Menggunakan AWS Secrets Manager rahasia alih-alih kredensil basis data di Amazon QuickSight - Amazon QuickSight
Memberikan QuickSight akses ke Secrets Manager dan rahasia yang dipilihMembuat atau memperbarui sumber data dengan kredensi rahasia menggunakan API QuickSight Apa yang ada di rahasiaMemodifikasi rahasia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Secrets Manager rahasia alih-alih kredensil basis data di Amazon QuickSight

   Pemirsa yang dituju: QuickSight Administrator Amazon dan pengembang Amazon QuickSight  

AWS Secrets Manager adalah layanan penyimpanan rahasia yang dapat Anda gunakan untuk melindungi kredensi database, kunci API, dan informasi rahasia lainnya. Menggunakan kunci membantu Anda memastikan bahwa rahasia tidak dapat dikompromikan oleh seseorang yang memeriksa kode Anda, karena rahasia tidak disimpan dalam kode. Untuk ikhtisar, lihat Panduan AWS Secrets Manager Pengguna.

QuickSight Administrator Amazon dapat memberikan akses QuickSight read-only ke rahasia yang mereka buat di Secrets Manager. Rahasia ini dapat digunakan sebagai pengganti kredensyal database saat membuat dan mengedit sumber data menggunakan API. QuickSight

QuickSight mendukung penggunaan rahasia dengan tipe sumber data yang mendukung otentikasi pasangan kredensi. Jira dan saat ServiceNow ini tidak didukung.

catatan

Jika Anda menggunakan AWS Secrets Manager Amazon QuickSight, Anda ditagih untuk akses dan pemeliharaan seperti yang dijelaskan di halaman AWS Secrets Manager Harga. Dalam laporan penagihan Anda, biaya diperinci di bawah Secrets Manager dan bukan di bawah. QuickSight

Gunakan prosedur berikut yang dijelaskan di bagian berikut untuk mengintegrasikan Secrets Manager dengan Amazon QuickSight.

Memberikan QuickSight akses ke Secrets Manager dan rahasia yang dipilih

Jika Anda seorang administrator dan memiliki rahasia di Secrets Manager, Anda dapat memberikan Amazon akses QuickSight read-only ke rahasia yang dipilih.

Untuk memberikan QuickSight akses ke Secrets Manager dan rahasia yang dipilih

  1. Di QuickSight, pilih ikon pengguna Anda di kanan atas, lalu pilih Kelola QuickSight.

    Kelola QuickSight menu.

  2. Pilih Keamanan & izin di sebelah kiri.

  3. Pilih Kelola dalam QuickSight akses ke AWS sumber daya.

    Kelola keamanan dan izin.

  4. Di Izinkan akses dan penemuan otomatis untuk sumber daya ini, pilih AWS Secrets Manager, Pilih rahasia.

    Halaman AWS Secrets Manager rahasia terbuka.

  5. Pilih rahasia yang ingin Anda berikan akses QuickSight hanya-baca.

    Rahasia di Region QuickSight pendaftaran Anda ditampilkan secara otomatis. Untuk memilih rahasia di luar Wilayah asal Anda, pilih Rahasia di AWS Wilayah Lain, lalu masukkan Nama Sumber Daya Amazon (ARN) untuk rahasia tersebut.

  6. Setelah selesai, pilih Selesai.

    QuickSight membuat peran IAM yang disebut aws-quicksight-secretsmanager-role-v0 di akun Anda. Ini memberi pengguna di akun akses hanya-baca ke rahasia yang ditentukan dan terlihat mirip dengan yang berikut:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:accountId:secret:secret_name"
      ]
    }
  ]
}

    Saat QuickSight pengguna membuat analisis dari atau melihat dasbor yang menggunakan sumber data dengan rahasia, QuickSight asumsikan peran IAM Secrets Manager ini. Untuk informasi selengkapnya tentang kebijakan izin rahasia, lihat Otentikasi dan kontrol akses untuk AWS Secrets Manager di AWS Secrets Manager Panduan Pengguna.

