Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zugreifen auf AWS Ressourcen
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    Gilt für: Enterprise Edition und Standard Edition  | 


|  | 
| --- |
|    Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren  | 

Sie können die AWS Ressourcen kontrollieren, auf die Amazon Quick zugreifen kann, und den Zugriff auf diese Ressourcen detaillierter eingrenzen. In der Enterprise Edition können Sie auch allgemeine Zugriffsvorgaben für jeden in Ihrem Konto einrichten und einen spezifischen Zugriff für einzelne Benutzer und Gruppen einrichten. 

Diese Zugriffskonfigurationen sind für die Amazon Quick Sight-Datenquellenkonnektivität unerlässlich und ermöglichen sichere Verbindungen zu AWS Diensten wie Amazon S3, Amazon RDS, Amazon Redshift und Athena für die Datenanalyse und -visualisierung. Durch die richtige Einrichtung des Ressourcenzugriffs wird sichergestellt, dass Amazon Quick Sight Daten aus Ihren AWS Datenquellen abrufen und verarbeiten kann und dabei angemessene Sicherheitsgrenzen eingehalten werden.

Verwenden Sie die folgenden Abschnitte, um Ihre AWS Ressourcen für die Arbeit mit Quick zu konfigurieren.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie über die richtigen Berechtigungen verfügen. Ihr Systemadministrator kann Ihnen diese geben. Zu diesem Zweck erstellt Ihr Systemadministrator eine Richtlinie, mit der Sie bestimmte IAM-Aktionen verwenden können. Ihr Systemadministrator ordnet diese Richtlinie dann Ihrem Benutzer oder Ihrer Gruppe in IAM zu. Die erforderlichen Maßnahmen sind folgende:
+ **`quicksight:AccountConfigurations`**— Um die Einstellung des Standardzugriffs auf AWS Ressourcen zu aktivieren
+ **`quicksight:ScopeDownPolicy`**— Richtlinien für den Geltungsbereich von Berechtigungen für Ressourcen AWS 
+ Sie können auch Ihre eigenen IAM-Rollen in Amazon Quick einbringen. Weitere Informationen finden Sie unter [Weitergabe von IAM-Rollen an Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Um die AWS Dienste zu aktivieren oder zu deaktivieren, auf die Amazon Quick zugreifen kann**

1. Melden Sie sich bei Amazon Quick an unter[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. Wählen Sie oben rechts Ihren Benutzernamen und dann **Manage Quick** aus. 

1. Wählen Sie **Sicherheit und Berechtigungen**. 

1. Wählen Sie unter **QuickSight Zugriff auf AWS Dienste** die Option **Hinzufügen oder Entfernen** aus.

   Ein Bildschirm wird angezeigt, auf dem Sie alle verfügbaren AWS Dienste aktivieren können.
**Anmerkung**  
Wenn Ihnen ein Berechtigungsfehler angezeigt wird und Sie ein autorisierter Amazon Quick-Administrator sind, wenden Sie sich an Ihren Systemadministrator, um Unterstützung zu erhalten.

1. Aktivieren Sie die Kontrollkästchen für die Services, die Sie zulassen möchten. Deaktivieren Sie die Kontrollkästchen für die Services, die Sie nicht zulassen möchten.

   Wenn Sie bereits einen AWS Service aktiviert haben, ist das Kontrollkästchen für diesen Service bereits aktiviert. Wenn Amazon Quick auf einen bestimmten AWS Service nicht zugreifen kann, ist das entsprechende Kontrollkästchen nicht aktiviert.

   In einigen Fällen wird möglicherweise eine Meldung wie die folgende angezeigt. 

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   Diese Art von Nachricht bedeutet, dass eine der von Amazon Quick verwendeten IAM-Richtlinien manuell geändert wurde. Um dieses Problem zu beheben, muss der Systemadministrator die in der Fehlermeldung angegebene IAM-Richtlinie löschen und den Bildschirm **Sicherheit und Berechtigungen** erneut laden, bevor Sie es erneut versuchen.

1. Wählen Sie zur Bestätigung **Update (Aktualisieren)** oder **Cancel (Abbrechen)**, um zum vorherigen Bildschirm zurückzukehren.

