena、Amazon S3 访问权限授予 Amazon Lake Formation 以及 IAM Identity Center 时,他们现在可以在这些服务之间启用可信身份传播,并允许在服务之间传播用户的身份。当 IAM Identity Center 用户通过 Quick 访问数据时,Athena 或 Lake Formation 可以使用组织的身份提供商为其用户或群组成员资格定义的权限来做出授权决定。 仅当通过 Lake Formation 管理权限时,使用 Athena 进行可信身份传播才有效。用户对数据的权限位于 Lake Formation 中。 ### 先决条件 在开始之前,请确保您已完成以下必需的先决条件。 **重要** 在完成以下先决条件时,请注意,您的 IAM 身份中心实例、Athena 工作组、Lake Formation 和 Amazon S3 访问授权必须全部部署在同一个区域。 Amazon + 使用 IAM 身份中心配置您的快速账户。只有与 IAM Identity Center 集成的快速账户才支持可信身份传播。有关更多信息,请参阅 [使用 IAM 身份中心配置您的 Amazon Quick 账户](setting-up-sso.md#sec-identity-management-identity-center)。 **注意** 要创建 Athena 数据源,您必须是使用 IAM 身份中心的快速账户中的 IAM 身份中心用户(作者)。 + 启用了 IAM Identity Center 的 Athena 工作组。您使用的 Athena 工作组必须使用与 Quick 账户相同的 IAM 身份中心实例。有关配置 Athena 工作组的更多信息,请参阅《Amazon Athena 用户指南》**中的[创建启用 IAM Identity Center 的 Athena 工作组](https://docs.amazonaws.cn/athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。 + 使用 Amazon S3 访问权限管控来管理对 Athena 查询结果存储桶的访问。有关更多详细信息,请参阅《Amazon S3 用户指南》**中的[使用 Amazon S3 访问权限管控管理访问权限](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants.html)。如果您的查询结果是使用 Amazon KMS 密钥加密的,那么 Amazon S3 访问权限授予 IAM 角色和 Athena 工作组角色都需要权限。 Amazon KMS + 有关更多信息,请参阅《Amazon S3 用户指南》中的 [Amazon S3 访问权限管控和公司目录身份](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants.html)。 + Amazon S3 访问权限管控角色应在其身份传播信任策略中具有 `STS:SetContext` 操作。要查看示例,请参阅《Amazon S3 用户指南》中的[注册位置](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants-location-register.html)。 + 必须使用 Lake Formation 管理数据权限,Lake Formation 必须使用与 Quick 和 Athena 工作组相同的 IAM 身份中心实例进行配置。有关配置信息,请参阅*《Amazon Lake Formation 开发人员指南》*中的 [Integrating IAM Identity Center](https://docs.amazonaws.cn/lake-formation/latest/dg/identity-center-integration.html)。 + 数据湖管理员需要向 Lake Formation 中的 IAM Identity Center 用户和组授予权限。有关更多详细信息,请参阅《Amazon Lake Formation 开发人员指南》**中的 [Granting permissions to users and groups](https://docs.amazonaws.cn/lake-formation/latest/dg/grant-permissions-sso.html)。 + Quick 管理员需要授权与 Athena 的连接。有关更多信息,请参阅 [授权连接到 Amazon Athena](#athena)。请注意,通过可信身份传播,您无需向 Quick 角色授予 Amazon S3 存储桶权限或 Amazon KMS 权限。您需要使对 Athena 中的工作组具有权限的用户和组与使用 Amazon S3 访问权限管控权限存储查询结果的 Amazon S3 存储桶保持同步,以便用户可以使用可信身份传播成功运行查询并在 Amazon S3 存储桶中检索查询结果。 ### 配置具有所需权限的 IAM 角色 要在 Athena 中使用可信身份传播,您的 Quick 账户必须具有访问您的资源所需的权限。要提供这些权限,您必须将您的 Quick 账户配置为使用具有这些权限的 IAM 角色。 如果您的 Quick 账户已经在使用自定义 IAM 角色,则可以修改该角色。