    Rahasia yang ditentukan dalam peran QuickSight IAM mungkin memiliki kebijakan sumber daya tambahan yang menolak akses. Untuk informasi selengkapnya, lihat Melampirkan kebijakan izin ke rahasia di Panduan AWS Secrets Manager Pengguna.

    Jika Anda menggunakan AWS KMS kunci AWS terkelola untuk mengenkripsi rahasia Anda, QuickSight tidak memerlukan pengaturan izin tambahan di Secrets Manager.

    Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi rahasia Anda, pastikan bahwa peran QuickSight IAM, aws-quicksight-secretsmanager-role-v0 memiliki kms:Decrypt izin. Untuk informasi selengkapnya, lihat Izin untuk kunci KMS di AWS Secrets Manager Panduan Pengguna.

    Untuk informasi selengkapnya tentang jenis kunci yang digunakan dalam Layanan Manajemen AWS Kunci, lihat Kunci dan AWS kunci pelanggan dalam panduan Layanan Manajemen AWS Kunci.

Membuat atau memperbarui sumber data dengan kredensi rahasia menggunakan API QuickSight

Setelah QuickSight administrator memberikan akses QuickSight hanya-baca ke Secrets Manager, Anda dapat membuat dan memperbarui sumber data di API menggunakan rahasia yang dipilih administrator sebagai kredensional.

Berikut ini adalah contoh panggilan API untuk membuat sumber data di QuickSight. Contoh ini menggunakan operasi create-data-source API. Anda juga dapat menggunakan update-data-source operasi ini. Untuk informasi selengkapnya, lihat CreateDataSourcedan UpdateDataSourcedi Referensi Amazon QuickSight API.

Pengguna yang ditentukan dalam izin dalam contoh panggilan API berikut dapat menghapus, melihat, dan mengedit sumber data untuk sumber data MySQL yang ditentukan di. QuickSight Mereka juga dapat melihat dan memperbarui izin sumber data. Alih-alih QuickSight nama pengguna dan kata sandi, ARN rahasia digunakan sebagai kredensil untuk sumber data.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dalam panggilan ini, QuickSight mengotorisasi secretsmanager:GetSecretValue akses ke rahasia berdasarkan kebijakan IAM pemanggil API, bukan kebijakan peran layanan IAM. Peran layanan IAM bertindak pada tingkat akun dan digunakan ketika analisis atau dasbor dilihat oleh pengguna. Ini tidak dapat digunakan untuk mengotorisasi akses rahasia ketika pengguna membuat atau memperbarui sumber data.

Saat mereka mengedit sumber data di QuickSight UI, pengguna dapat melihat ARN rahasia untuk sumber data yang digunakan AWS Secrets Manager sebagai tipe kredensi. Namun, mereka tidak dapat mengedit rahasia, atau memilih rahasia yang berbeda. Jika mereka perlu melakukan perubahan, misalnya ke server database atau port, pengguna harus terlebih dahulu memilih pasangan Credential dan memasukkan nama pengguna dan kata sandi QuickSight akun mereka.

Rahasia secara otomatis dihapus dari sumber data ketika sumber data diubah di UI. Untuk mengembalikan rahasia ke sumber data, gunakan operasi update-data-source API.

Apa yang ada di rahasia

QuickSight memerlukan format JSON berikut untuk mengakses rahasia Anda:

{
  "username": "username",
  "password": "password"
}

passwordBidang username dan diperlukan QuickSight untuk mengakses rahasia. Semua bidang lainnya bersifat opsional dan diabaikan oleh QuickSight.

Format JSON dapat bervariasi tergantung pada jenis database. Untuk informasi selengkapnya, lihat struktur JSON rahasia kredenal AWS Secrets Manager database di AWS Secrets Manager Panduan Pengguna.

Memodifikasi rahasia

Untuk mengubah rahasia, Anda menggunakan Secrets Manager. Setelah Anda membuat perubahan pada rahasia, pembaruan menjadi tersedia saat berikutnya QuickSight meminta akses ke rahasia.