**Topics**
+ [Granularer Zugriff auf AWS Dienste über IAM einrichten](scoping-policies-iam-interface.md)
+ [Verwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick](secrets-manager-integration.md)

# Granularer Zugriff auf AWS Dienste über IAM einrichten
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  Gilt für: Enterprise Edition  | 


|  | 
| --- |
|    Zielgruppe: Systemadministratoren und Amazon Quick-Administratoren  | 

In der Enterprise Edition bietet Ihnen Amazon Quick eine Möglichkeit, detaillierten Zugriff auf Ressourcen in AWS Services einzurichten. Wie jeder andere AWS Service verwendet Quick IAM-Richtlinien, um den Zugriff für Benutzer und Gruppen zu kontrollieren.

Bevor Sie beginnen, bitten Sie einen Administrator, im Voraus die erforderlichen IAM-Richtlinien einzurichten. Wenn diese eingerichtet sind, können Sie sie im Rahmen des Verfahrens in diesem Abschnitt auswählen. Informationen zum Erstellen von IAM-Richtlinien für die Verwendung mit Quick finden Sie unter [Identitäts- und Zugriffsverwaltung in](https://docs.aws.amazon.com/quicksight/latest/user/identity.html) Quick.

**So weisen Sie eine IAM-Richtlinie einem Benutzer oder einer Gruppe zu**

1. Melden Sie sich bei Quick an unter. [https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)

1. Wählen Sie links oben Ihren Benutzernamen und dann **Verwalten** aus QuickSight.

1. Wählen Sie **Sicherheit und Berechtigungen**. 

1. Wählen Sie unter **Resource access for individual users and groups (Ressourcenzugriff für einzelne Benutzer und Gruppen)** die Option **IAM policy assignments (IAM-Richtlinienzuweisungen)** aus.

   Die restlichen Schritte umfassen die Auswahl einer IAM-Richtlinie, die dem Benutzer oder der Gruppe zugewiesen werden soll. Sie können einem Amazon Quick-Benutzer oder einer Gruppe mehrere IAM-Richtlinien zuweisen. Um die Berechtigungen zu ermitteln, führt Amazon Quick eine Vereinigung und Überschneidung mit den Richtlinien AWS-Konto auf —Ebene durch. 

   Bereits vorhandene aktive IAM-Richtlinienzuweisungen werden auf dieser Seite aufgelistet. Sie können mithilfe des Suchfeldes nach vorhandenen Zuweisungen suchen. Wenn Sie über Entwürfe verfügen, die noch nicht aktiv sind, werden sie unter **Assignment drafts (Zuweisungsentwürfe)** aufgelistet.

1. Wählen Sie eine der folgenden Optionen:
   + Um eine IAM-Richtlinienzuweisung zu erstellen, wählen Sie **Add new assignment (Neue Zuweisung erstellen)**.
   + Um eine vorhandene Zuweisung zu bearbeiten, wählen Sie für die betreffende Zuweisung das Symbol **Edit assignment (Zuweisung bearbeiten)** aus.
   + Um eine Richtlinie zu aktivieren oder zu deaktivieren, wählen Sie das Kontrollkästchen der betreffenden Richtlinie und danach **Enable (Aktivieren)** bzw. **Disable (Deaktivieren)** aus. Sie können mehrere Richtlinienzuweisungen gleichzeitig auswählen.
   + Zum Löschen einer vorhandenen Zuweisung wählen Sie das Smbol **Remove assignment (Zuweisung entfernen)** in der Nähe des Namens der Zuweisung aus. Zur Bestätigung Ihrer Wahl klicken Sie im Bestätigungsbildschirm auf **Delete (Löschen)**. Oder wählen Sie **Zurück**, um den Löschvorgang abzubrechen. 

   Wenn Sie eine Zuweisung erstellen oder bearbeiten, fahren Sie mit dem nächsten Schritt fort. Fahren Sie andernfalls direkt am Ende dieses Verfahrens fort.

1. Auf dem nächsten Bildschirm führen Sie den Prozess der Richtlinienzuweisung durch, der in mehrere Schritte unterteilt ist. Während Sie die einzelnen Schritte ausführen, können Sie vorwärts oder rückwärts gehen, um Änderungen vorzunehmen. Wenn Sie den Bildschirm verlassen, werden Ihre Änderungen für alle Schritte gespeichert. 

