Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der QuickSight API erstellen oder aktualisieren - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der QuickSight API erstellen oder aktualisieren

Nachdem der QuickSight Administrator Secrets Manager QuickSight nur Lesezugriff gewährt hat, können Sie Datenquellen in der API mithilfe eines Geheimnisses erstellen und aktualisieren, das der Administrator als Anmeldeinformationen ausgewählt hat.

Im Folgenden finden Sie ein Beispiel für einen API-Aufruf zum Erstellen einer Datenquelle in. QuickSight In diesem Beispiel wird die API-Operation create-data-source verwendet. Sie können auch die update-data-source-Operation verwenden. Weitere Informationen finden Sie unter CreateDataSourceund UpdateDataSourcein der Amazon QuickSight API-Referenz.

Der Benutzer, der in den Berechtigungen im folgenden Beispiel für einen API-Aufruf angegeben ist, kann Datenquellen für die angegebene MySQL-Datenquelle in löschen, anzeigen und bearbeiten QuickSight. Sie können auch die Datenquellenberechtigungen anzeigen und aktualisieren. Anstelle eines QuickSight Benutzernamens und eines Kennworts wird ein geheimer ARN als Anmeldeinformationen für die Datenquelle verwendet.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Bei diesem Aufruf wird der secretsmanager:GetSecretValue Zugriff auf QuickSight den geheimen Schlüssel auf der Grundlage der IAM-Richtlinie des API-Aufrufers autorisiert, nicht auf der Richtlinie der IAM-Dienstrolle. Die IAM-Servicerolle agiert auf Kontoebene und wird verwendet, wenn ein Benutzer eine Analyse oder ein Dashboard aufruft. Sie kann nicht verwendet werden, um den geheimen Zugriff zu autorisieren, wenn ein Benutzer die Datenquelle erstellt oder aktualisiert.

Wenn sie eine Datenquelle in der QuickSight Benutzeroberfläche bearbeiten, können Benutzer den geheimen ARN für Datenquellen anzeigen, die den Anmeldeinformationstyp verwenden AWS Secrets Manager . Allerdings können sie das Geheimnis nicht bearbeiten oder ein anderes Geheimnis auswählen. Wenn sie Änderungen vornehmen müssen, z. B. am Datenbankserver oder Port, müssen Benutzer zunächst Credential Pair auswählen und den Benutzernamen und das Passwort für ihr QuickSight Konto eingeben.

Geheimnisse werden automatisch aus einer Datenquelle entfernt, wenn die Datenquelle in der Benutzeroberfläche geändert wird. Verwenden Sie den update-data-source-API-Vorgang, um das Geheimnis in der Datenquelle wiederherzustellen.