如果没有现有 IAM 角色,请按照《IAM 用户指南》**中的[为 IAM 用户创建角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-user.html)中的说明创建一个。 您创建或修改的 IAM 角色必须包含以下信任策略和权限。 #### 必需的信任策略 有关更新 IAM 角色的信任策略的信息,请参阅[更新角色信任策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)。 #### 所需的 Athena 权限 有关更新 IAM 角色的信任策略的信息,请参阅[更新角色的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_update-role-permissions.html)。 **注意** `Resource` 使用 `*` 通配符。我们建议您对其进行更新,使其仅包含您想在 Quick 中使用的 Athena 资源。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:CancelQueryExecution", "athena:GetCatalogs", "athena:GetExecutionEngine", "athena:GetExecutionEngines", "athena:GetNamespace", "athena:GetNamespaces", "athena:GetQueryExecution", "athena:GetQueryExecutions", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:GetTable", "athena:GetTables", "athena:ListQueryExecutions", "athena:RunQuery", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "*" } ] } ``` ------ ### 将您的 Quick 账户配置为使用 IAM 角色 在上一步中配置 IAM 角色后,您必须配置您的 Quick 账户才能使用该角色。有关如何执行该操作的信息,请参阅[在 Quick 中使用现有的 IAM 角色](security-create-iam-role.md#security-create-iam-role-use)。 ### 使用更新身份传播配置 Amazon CLI 要授权 Quick 将最终用户身份传播到 Athena 工作组,请从中 Amazon CLI运行以`update-identity-propagation-config`下 API,替换以下值: + *us-west-2*替换为您的 IAM 身份中心实例所在的 Amazon 区域。 + 将 *111122223333* 替换为您的 Amazon 账户 ID。 ``` aws quicksight update-identity-propagation-config \ --service ATHENA \ --region us-west-2 \ --aws-account-id 111122223333 ``` ### 在 Quick 中创建 Athena 数据集 现在,在 Quick 中创建 Athena 数据集,并配置您要连接的启用 IAM 身份中心的 Athena 工作组。有关如何创建 Athena 数据集的信息,请参阅[使用 Amazon Athena 数据创建数据集](create-a-data-set-athena.md)。 ### 关键标注、注意事项和限制 以下列表包含在 Quick 和 Athena 中使用可信身份传播时的一些重要注意事项。 + 使用可信身份传播的 Quick Athena 数据源已根据 IAM 身份中心最终用户和该用户可能属于的 IAM 身份中心群组进行评估 Lake Formation 权限。 + 当使用采用可信身份传播的 Athena 数据来源时,建议在 Lake Formation 中完成任何微调的访问控制。但是,如果您选择使用 Quick 的范围缩小策略功能,则将根据最终用户评估范围缩小策略。 + 对于使用可信身份传播的数据来源和数据集,以下功能被禁用:SPICE 数据集、数据来源上的自定义 SQL、阈值警报、电子邮件报告、Q 主题、故事、场景、CSV、Excel 和 PDF 导出、异常检测。 + 如果遇到高延迟或超时,这可能是由于 IAM Identity Center 组、Athena 数据库、表和 Lake Formation 规则数量较多造成的。建议尝试仅使用必要数量的资源。 # 数据访问集成 Amazon Quick 中的数据访问集成可建立与外部数据源的安全连接。它们是创建知识库的基础。与执行操作的操作连接器不同,数据访问集成侧重于访问和索引来自第三方应用程序和服务的内容。 数据访问集成仅配置身份验证并指向服务的项目或组织。它们不能直接用于分析,也不能由 AI 代理使用。您必须创建互联知识库才能访问数据。 ## 数据访问集成的工作原理 数据访问集成可配置身份验证并建立与第三方服务组织或项目的连接。您不能直接使用这些集成进行分析。您必须创建与数据访问集成相关的知识库,以便 AI 代理、聊天界面和空间可以访问数据。 数据访问集成和知识库之间的关系是: one-to-many + 一个数据访问集成可以支持多个知识库。 + 每个知识库都从连接的数据源中选择特定的内容。 + 知识库从其父数据访问集成中继承身份验证和访问权限。 ## 创建数据访问集成 使用以下步骤创建数据访问集成,该集成为知识库创建建立身份验证和连接详细信息。以下示例演示了设置 Microsoft OneDrive 数据访问集成的过程,但一般步骤适用于其他数据访问集成。 **创建数据访问集成** 1. 滚动到页面的 “设置新的集成” 区域。找到要创建集成和知识库的应用程序。选择 “OneDrive”。 **注意** “集成” 页面默认为 “知识库” 选项卡,可能存在由其他人设置并共享的现有知识库。如果您之前设置过集成,请检查数据选项卡,然后使用操作菜单从那里创建知识库。 1. 选择应用程序上的加号 (\$1) 图标按钮以创建新的集成和知识库。 1. 选择 “从 Microsoft 获取数据” OneDrive 选项,然后单击 “下一步” 按钮。 **注意** 一些应用程序集成支持数据摄取和操作。 read/write 每种设置各不相同。要设置操作,您需要管理员提供更多信息。 1. 完成身份验证过程: 1. 微软 OneDrive 登录弹出窗口将自动出现。如果不是,请单击 “登录微软 OneDrive ” 按钮。 1. 使用您的 Amazon 凭证登录。 1. 等到成功横幅出现。 1. 单击 “下一步” 按钮。 1. 使用文件选择器选择应提取到知识库中的数据, OneDrive 然后单击 “添加” 按钮。 1. 在知识库中键入名称和描述(可选),然后单击 “创建”。 1. 将收到成功的 toast 通知,数据摄取和同步将开始。 1. 数据可能需要几分钟才能同步,具体取决于正在摄取的文件数量。“状态” 列将保持同步状态,直到准备好更改为 “可用”。 1. 知识库准备就绪后,使用聊天提问并与之互动。 **注意** 默认情况下,聊天使用您有权访问并代表您设置的 “所有数据和应用程序”。如果您想使用单个知识库聊天,请在聊天数据选择器中选择知识库。 **注意** 您也可以通过导航到空间并添加知识库来将知识库附加到空间。 成功创建后,您的数据访问集成将显示在集成列表中。现在,您可以创建知识库,使用此集成来访问和索引连接的数据源中的内容。 **注意** 有关每个数据源的详细配置步骤,请参阅[支持的集成](supported-integrations.md)。 ## 支持的数据来源 Amazon Quick 支持与以下应用程序和服务进行数据访问集成。这些集成允许您从外部数据源创建知识库: + **Amazon S3**-使用 Amazon 证书访问存储在 S3 存储桶中的文档和文件。 + **Atlassian Confluenc** e-使用用户身份验证或服务身份验证为页面、空间和附件编制索引。 + **Google 云端硬盘**-使用 OAuth 2.0 身份验证连接到个人云端硬盘和共享云端硬盘。 + **Microsoft OneDrive**-使用用户身份验证或服务身份验证访问 OneDrive 企业内容。 + **Microsoft SharePoint**-使用 OAuth 2.0 身份验证为 SharePoint 在线和服务器内容编制索引。 + **Web Crawler**-使用基本身份验证或 form/SAML 身份验证为来自内部和外部网站的内容编制索引。 每个数据源都支持不同的身份验证方法和内容访问功能。数据访问集成和知识库之间的关系是 one-to-many-一个集成可以支持多个知识库,每个知识库都从连接的数据源中选择特定的内容。 ## 数据源类别 根据内容类型和访问模式,数据访问集成分为以下类别: **云存储和文件系统** + Amazon S3-访问存储在 S3 存储桶中的文档和文件。 + Google 云端硬盘-索引来自个人云端硬盘和共享云端硬盘 + 微软 OneDrive ——Connect to fo OneDrive r Business 内容。 **内容管理系统** + Atlassian Confluence-访问页面、空间和附件。 + Microsoft SharePoint - SharePoint 在线索引和服务器内容。 **网页内容** + Web Crawler-索引来自内部和外部网站的内容。 ### 身份验证和安全 数据访问集成使用安全的身份验证方法来保护您的数据并维护访问控制。身份验证方法取决于特定的数据源和组织的安全要求。 **OAuth 身份验证** 大多数基于云的集成(谷歌云端硬盘 OneDrive、Confluence Cloud)都使用 OAuth 2.0 进行基于令牌的安全身份验证。此方法允许 Amazon Quick 在不存储您的凭证的情况下访问您的数据。 **服务账号认证** 企业集成可以使用服务帐户进行编程访问。这种方法 Amazon 在 S3 和其他基于基础架构的数据源中很常见。 **不使用身份验证** 某些集成(例如访问公共网站的网络爬虫)可能不需要身份验证。但是,仍会根据您的 Amazon Quick 权限强制执行访问控制。 **注意** 身份验证要求和可用方法因用户级别而异。与作者相比,读者的身份验证选项可能有限。 ### 访问控制和权限 数据访问集成通过在多个级别实施访问控制来维护安全性。当用户通过知识库查询内容时,Amazon Quick 确保他们只能访问他们有权查看的内容。 + **源代码级权限**-用户必须在源系统(Google 云端硬盘 SharePoint等)中拥有相应的权限。 + **集成级别权限**-对集成本身的访问权限由 Amazon Quick 权限控制。 + **知识库权限**-各个知识库可以有自己的访问控制。 + **实体级访问控制**-当用户查询内容时,Amazon Quick 会验证每个文档或项目的权限。 ### 主要特性和功能 数据访问集成提供了多种功能来增强您的数据集成体验: + **实时同步**-当源系统发生变化时,内容会自动更新。 + **选择性索引**-选择要包含在知识库中的特定文件夹、网站或内容类型。 + **内容类型支持**-索引各种文件格式,包括文档、电子表格、演示文稿和网页。 + **元数据保存**-维护重要的元数据,例如创建日期、作者和标签。 + **自然语言查询**-在索引内容中启用 AI 驱动的搜索和问答功能。 ### 开始前的准备工作 在创建数据访问集成之前,请确保满足以下要求: + **Amazon Quick 权限**-创建和管理集成的作者或管理员角色。 + **源系统访问**权限-目标系统中的相应权限(某些集成可能需要管理权限)。 + **身份验证凭**证-目标系统的有效凭据或服务帐户。 + **网络连接**-确保 Amazon Quick 可以访问您的数据源。网络要求因集成类型而异: + **知识库**-不支持 VPC 连接。数据源必须可通过公共互联网访问。 + **操作连接器**-支持 VPC 内资源服务器的 VPC 连接。但是,身份验证服务器必须保持可公开访问状态。 # 在 Amazon Quick 中浏览你的 Amazon 数据 | | | --- | |    适用于:企业版和标准版  | | | | --- | |    目标受众:系统管理员  | 使用本节学习如何使用在 Amazon Quick 中浏览 Amazon 数据 Amazon Web Services 管理控制台。使用 “**在 Amazon Quick Sight 中浏览**” 快捷方式,您可以访问显示您的数据的自定义控制面板模板。与任何 Amazon Quick Sight 控制面板一样,此控制面板可以按计划刷新、发布并与组织中的其他用户共享。 要使用此功能,您必须首先为您的 Amazon S3 存储桶启用 Amazon S3 分析存储类别分析。有关在 Amazon S3 中启用存储类别分析的更多信息,请参阅《Amazon S3 开发人员指南》**中的 [Amazon S3 分析 – 存储类别分析](https://docs.amazonaws.cn/AmazonS3/latest/userguide/analytics-storage-class.html)。 启用存储类分析后,您可以使用 Amazon Quick 浏览您的 Amazon S3 分析数据。 **在 Amazon Quick 中浏览亚马逊 S3 分析数据** 1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.amazonaws.cn/s3/)。 1. 选择要探索的存储桶。该存储桶必须启用存储类别分析,至少使用一个筛选条件。 1. 选择**管理**选项卡。 1. 然后选择**分析**。 1. 选择 “**在中浏览” QuickSight**。 **注意** 如果您没有 Amazon Quick 账户,系统会提示您先创建一个账户,然后才能使用控制面板。 当您选择在 Amazon Quick 中浏览时,您的 Amazon S3 分析数据将自动加载到控制面板模板中。该控制面板包含多种可视化,以帮助您理解存储桶的存储访问模式。 原样使用模板,也可以根据需要对其进行自定义。例如,默认模板上的一个视觉对象可帮助您发现不经常访问的数据。它将已检索的数据量与已消耗的存储量进行比较,以获得不同时期的对象。 您还可将自己的可视化添加到控制面板。例如,您可以对已在 Amazon S3 Analytics 中定义的存储类别分析使用筛选条件,细分数据访问模式。 要了解使用 S3 分析和存储类别分析的更多信息,请参阅《Amazon S3 开发人员指南》**中的 [Amazon S3 分析 – 存储类别分析](https://docs.amazonaws.cn/AmazonS3/latest/userguide/analytics-storage-class.html)。 # Amazon 服务操作连接器 Amazon 服务操作连接器 使用 Amazon Quick 中的 Amazon 服务操作连接器,您可以创建直接与 Amazon Textract 和 Amazon Comprehend 等 Amazon Amazon Bedrock服务进行交互的操作连接器。这些连接器支持利用 Amazon AI 和机器学习功能的自动化工作流程。 ## 您能做什么 Amazon 服务操作连接器使您能够将强大的 Amazon 功能集成到自动化工作流程中。例如,您可以使用基础模型生成内容,使用 Amazon Bedrock Amazon Textract 从文档中提取文本和数据,或者 Amazon Comprehend 用于分析情绪并从文本中提取见解。这些操作连接器允许您构建复杂的自动化工作流程,将用于文档处理、内容生成和数据分析的多种 Amazon 服务结合在一起,同时通过基于 IAM 角色的身份验证来维护安全性。 **注意** Amazon 服务操作连接器只能与 Amazon Quick Automate 一起使用,因为它们需要 IAM 身份才能进行身份验证。