   1. **Schritt 1: Benennen der Zuweisung** – Wenn es sich um eine neue Zuweisung handelt, geben Sie einen Namen für sie ein und klicken Sie dann auf **Weiter**, um fortzufahren. Wenn Sie den Namen ändern möchten, wählen Sie **Step 1 (Schritt 1)** auf der linken Seite.

   1. **Schritt 2: Auswählen einer IAM-Richtlinie** – Wählen Sie die IAM-Richtlinie aus, die Sie verwenden möchten. Über diesen Bildschirm ist wie folgt eine Interaktion mit den Richtlinien möglich. 
      + Wählen Sie eine Richtlinie aus, die Sie verwenden möchten.
      + Suchen Sie nach dem Namen einer Richtlinie.
      + Filtern Sie die Liste, um alle IAM-Richtlinien, verwalteten Richtlinien oder AWS kundenverwalteten Richtlinien zu sehen. 
      + Wählen Sie zur Ansicht einer Richtlinie **View policy (Richtlinie anzeigen)** aus. 

      Wählen Sie zur Auswahl einer Richtlinie die Schaltfläche daneben und wählen Sie dann **Next (Weiter)**, um fortzufahren.

   1. **Schritt 3: Zuweisen von Benutzern und Gruppen** – Wählen Sie spezifische Benutzer oder Gruppen aus. Oder wählen Sie die ausgewählte IAM-Richtlinie für alle Benutzer und Gruppen aus. 

      Wählen Sie eine der folgenden Optionen aus.
      + Aktivieren **Sie für Allen Benutzern und Gruppen zuweisen** das Kontrollkästchen, um die IAM-Richtlinie allen Amazon Quick-Benutzern und -Gruppen zuzuweisen. Durch Auswahl dieser Option wird die Richtlinie allen aktuellen und zukünftigen Benutzern und Gruppen zugewiesen. 
      + Wählen Sie die Benutzer und Gruppen aus, denen Sie diese IAM-Richtlinie zuweisen möchten. Sie können nach dem Namen, der E-Mail-Adresse oder dem Gruppennamen suchen.

      Wenn Sie die Auswahl von Benutzern und Gruppen abgeschlossen haben, klicken Sie auf **Next (Weiter)**, um fortzufahren.

   1. **Schritt 4: Änderungen überprüfen und aktivieren** – Speichern Sie Ihre Änderungen.

      Wählen Sie eine der folgenden Optionen aus.
      + Wenn Sie die von Ihnen getroffene Auswahl bearbeiten möchten, wählen Sie den entsprechenden Bearbeitungsschritt aus.
      + Um diese Richtlinienzuweisung als Entwurf zu speichern, wählen Sie **Save as draft (Als Entwurf speichern)**. Sie können den Entwurf später aktivieren.
      + Um diese Richtlinie sofort zu aktivieren, wählen Sie **Save and enable (Speichern und aktivieren)**. Durch diese Option wird jede vorhandene Richtlinienzuweisung desselben Namens überschrieben.

# Verwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Zielgruppe: Amazon Quick-Administratoren und Amazon Quick-Entwickler  | 

AWS Secrets Manager ist ein geheimer Speicherdienst, mit dem Sie Datenbankanmeldedaten, API-Schlüssel und andere geheime Informationen schützen können. Durch die Verwendung eines Schlüssels können Sie sicherstellen, dass das Geheimnis nicht durch eine Person, die Ihren Code untersucht, kompromittiert werden kann, da das Geheimnis nicht im Code gespeichert ist. Eine Übersicht finden Sie im [AWS Secrets Manager -Benutzerhandbuch](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Schnelladministratoren können Amazon Quick nur Lesezugriff auf Secrets gewähren, die sie in Secrets Manager erstellen. Diese Geheimnisse können anstelle von Datenbankanmeldedaten verwendet werden, wenn Datenquellen mithilfe der Quick API erstellt und bearbeitet werden.

