使用AWS PrivateLink保护Amazon QuickSight中的数据安全

主要内容摘要

在本篇文章中，我们探讨了如何通过AWS PrivateLink使用VPC端点来保护Amazon QuickSight中的数据安全。PrivateLink提供了私有连接，确保数据在AWS网络中流动而不会暴露在公共互联网上。通过这种方式，管理员可以限制未经授权的访问，并进一步增强安全性和合规性。本文还讲述了如何设置VPC端点、创建DNS条目以及限制QuickSight网站的访问。

Amazon QuickSight是一个完全管理的云端商业智能BI服务，用户可以透过它连接数据并创建可与数千用户共享的互动式仪表板。使用AWS PrivateLink的VPC端点可以提供QuickSight网站、VPC及内部网络之间的私密连接，无需将流量暴露给公共互联网。所有的通信都在AWS内部进行，有效地保障了数据的安全性。

使用案例概述

假设有一家虚构的金融机构 AnyFinancial，运营著敏感的银行应用程序并希望提高其数据安全性。他们决定为QuickSight实施VPC端点以确保所有流量通过AWS网络安全地传输。这样可以降低未经授权访问数据的风险，并透过VPC端点政策实施更细致的访问控制以进一步增强安全性和合规性。

解决方案概述

要设置QuickSight的VPC端点，管理员需要完成以下步骤：

创建QuickSight的VPC端点。设立DNS条目以将QuickSight网站的请求路由到新创建的VPC端点。确保终端用户的浏览器使用这些DNS条目进行解析，并将流量路由进入VPC，这样可以通过VPC端点进行传输。

如下图所示，终端用户的流量是如何通过VPC端点与QuickSight网站进行通信的：

数据流包括以下步骤：

用户打开quicksightawsamazoncom。公司DNS将查询转发到Amazon Route 53的入站解析器端点。DNS查询和响应通过Direct Connect进行私密通信。浏览器开始与QuickSight建立HTTPS连接并通过Direct Connect传输流量。流量进入QuickSight网站的VPC端点。VPC端点将流量传递至AWS管理的QuickSight网站伺服器。浏览器加载QuickSight网站，并请求存储在Amazon CloudFront上的JavaScript、CSS及其他静态资源。

前置要求

请参阅前置要求，了解创建VPC端点所需的步骤。

创建QuickSight VPC端点

VPC端点是在VPC内创建的。要创建VPC端点，首先要创建或识别AWS帐户中的一个VPC如前置要求中提到的。VPC和VPC端点是按AWS区域特定的，因此请确保选择路由终端用户流量的正确区域。

以下是创建VPC端点的示例步骤：

选择终端用户浏览器流量将通过的子网，并选择一个安全组以允许入站IPv4和/或IPv6的443端口HTTPS流量。VPC端点创建的私有DNS将为quicksightwebsiteltregiongtamazonawscom，但QuickSight网站URL的格式为ltregiongtquicksightawsamazoncom，因此需要单独创建私有的托管区并添加DNS条目。

您可以选择向端点添加自定义VPC端点政策，这使您能够限制端点仅用于特定的QuickSight帐户或某些AWS组织下的帐户。以下截图展示了如何在创建QuickSight的VPC端点时添加自定义政策。

以下是示范的自定义政策JSON：

json{ Version 20121017 Statement [ { Effect Allow Principal Action Resource Condition { StringEquals { awsPrincipalAccount [ 012345678901 ] } } } ]}

创建DNS条目

终端用户的浏览器必须将QuickSight域名quicksightawsamazoncom解析到您创建的VPC端点。终端用户从浏览器访问QuickSight时，浏览器将请求通过VPC端点而不是公共互联网发送。如果您使用Route 53作为DNS，可以按以下示例配置A和AAAA记录。

限制QuickSight网站的访问

现在您已经为QuickSight创建了VPC端点并添加了所需的DNS条目，可以限制通过VPC端点来传输流量。这可以防止普通互联网用户访问您的QuickSight帐户，进一步保障帐户安全。

在QuickSight控制台中，选择用户个人资料，然后选择管理QuickSight。点击安全性和权限。在IP和VPC端点限制部分，选择管理。开启强制限制以启用VPC端点限制。

