Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear una conexión de fuente QuickSight de datos de Amazon a Starburst con credenciales de OAuth cliente
Puede utilizar las credenciales de OAuth cliente para conectar su QuickSight cuenta con Starburst a través del QuickSight APIs. OAuthes un protocolo de autorización estándar que se utiliza a menudo para aplicaciones que tienen requisitos de seguridad avanzados. Cuando te conectas a Starburst con credenciales de OAuth cliente, puedes crear conjuntos de datos que contengan datos de Starburst con QuickSight APIs y en la interfaz de usuario. QuickSight Para obtener más información sobre la configuración OAuth en Starburst, consulta la autenticación 2.0. OAuth
QuickSight admite el tipo de client credentials OAuth concesión. OAuthlas credenciales del cliente se utilizan para obtener un token de acceso para machine-to-machine la comunicación. Este método es adecuado para situaciones en las que un cliente necesita acceder a los recursos que están alojados en un servidor sin la participación de un usuario.
En el flujo de credenciales de cliente de la OAuth versión 2.0, hay varios mecanismos de autenticación de clientes que se pueden utilizar para autenticar la aplicación cliente con el servidor de autorización. QuickSight admite las credenciales de cliente basadas en OAuth Starburst para los dos mecanismos siguientes:
-
Token (basado en los secretos del clienteOAuth): el mecanismo de autenticación del cliente basado en secretos se utiliza con las credenciales del cliente para conceder el flujo a fin de autenticarse con el servidor de autorización. Este esquema de autenticación requiere que la
client_idyclient_secretde la aplicación OAuth cliente se almacenen en Secrets Manager. -
X509 (clave privada del cliente basada en JWTOAuth): la solución basada en el certificado X509 proporciona una capa de seguridad adicional al OAuth mecanismo con certificados de cliente que se utilizan para autenticar en lugar de secretos de cliente. Este método lo utilizan principalmente los clientes privados que lo utilizan para autenticarse en el servidor de autorización con una fuerte confianza entre los dos servicios.
QuickSight ha validado OAuth las conexiones con los siguientes proveedores de identidad:
-
OKTA
-
PingFederate
Almacenamiento de OAuth credenciales en Secrets Manager
OAuthlas credenciales de cliente están pensadas para casos de machine-to-machine uso y no están diseñadas para ser interactivas. Para crear una conexión de fuente de datos entre Starburst QuickSight y Starburst, crea un nuevo secreto en Secrets Manager que contenga tus credenciales para la OAuth aplicación cliente. El ARN secreto que se crea con el nuevo secreto se puede utilizar para crear conjuntos de datos que contengan datos de Starburst. QuickSight Para obtener más información sobre el uso de las claves de Secrets Manager en QuickSight, consulteUsar AWS Secrets Manager secretos en lugar de credenciales de bases de datos en Amazon QuickSight.
Las credenciales que debe almacenar en Secrets Manager vienen determinadas por el OAuth mecanismo que utilice. Los siguientes key/value pares son necesarios para los secretos basados en el X509OAuth:
-
username: El nombre de usuario de la cuenta Starburst que se utilizará al conectarse a Starburst -
client_id: El ID del cliente OAuth -
client_private_key: La clave privada del OAuth cliente -
client_public_key: La clave pública del certificado del OAuth cliente y su algoritmo cifrado (por ejemplo,{"alg": "RS256", "kid", "cert_kid"})
Los siguientes key/value pares son necesarios para los secretos basados en tokensOAuth:
-
username: El nombre de usuario de la cuenta Starburst que se utilizará al conectarse a Starburst -
client_id: El ID del cliente OAuth -
client_secret: el secreto OAuth del cliente
Crear una OAuth conexión Starburst con el QuickSight APIs
Tras crear un secreto en Secrets Manager que contenga tus OAuth credenciales de Starburst y hayas conectado tu QuickSight cuenta a Secrets Manager, podrás establecer una conexión de fuente de datos entre Starburst QuickSight y Starburst con el QuickSight APIs SDK y. En el siguiente ejemplo, se crea una conexión a una fuente de datos de Starburst con credenciales de cliente simbólicas. OAuth
{ "AwsAccountId": "AWSACCOUNTID", "DataSourceId": "DATASOURCEID", "Name": "NAME", "Type": "STARBURST", "DataSourceParameters": { "StarburstParameters": { "Host": "STARBURST_HOST_NAME", "Port": "STARBURST_PORT", "Catalog": "STARBURST_CATALOG", "ProductType": "STARBURST_PRODUCT_TYPE", "AuthenticationType": "TOKEN", "DatabaseAccessControlRole": "starburst-db-access-role-name", "OAuthParameters": { "TokenProviderUrl": "oauth-access-token-endpoint", "OAuthScope": "oauth-scope", "IdentityProviderResourceUri" : "resource-uri", "IdentityProviderVpcConnectionProperties" : { "VpcConnectionArn": "IdP-VPC-connection-ARN" } } }, "VpcConnectionProperties": { "VpcConnectionArn": "VPC-connection-ARN-for-Starburst" }, "Credentials": { "SecretArn": "oauth-client-secret-ARN" } }
Para obtener más información sobre el funcionamiento de la CreateDatasource API, consulte CreateDataSource.
Una vez que se haya establecido la conexión entre QuickSight Starburst y se haya creado una fuente de datos con el SDK QuickSight APIs o el SDK, se mostrará la nueva fuente de datos en QuickSight. QuickSight los autores pueden usar esta fuente de datos para crear conjuntos de datos que contengan datos de Starburst. Las tablas se muestran en función del rol utilizado en el DatabaseAccessControlRole parámetro que se transfiere en una llamada a la CreateDataSource API. Si este parámetro no está definido cuando se crea la conexión a la fuente de datos, se utiliza el rol predeterminado de Starburst.
Una vez que haya creado correctamente una conexión de fuente de datos entre su cuenta QuickSight y la de Starburst, puede empezar a crear QuickSight conjuntos de datos que contengan datos de Starburst.
