¿Cómo soluciono los problemas de seguridad de nivel de fila en QuickSight?

5 minutos de lectura

He aplicado RLS a mi conjunto de datos en Amazon QuickSight, pero tengo problemas con el acceso a los datos.

Descripción corta

A continuación, se muestran problemas comunes que puede experimentar cuando utiliza la seguridad de nivel de fila (RLS) en su conjunto de datos de Amazon QuickSight:

Los usuarios anónimos de QuickSight no pueden ver ningún dato en el panel integrado de QuickSight.
Los usuarios restringidos pueden seguir viendo todos los datos.
Los usuarios sin restricciones no pueden ver ningún dato.
Recibe el código de error DatasetRulesInvalidColType cuando aplica RLS.
Recibe el error Code DatasetRulesUserDenied cuando crea un análisis.

Nota: Cuando utilice RLS, tenga en cuenta lo siguiente:

RLS solo está disponible para la edición Enterprise de QuickSight.
RLS solo admite datos textuales, como string, char y varchar para los campos de regla de conjunto de datos. Actualmente, RLS no funciona con fechas o campos numéricos.
El conjunto completo de registros de reglas que se aplican por usuario no debe superar los 999. Es posible que los conjuntos de datos con más de 999 reglas no apliquen las reglas de RLS al conjunto de datos.
No puede aplicar RLS a filas vacías con el valor null predeterminado porque QuickSight trata null como un valor de campo vacío. Sin embargo, los espacios de un campo se tratan como un valor literal, por lo que la regla del conjunto de datos se aplica a estas filas.
Solo los usuarios que se agregan a la regla de conjunto de datos pueden ver los datos en función de la regla que se ha definido. Otros usuarios no pueden ver los datos.
Cuando se usan varios campos en las reglas del conjunto de datos, las reglas funcionan como un operador AND. El operador OR no se admite actualmente.
Las reglas basadas en etiquetas de RLS solo se admiten en paneles incrustados para usuarios anónimos con la API GenerateEmbedUrlForAnonymousUser. Si incorporó paneles para usuarios registrados con la API GenerateEmbedUrlForRegisteredUser, considere usar reglas de nivel de usuario.

Resolución

No puedo ver ningún dato en el panel integrado de QuickSight para usuarios anónimos

Si usa reglas basadas en etiquetas para el panel integrado anónimo, no podrá ver ni modificar los datos. Para ver los datos, debe agregar reglas de RLS basadas en usuarios al conjunto de datos.

En la siguiente regla de conjunto de datos de ejemplo, John Stiles solo puede ver los datos del departamento de Logística y Martha Rivera puede ver todos los datos del conjunto de datos.

UserName,Department 
JohnStiles,Logistics 
MarthaRivera,

Nota: Puede aplicar reglas basadas en etiquetas y reglas de RLS basadas en usuarios en el conjunto de datos.

Los usuarios restringidos pueden seguir viendo todos los datos

Si un conjunto de datos contiene demasiadas reglas, aunque hayas aplicado correctamente el RLS, los usuarios restringidos podrán seguir viendo todos los datos. Para resolver este problema, asegúrese de que su conjunto de datos contenga solo 999 reglas o menos. Si restringe a los usuarios según el valor de UserName y tiene más de 999 usuarios en la regla del conjunto de datos, cree grupos de QuickSight. Agregue los usuarios a los grupos y utilice GroupName en lugar de UserName en la regla del conjunto de datos.

Los usuarios sin restricciones no pueden ver ningún dato

A continuación, se indican los posibles motivos por los que los usuarios sin restricciones no pueden ver los datos:

El usuario no existe en la regla del conjunto de datos. Compruebe la regla del conjunto de datos para comprobar que están incluidos todos los usuarios previstos.
El valor de UserName o GroupName no coincide con los usuarios o grupos de QuickSight. Compruebe el valor de UserName o GroupName en la regla del conjunto de datos para comprobar que coincide con los usuarios o grupos en QuickSight.

Recibe el código de error DatasetRulesInvalidColType cuando aplica RLS

El error DatasetRulesInvalidColType se produce cuando se usa RLS para fechas o campos numéricos.

Compruebe el campo que se utiliza para evaluar el RLS en la regla del conjunto de datos y verificar que el tipo de datos es String. También puede convertir campos numéricos en String en QuickSight si edita el conjunto de datos.

Recibe el código de error DatasetRulesUserDenied cuando crea un análisis

Este error DataRulesUserDenied se produce cuando el usuario no está en la regla del conjunto de datos. Para resolver este error, agregue el usuario a la regla del conjunto de datos y, a continuación, actualice el conjunto de datos.

Información relacionada

Using row-level security (RLS) with user-based rules to restrict access to a dataset (Uso de seguridad de nivel de fila [RLS] con reglas basadas en usuarios para restringir el acceso a un conjunto de datos)

Using row-level security (RLS) with tag-based rules to restrict access to a dataset when embedding dashboards for anonymous users (Uso de seguridad de nivel de fila [RLS] con reglas basadas en etiquetas para restringir el acceso a un conjunto de datos al insertar paneles para usuarios anónimos)

Adding filter conditions (group filters) with AND and OR operators (Adición de condiciones de filtro [filtros de grupo] con operadores AND y OR)

Temas

Análisis

Etiquetas

Amazon QuickSight

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cuáles son los problemas más comunes que pueden producirse cuando se utilizan la copia de seguridad y la restauración nativas en RDS para SQL Server?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los problemas de inicio de sesión con QuickSight?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo se resuelven los problemas relacionados con la unión de orígenes de datos en QuickSight?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los errores de “acceso denegado” cuando utilizo Athena como origen de datos en QuickSight?
OFICIAL DE AWSActualizada hace 2 años