这些连接器通过管理员控制台创建,可直接访问 Amazon 服务 APIs。 ## 支持的 Amazon 服务 Amazon Quick 支持以下操作连接器 Amazon 服务: + **Amazon Bedrock 代理**-为复杂的 AI 工作流程调用 Bedrock 代理。 + **Amazon Bedrock 运行时**-访问用于文本生成和对话的基础模型。 + **Amazon Bedrock 数据自动化**-使用 AI 自动执行数据处理工作流程。 + **Amazon Comprehend**-分析文本中的情绪、实体和关键短语。 + **Amazon Comprehend 医疗**-从医疗保健文本中提取医疗信息。 + **Amazon Textrac** t-从文档和图像中提取文本和数据。 + **Amazon S3**-管理 S3 中的对象和存储桶。 ## 开始前的准备工作 在设置 Amazon 维修操作连接器之前,请确保具备以下条件: + Amazon 可以访问所需 Amazon 服务的帐户。 + 对您要使用的 Amazon 服务具有相应权限的 IAM 角色。 + Amazon 快速管理员访问权限可创建操作连接器。 + Amazon Quick Automate 访问权限以在工作流程中使用操作连接器。 ## 准备 IAM 角色和权限 在 Amazon Quick 中设置操作连接器之前,请为你的 IAM 角色做好准备,使其具备要使用的 Amazon 服务的必要权限。 ### 所需的 IAM 权限 根据您计划使用的 Amazon 服务,为您的 IAM 角色配置适当的权限。确保您的 IAM 角色包含一个信任策略,该策略允许 Amazon Quick 担任执行操作的角色。 ### 用于资源访问的 IAM 角色 首先,您需要创建一个 IAM 角色,Amazon Quick 将使用该角色来调用 Amazon Quick Automate 工作流程中所需的 Amazon 服务。 1. 登录 Amazon Quick 订阅所在 Amazon 账户的 Amazon 控制台。 1. 打开 IAM 并创建一个新的 IAM 角色。 1. 通过操作连接器向其授予您要调用的 Amazon 服务的所有权限。例如,您可以像需要调用 Amazon S3 `AmazonS3FullAccess` 一样分配托管策略。 1. 在信任关系中,向代入角色授予权限`quicksight.amazonaws.com`。这允许 Amazon Quick 担任此角色并代表您呼叫 Amazon 服务。 1. 创建客户角色后,记下 IAM 角色 ARN。 信任策略示例: ``` { "Version": "2012-10-17" , "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "Service": [ "quicksight.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ## 创建 Amazon 服务操作连接器 准备好您的 IAM 角色和权限后,请按照以下步骤在 Quick Suite 中设置 Amazon 操作。 **注意** 您需要对 Amazon Quick Suite 具有管理权限才能执行以下步骤。[配置 Amazon 快速订阅](managing-qbs-subscriptions.md)要了解更多信息,请参阅相关文档。 ### 创建新集 Amazon 成的步骤 1. 选择**个人资料图标**,然后选择**管理 Quick Suite**。 1. 在 “**权限**” 部分下选择**Amazon 操作**。 1. 选择 “**新建操作”** 以创建新的 Amazon 集成。 1. 选择其中一项**支持的 Amazon 服务**。 1. 选择 “**下一步**” 以查看此服务的可用操作。 1. 选择 “**下一步**” 配置连接详细信息: + **名称**-输入集成的描述性名称。 + **描述**-(可选)添加有关如何使用此集成的注释。 + **角色 ARN** — 输入要用于此服务的 IAM 角色的 ARN。 Amazon 1. 选择 “**下一步**” 以与用户 and/or 用户组共享集成。 + 为需要编辑、共享和删除集成**的所有用户提供所有者访问权限**。 **注意** 需要所有者访问权限才能向自动化组添加集成,才能在 Quick Automate 中授予访问权限。 + 为需要在 Quick Suite 中调用操作的任何用户提供用户**访问权限**。 有关各种 Quick Suite 功能支持的集成列表,请参阅[动作连接器兼容性矩阵](action-connector-apis-supported-types.md#action-connector-compatibility-matrix)。 1. 选择 “**添加**” 以完成集成的创建。 请参阅 [集成工作流程](integration-workflows.md),了解更多信息。 ## 后续步骤 创建操作集成后,您可以: + 根据需要与其他用户或群组共享集成。 + 将集成添加到**自动化组**,以便在 Quick Automate 中使用。有关更多信息,请参阅[设置任务](getting-started-quick-automate.md#automate-setup-tasks)。 + 通过管理员控制台监控集成的使用情况和性能。 + 随着需求的变化,更新集成的配置或权限。