Erstellen einer QuickSight Amazon-Datenquellenverbindung zu Starburst mit OAuth Kundenanmeldedaten - Amazon QuickSight
OAuthAnmeldeinformationen speichernBeispiel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer QuickSight Amazon-Datenquellenverbindung zu Starburst mit OAuth Kundenanmeldedaten

Sie können OAuth Kundenanmeldedaten verwenden, um Ihr QuickSight Konto über die QuickSight APIsmit Starburst zu verbinden. OAuthist ein Standard-Autorisierungsprotokoll, das häufig für Anwendungen mit erhöhten Sicherheitsanforderungen verwendet wird. Wenn Sie mit OAuth Kundenanmeldedaten eine Verbindung zu Starburst herstellen, können Sie mit QuickSight APIs und in der Benutzeroberfläche Datensätze erstellen, die Starburst-Daten enthalten. QuickSight Weitere Informationen zur Konfiguration OAuth in Starburst finden Sie unter 2.0-Authentifizierung. OAuth

QuickSight unterstützt den client credentials OAuth Grant-Typ. OAuthClient-Anmeldeinformationen werden verwendet, um ein Zugriffstoken für die machine-to-machine Kommunikation zu erhalten. Diese Methode eignet sich für Szenarien, in denen ein Client ohne Beteiligung eines Benutzers auf Ressourcen zugreifen muss, die auf einem Server gehostet werden.

Im Prozess der Client-Anmeldeinformationen von OAuth 2.0 gibt es mehrere Client-Authentifizierungsmechanismen, mit denen die Client-Anwendung beim Autorisierungsserver authentifiziert werden kann. QuickSight unterstützt auf Starburst basierende OAuth Client-Anmeldeinformationen für die folgenden zwei Mechanismen:

  • Token (auf der Grundlage von Client-GeheimnissenOAuth): Der auf Geheimnissen basierende Client-Authentifizierungsmechanismus wird zusammen mit den Client-Anmeldeinformationen verwendet, um den Datenfluss für die Authentifizierung beim Autorisierungsserver zu gewähren. Dieses Authentifizierungsschema erfordert, dass das Ende client_secret der OAuth Client-App in Secrets Manager gespeichert ist. client_id

  • X509 (JWT-basiert auf privatem Client-SchlüsselOAuth): Die auf dem X509-Zertifikatsschlüssel basierende Lösung bietet eine zusätzliche Sicherheitsebene für den OAuth Mechanismus mit Client-Zertifikaten, die anstelle von Client-Geheimnissen zur Authentifizierung verwendet werden. Diese Methode wird hauptsächlich von privaten Clients verwendet, die diese Methode verwenden, um sich beim Autorisierungsserver zu authentifizieren, wobei ein hohes Vertrauen zwischen den beiden Diensten besteht.

QuickSight hat OAuth Verbindungen mit den folgenden Identitätsanbietern validiert:

  • OKTA

  • PingFederate

Speichern von OAuth Anmeldeinformationen in Secrets Manager

OAuthClient-Anmeldeinformationen sind für machine-to-machine Anwendungsfälle gedacht und nicht interaktiv konzipiert. Um eine Datenquellenverbindung zwischen QuickSight und Starburst herzustellen, erstellen Sie in Secrets Manager ein neues Geheimnis, das Ihre Anmeldeinformationen für die OAuth Client-App enthält. Der geheime ARN, der mit dem neuen Geheimnis erstellt wird, kann verwendet werden, um Datensätze zu erstellen, die Starburst-Daten enthalten. QuickSight Weitere Hinweise zur Verwendung von Secrets Manager Manager-Schlüsseln in QuickSight finden Sie unterVerwendung von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Amazon QuickSight.

Die Anmeldeinformationen, die Sie in Secrets Manager speichern müssen, werden durch den von Ihnen verwendeten OAuth Mechanismus bestimmt. Die folgenden key/value Paare sind für OAuth X509-basierte Geheimnisse erforderlich:

  • username: Der Benutzername des Starburst-Kontos, der für die Verbindung mit Starburst verwendet werden soll

  • client_id: Die Client-ID OAuth

  • client_private_key: Der private Schlüssel des OAuth Kunden

  • client_public_key: Der öffentliche Schlüssel des OAuth Client-Zertifikats und sein verschlüsselter Algorithmus (zum Beispiel{"alg": "RS256", "kid", "cert_kid"})

Die folgenden key/value Paare sind für tokenbasierte OAuth Geheimnisse erforderlich:

  • username: Der Benutzername des Starburst-Kontos, der für die Verbindung mit Starburst verwendet werden soll

  • client_id: Die Client-ID OAuth

  • client_secret: das geheime OAuth Client-Geheimnis

Erstellen einer OAuth Starburst-Verbindung mit dem QuickSight APIs

Nachdem Sie in Secrets Manager ein Geheimnis erstellt haben, das Ihre OAuth Starburst-Anmeldeinformationen enthält, und Ihr QuickSight Konto mit Secrets Manager verbunden haben, können Sie mit dem SDK und eine Datenquellenverbindung zwischen Starburst QuickSight und Starburst herstellen. QuickSight APIs Im folgenden Beispiel wird mithilfe von Token-Client-Anmeldeinformationen eine Starburst-Datenquellenverbindung erstellt. OAuth

{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "DATASOURCEID",
    "Name": "NAME",
    "Type": "STARBURST",
    "DataSourceParameters": {
        "StarburstParameters": {
            "Host": "STARBURST_HOST_NAME",
            "Port": "STARBURST_PORT",
            "Catalog": "STARBURST_CATALOG",
            "ProductType": "STARBURST_PRODUCT_TYPE",     
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "starburst-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN"
            }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Starburst"
    },
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Weitere Hinweise zur CreateDatasource API-Operation finden Sie unter CreateDataSource.

Sobald die Verbindung zwischen Starburst QuickSight und Starburst hergestellt und eine Datenquelle mit dem QuickSight APIs oder SDK erstellt wurde, wird die neue Datenquelle unter angezeigt. QuickSight QuickSight Autoren können diese Datenquelle verwenden, um Datensätze zu erstellen, die Starburst-Daten enthalten. Die Tabellen werden auf der Grundlage der Rolle angezeigt, die in dem DatabaseAccessControlRole Parameter verwendet wird, der in einem CreateDataSource API-Aufruf übergeben wird. Wenn dieser Parameter beim Erstellen der Datenquellenverbindung nicht definiert ist, wird die Starburst-Standardrolle verwendet.

Nachdem Sie erfolgreich eine Datenquellenverbindung zwischen Ihrem Konto QuickSight und Ihrem Starburst-Konto hergestellt haben, können Sie mit der Erstellung von QuickSight Datensätzen beginnen, die Starburst-Daten enthalten.