Блог

У нас есть одна учетная запись AWS и экземпляр QuickSight Enterprise Edition, который обслуживает внутренних пользователей. Его основным источником данных является кластер красного смещения в той же учетной записи. Но теперь мы хотим предоставить информационные панели QuickSight внешним клиентам компании.

На данный момент у нас нет SaaS, сервера приложений или веб-приложения для обработки аутентификации пользователей, поэтому мы будем предоставлять пользователей внешним клиентам непосредственно в QuickSight и не будем делать ставку на встроенную аналитику. Мы не хотим использовать аутентификацию по объявлению, поэтому, я думаю, остается только приглашать пользователей по электронной почте или IAM, особенно если мы хотим обеспечить соблюдение MFA? В чем именно разница между приглашением кого-либо по почте присоединиться к QS и приглашением пользователей IAM по почте? Первый вариант проще и дешевле, но тогда безопасность обеспечивается почтовым провайдером?

И каков лучший подход с точки зрения безопасности? Использовать один и тот же QS для внутренних и внешних пользователей или создать новую учетную запись AWS и экземпляр QS для внешних пользователей и подключить его к красному смещению с прежнего счета? Сложно ли подключиться из одной учетной записи к Redshift из другой?

Кто-нибудь знает, как другие компании рассматривали такие дела с участием внутренних и внешних пользователей?