Quick unterstützt die Verwendung von Geheimnissen mit Datenquellentypen, die die Authentifizierung mit Anmeldeinformationspaaren unterstützen. Jira und ServiceNow werden derzeit nicht unterstützt.

**Anmerkung**  
Wenn Sie Quick verwenden, werden Ihnen Zugriff und Wartung wie auf der Seite AWS Secrets Manager mit den [AWS Secrets Manager Preisen](https://aws.amazon.com/secrets-manager/pricing) beschrieben in Rechnung gestellt. In Ihrer Abrechnung sind die Kosten unter Secrets Manager und nicht unter Amazon Quick aufgeführt.

Verwenden Sie die in den folgenden Abschnitten beschriebenen Verfahren, um Secrets Manager in Amazon Quick zu integrieren.

**Topics**
+ [Amazon Quick Access auf Secrets Manager und ausgewählte Secrets gewähren](#secrets-manager-integration-select-secrets)
+ [Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der Amazon Quick API erstellen oder aktualisieren](#secrets-manager-integration-api)
+ [Was ist in dem Geheimnis enthalten?](#secrets-manager-integration-whats-in-secret)
+ [Ändern eines Secrets](#secrets-manager-integration-modifying)

## Amazon Quick Access auf Secrets Manager und ausgewählte Secrets gewähren
<a name="secrets-manager-integration-select-secrets"></a>

Wenn Sie ein Administrator sind und Geheimnisse in Secrets Manager haben, können Sie Amazon Quick nur Lesezugriff auf ausgewählte Geheimnisse gewähren. 

**Um Amazon Quick Access auf Secrets Manager und ausgewählte Secrets zu gewähren**

1. Wählen Sie in Amazon Quick oben rechts Ihr Benutzersymbol und dann **Manage Quick**.

1. Wählen Sie links **Sicherheit & Berechtigungen** aus.

1. Wählen Sie In **Amazon **verwalten** Schnellzugriff auf AWS Ressourcen**.

1. Wählen Sie unter **Zugriff und automatische Erkennung für diese Ressourcen zulassen** **AWS Secrets Manager**, **Geheimnisse auswählen** aus. 

   Die Seite mit den **AWS Secrets Manager -Geheimnissen** wird geöffnet. 

1. Wählen Sie die Secrets aus, für die Sie Amazon Quick nur Lesezugriff gewähren möchten.

   Geheimnisse in Ihrer Amazon-Schnellregistrierungsregion werden automatisch angezeigt. Um Secrets außerhalb Ihrer Heimatregion auszuwählen, wählen Sie **Secrets in Other AWS Regions** aus und geben Sie dann die Amazon-Ressourcennamen (ARNs) für diese Secrets ein.

1. Wenn Sie fertig sind, wählen Sie **Finish (Beenden)** aus. 

   Amazon Quick erstellt eine IAM-Rolle namens `aws-quicksight-secretsmanager-role-v0` in Ihrem Konto. Sie gewährt Benutzern im Konto nur Lesezugriff auf die angegebenen Geheimnisse und sieht in etwa wie folgt aus:

   Wenn Amazon Quick-Benutzer Analysen aus Dashboards erstellen oder Dashboards aufrufen, die eine Datenquelle mit Geheimnissen verwenden, übernimmt Amazon Quick diese Secrets Manager Manager-IAM-Rolle. Weitere Informationen zu geheimen Berechtigungsrichtlinien finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) im *AWS Secrets Manager -Benutzerhandbuch*.

   Das angegebene Geheimnis in der Amazon Quick IAM-Rolle hat möglicherweise eine zusätzliche Ressourcenrichtlinie, die den Zugriff verweigert. Weitere Beispiele finden Sie unter [Anhängen einer Berechtigungsrichtlinie an ein Geheimnis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) im *AWS Secrets Manager -Benutzerhandbuch*.

   Wenn Sie einen AWS verwalteten AWS KMS Schlüssel verwenden, um Ihr Geheimnis zu verschlüsseln, benötigt Amazon Quick keine zusätzlichen Berechtigungen, die in Secrets Manager eingerichtet wurden.

   Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Geheimnisses verwenden, stellen Sie sicher, dass die Amazon Quick IAM-Rolle über Berechtigungen `aws-quicksight-secretsmanager-role-v0` verfügt`kms:Decrypt`. Weitere Informationen finden Sie unter [Berechtigungen für den KMS-Schlüssel](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) im *AWS Secrets Manager -Benutzerhandbuch*.

   Weitere Informationen zu den Schlüsseltypen, die im AWS Key Management Service verwendet werden, finden Sie unter [Kundenschlüssel und AWS Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) im *AWS Key Management Service-Handbuch*.

## Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der Amazon Quick API erstellen oder aktualisieren
<a name="secrets-manager-integration-api"></a>

Nachdem der Amazon Quick-Administrator Amazon Quick schreibgeschützten Zugriff auf Secrets Manager gewährt hat, können Sie Datenquellen in der API mithilfe eines Geheimnisses erstellen und aktualisieren, das der Administrator als Anmeldeinformationen ausgewählt hat.

Im Folgenden finden Sie ein Beispiel für einen API-Aufruf zum Erstellen einer Datenquelle in Amazon Quick. In diesem Beispiel wird die API-Operation `create-data-source` verwendet. Sie können auch die `update-data-source`-Operation verwenden. Weitere Informationen finden Sie unter [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)und [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)in der *Amazon Quick API Reference*.

Der Benutzer, der in den Berechtigungen im folgenden Beispiel für einen API-Aufruf angegeben ist, kann Datenquellen für die angegebene MySQL-Datenquelle in Amazon Quick löschen, anzeigen und bearbeiten. Sie können auch die Datenquellenberechtigungen anzeigen und aktualisieren. Anstelle eines Amazon Quick-Benutzernamens und -Passworts wird ein geheimer ARN als Anmeldeinformationen für die Datenquelle verwendet.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

Bei diesem Aufruf autorisiert Amazon Quick den `secretsmanager:GetSecretValue` Zugriff auf den geheimen Schlüssel auf der Grundlage der IAM-Richtlinie des API-Aufrufers, nicht auf der Richtlinie der IAM-Servicerolle. Die IAM-Servicerolle agiert auf Kontoebene und wird verwendet, wenn ein Benutzer eine Analyse oder ein Dashboard aufruft. Sie kann nicht verwendet werden, um den geheimen Zugriff zu autorisieren, wenn ein Benutzer die Datenquelle erstellt oder aktualisiert. 

Wenn sie eine Datenquelle in der Amazon Quick UI bearbeiten, können Benutzer den geheimen ARN für Datenquellen einsehen, die AWS Secrets Manager als Anmeldeinformationstyp verwenden. Allerdings können sie das Geheimnis nicht bearbeiten oder ein anderes Geheimnis auswählen. Wenn sie Änderungen vornehmen müssen, z. B. am Datenbankserver oder Port, müssen Benutzer zunächst **Credential Pair** auswählen und den Benutzernamen und das Passwort für ihr Amazon Quick-Konto eingeben.

Geheimnisse werden automatisch aus einer Datenquelle entfernt, wenn die Datenquelle in der Benutzeroberfläche geändert wird. Verwenden Sie den `update-data-source`-API-Vorgang, um das Geheimnis in der Datenquelle wiederherzustellen.

## Was ist in dem Geheimnis enthalten?
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick benötigt das folgende JSON-Format, um auf Ihr Geheimnis zuzugreifen:

```
{
  "username": "username",
  "password": "password"
}
```

Die `password` Felder `username` und sind erforderlich, damit Amazon Quick auf Geheimnisse zugreifen kann. Alle anderen Felder sind optional und werden von Amazon Quick ignoriert.

Das JSON-Format kann je nach Art der Datenbank variieren. Weitere Informationen finden Sie im *AWS Secrets Manager Benutzerhandbuch* unter [JSON-Struktur von geheimen AWS Secrets Manager Datenbankanmeldedaten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html).

## Ändern eines Secrets
<a name="secrets-manager-integration-modifying"></a>

Um ein Geheimnis zu ändern, verwenden Sie Secrets Manager. Nachdem Sie Änderungen an einem Secret vorgenommen haben, werden die Updates verfügbar, sobald Amazon Quick das nächste Mal Zugriff auf das Secret anfordert.