Membuat koneksi sumber QuickSight data Amazon ke Starburst dengan kredensi OAuth klien - Amazon QuickSight
Menyimpan OAuth kredensilContoh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat koneksi sumber QuickSight data Amazon ke Starburst dengan kredensi OAuth klien

Anda dapat menggunakan kredensi OAuth klien untuk menghubungkan QuickSight akun Anda dengan Starburst melalui. QuickSight APIs OAuthadalah protokol otorisasi standar yang sering digunakan untuk aplikasi yang memiliki persyaratan keamanan tingkat lanjut. Saat Anda terhubung ke Starburst dengan kredensyal OAuth klien, Anda dapat membuat kumpulan data yang berisi data Starburst dengan dan di UI. QuickSight APIs QuickSight Untuk informasi selengkapnya tentang mengonfigurasi OAuth di Starburst, lihat otentikasi OAuth2.0.

QuickSight mendukung jenis client credentials OAuth hibah. OAuthkredensi klien digunakan untuk mendapatkan token akses untuk machine-to-machine komunikasi. Metode ini cocok untuk skenario di mana klien perlu mengakses sumber daya yang di-host di server tanpa keterlibatan pengguna.

Dalam aliran kredensyal klien OAuth 2.0, ada beberapa mekanisme otentikasi klien yang dapat digunakan untuk mengotentikasi aplikasi klien dengan server otorisasi. QuickSight mendukung kredensi klien berdasarkan Starburst OAuth untuk dua mekanisme berikut:

  • Token (berbasis rahasia KlienOAuth): Mekanisme otentikasi klien berbasis rahasia digunakan dengan kredensyal klien untuk memberikan aliran agar dapat mengautentikasi dengan server otorisasi. Skema otentikasi ini mengharuskan client_id dan client_secret aplikasi OAuth klien disimpan di Secrets Manager.

  • X509 (Kunci pribadi klien berbasis JWTOAuth): Solusi berbasis kunci sertifikat X509 menyediakan lapisan keamanan tambahan untuk OAuth mekanisme dengan sertifikat klien yang digunakan untuk mengautentikasi alih-alih rahasia klien. Metode ini terutama digunakan oleh klien pribadi yang menggunakan metode ini untuk mengotentikasi dengan server otorisasi dengan kepercayaan yang kuat antara kedua layanan.

QuickSight telah memvalidasi OAuth koneksi dengan penyedia Identitas berikut:

  • OKTA

  • PingFederate

Menyimpan OAuth kredensi di Secrets Manager

OAuthkredensi klien dimaksudkan untuk kasus machine-to-machine penggunaan dan tidak dirancang untuk menjadi interaktif. Untuk membuat koneksi sumber data antara QuickSight dan Starburst, buat rahasia baru di Secrets Manager yang berisi kredensyal Anda untuk aplikasi klien. OAuth Rahasia ARN yang dibuat dengan rahasia baru dapat digunakan untuk membuat kumpulan data yang berisi data Starburst. QuickSight Untuk informasi selengkapnya tentang menggunakan kunci Secrets Manager QuickSight, lihatMenggunakan AWS Secrets Manager rahasia alih-alih kredensil basis data di Amazon QuickSight.

Kredensyal yang perlu Anda simpan di Secrets Manager ditentukan oleh OAuth mekanisme yang Anda gunakan. key/value Pasangan berikut diperlukan untuk rahasia berbasis X509: OAuth

  • username: Nama pengguna akun Starburst yang akan digunakan saat menghubungkan ke Starburst

  • client_id: ID OAuth klien

  • client_private_key: Kunci pribadi OAuth klien

  • client_public_key: Kunci publik sertifikat OAuth klien dan algoritma terenkripsi (misalnya,) {"alg": "RS256", "kid", "cert_kid"}

key/value Pasangan berikut diperlukan untuk rahasia berbasis tokenOAuth:

  • username: Nama pengguna akun Starburst yang akan digunakan saat menghubungkan ke Starburst

  • client_id: ID OAuth klien

  • client_secret: rahasia OAuth klien

Membuat OAuth koneksi Starburst dengan QuickSight APIs

Setelah Anda membuat rahasia di Secrets Manager yang berisi OAuth kredensyal Starburst Anda dan telah menghubungkan akun Anda ke QuickSight Secrets Manager, Anda dapat membuat koneksi sumber data antara QuickSight dan Starburst dengan dan SDK. QuickSight APIs Contoh berikut membuat koneksi sumber data Starburst menggunakan kredensi OAuth klien token.

{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "DATASOURCEID",
    "Name": "NAME",
    "Type": "STARBURST",
    "DataSourceParameters": {
        "StarburstParameters": {
            "Host": "STARBURST_HOST_NAME",
            "Port": "STARBURST_PORT",
            "Catalog": "STARBURST_CATALOG",
            "ProductType": "STARBURST_PRODUCT_TYPE",     
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "starburst-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN"
            }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Starburst"
    },
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Untuk informasi selengkapnya tentang operasi CreateDatasource API, lihat CreateDataSource.

Setelah koneksi antara QuickSight dan Starburst dibuat dan sumber data dibuat dengan QuickSight APIs atau SDK, sumber data baru ditampilkan di. QuickSight QuickSight penulis dapat menggunakan sumber data ini untuk membuat kumpulan data yang berisi data Starburst. Tabel ditampilkan berdasarkan peran yang digunakan dalam DatabaseAccessControlRole parameter yang diteruskan dalam panggilan CreateDataSource API. Jika parameter ini tidak ditentukan saat koneksi sumber data dibuat, peran Starburst default digunakan.

Setelah Anda berhasil membuat koneksi sumber data antara akun Anda QuickSight dan Starburst, Anda dapat mulai membuat QuickSight kumpulan data yang berisi data Starburst.