这需要具备AWS身份和访问管理IAM权限的用户进行操作。

以下示例展示了如何在QuickSight控制台启用限制：

有两种选择可以限制访问：

VPC端点ID 如果您希望限制访问，使得仅通过VPC端点的流量被允许，则必须使用VPC端点ID。VPC ID 如果您希望限制访问，使得仅来自特定VPC的流量被允许，则可以使用VPC ID。然而，这将允许来自VPC的所有网络路径的访问，并不如VPC端点ID那么具体和安全。

在本文中，我们使用VPC端点ID选项。

除了在QuickSight管理控制台中实施限制，您还可以通过AWS命令行界面AWS CLI以编程方式启用VPC限制。

以下是启用VPC限制的AWS CLI命令示例：

shaws quicksight updateiprestriction awsaccountid 12345678999 region useast1 enabled vpcidrestrictionrulemap vpc012345678abcd999=MyVpcAllowed

以下是禁用VPC限制的AWS CLI命令示例：

shaws quicksight updateiprestriction awsaccountid 12345678999 region useast1 noenabled vpcidrestrictionrulemap vpc012345678abcd999=MyVpcAllowed

测试QuickSight的VPC端点

启用VPC限制后，您可以通过启动一个Amazon Elastic Compute CloudAmazon EC2实例，并从该实例访问QuickSight来进行测试。

以下截图显示了QuickSight是从VPC内的机器访问的：

在以下示例中，您可以看到同一用户试图从VPC之外访问相同的QuickSight帐户，但访问被拒绝。

飞鱼加速器feiyu66

使用QuickSight VPC端点时的考虑事项

使用QuickSight VPC端点时，需考虑以下几点：

VPC端点支持QuickSight网站，但截至目前为止，QuickSight公共API的VPC端点尚不支持。QuickSight支持数据源如Amazon关联资料库服务Amazon RDS和自管理的Amazon EC2数据库，这些数据源通过QuickSight网站使数据可用。如果希望通过VPC保障这些数据源与QuickSight之间的流量，需要分别创建数据源的VPC连接。访问QuickSight特定管理功能需要使用IAM权限进行登录。如果您通过VPC端点登录AWS管理控制台，则需要配置您的VPC端点。要通过VPC端点访问存储在Amazon简单存储服务Amazon S3中的QuickSight内容，例如分页报告的PDF下载，需要有一条规则来导向所有Amazon S3流量。需要通过互联网访问CloudFront以获取静态资源。QuickSight允许您直接并通过嵌入方式使仪表板可供公众查看。如果您将QuickSight网站的流量限制为仅通过VPC端点，那么公共共享将不再是真正的公共共享，因为VPC端点规则优先于所有其他规则。

结论

通过这次更新，管理员可以加强QuickSight部署的安全性。额外的安全配置如端点政策进一步保障了数据和QuickSight资源的安全。如需了解如何安全地将数据源与QuickSight连接，请参阅使用Amazon QuickSight连接到VPC。

立即开始实施Amazon QuickSight的VPC端点！

关于作者

Ashok Dasineni是Amazon QuickSight的解决方案架构师。在加入AWS之前，Ashok曾在银行和金融领域与客户和组织合作，专注于欺诈研究和预防。他设计并实施创新的解决方案以改善业务流程，降低成本并增加收入，帮助全球企业充分发挥数据的潜力。

Camille Taylor是AWS上的Amazon QuickSight管理、身份管理和治理的高级技术产品经理。她的职业生涯专注于帮助《财富》500强公司从其数据中获取价值，并在各个行业中推动商业智能投资的扩展。

Karthik Tharmarajan是Amazon QuickSight的高级专业解决方案架构师，拥有超过15年的企业商业智能解决方案实施经验，专注于商业应用程序的BI解决方案集成和数据驱动决策的启用。

Scott Morrison是AWS的高级专业解决方案架构师，专注于网络。他喜欢在业余时间编程解决独特的问题，非工作时则常常在拉斯维加斯附近的沙漠中越野，或者偶尔参加扑克比赛。

加载评论