Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick
| Zielgruppe: Amazon Quick-Administratoren und Amazon Quick-Entwickler |
AWS Secrets Manager ist ein geheimer Speicherdienst, mit dem Sie Datenbankanmeldedaten, API-Schlüssel und andere geheime Informationen schützen können. Durch die Verwendung eines Schlüssels können Sie sicherstellen, dass das Geheimnis nicht durch eine Person, die Ihren Code untersucht, kompromittiert werden kann, da das Geheimnis nicht im Code gespeichert ist. Eine Übersicht finden Sie im AWS Secrets Manager -Benutzerhandbuch.
Schnelladministratoren können Amazon Quick nur Lesezugriff auf Secrets gewähren, die sie in Secrets Manager erstellen. Diese Geheimnisse können anstelle von Datenbankanmeldedaten verwendet werden, wenn Datenquellen mithilfe der Quick API erstellt und bearbeitet werden.
Quick unterstützt die Verwendung von Geheimnissen mit Datenquellentypen, die die Authentifizierung mit Anmeldeinformationspaaren unterstützen. Jira und ServiceNow werden derzeit nicht unterstützt.
Anmerkung
Wenn Sie Quick verwenden, werden Ihnen Zugriff und Wartung wie auf der Seite AWS Secrets Manager mit den AWS Secrets Manager Preisen
Verwenden Sie die in den folgenden Abschnitten beschriebenen Verfahren, um Secrets Manager in Amazon Quick zu integrieren.
Themen
Amazon Quick Access auf Secrets Manager und ausgewählte Secrets gewähren
Wenn Sie ein Administrator sind und Geheimnisse in Secrets Manager haben, können Sie Amazon Quick nur Lesezugriff auf ausgewählte Geheimnisse gewähren.
Um Amazon Quick Access auf Secrets Manager und ausgewählte Secrets zu gewähren
-
Wählen Sie in Amazon Quick oben rechts Ihr Benutzersymbol und dann Manage Quick.
-
Wählen Sie links Sicherheit & Berechtigungen aus.
-
Wählen Sie In Amazon verwalten Schnellzugriff auf AWS Ressourcen.
-
Wählen Sie unter Zugriff und automatische Erkennung für diese Ressourcen zulassen AWS Secrets Manager, Geheimnisse auswählen aus.
Die Seite mit den AWS Secrets Manager -Geheimnissen wird geöffnet.
-
Wählen Sie die Secrets aus, für die Sie Amazon Quick nur Lesezugriff gewähren möchten.
Geheimnisse in Ihrer Amazon-Schnellregistrierungsregion werden automatisch angezeigt. Um Secrets außerhalb Ihrer Heimatregion auszuwählen, wählen Sie Secrets in Other AWS Regions aus und geben Sie dann die Amazon-Ressourcennamen (ARNs) für diese Secrets ein.
-
Wenn Sie fertig sind, wählen Sie Finish (Beenden) aus.
Amazon Quick erstellt eine IAM-Rolle namens
aws-quicksight-secretsmanager-role-v0in Ihrem Konto. Sie gewährt Benutzern im Konto nur Lesezugriff auf die angegebenen Geheimnisse und sieht in etwa wie folgt aus:Wenn Amazon Quick-Benutzer Analysen aus Dashboards erstellen oder Dashboards aufrufen, die eine Datenquelle mit Geheimnissen verwenden, übernimmt Amazon Quick diese Secrets Manager Manager-IAM-Rolle. Weitere Informationen zu geheimen Berechtigungsrichtlinien finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager im AWS Secrets Manager -Benutzerhandbuch.
Das angegebene Geheimnis in der Amazon Quick IAM-Rolle hat möglicherweise eine zusätzliche Ressourcenrichtlinie, die den Zugriff verweigert. Weitere Beispiele finden Sie unter Anhängen einer Berechtigungsrichtlinie an ein Geheimnis im AWS Secrets Manager -Benutzerhandbuch.
Wenn Sie einen AWS verwalteten AWS KMS Schlüssel verwenden, um Ihr Geheimnis zu verschlüsseln, benötigt Amazon Quick keine zusätzlichen Berechtigungen, die in Secrets Manager eingerichtet wurden.
Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Geheimnisses verwenden, stellen Sie sicher, dass die Amazon Quick IAM-Rolle über Berechtigungen
aws-quicksight-secretsmanager-role-v0verfügtkms:Decrypt. Weitere Informationen finden Sie unter Berechtigungen für den KMS-Schlüssel im AWS Secrets Manager -Benutzerhandbuch.Weitere Informationen zu den Schlüsseltypen, die im AWS Key Management Service verwendet werden, finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service-Handbuch.
Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der Amazon Quick API erstellen oder aktualisieren
Nachdem der Amazon Quick-Administrator Amazon Quick schreibgeschützten Zugriff auf Secrets Manager gewährt hat, können Sie Datenquellen in der API mithilfe eines Geheimnisses erstellen und aktualisieren, das der Administrator als Anmeldeinformationen ausgewählt hat.
Im Folgenden finden Sie ein Beispiel für einen API-Aufruf zum Erstellen einer Datenquelle in Amazon Quick. In diesem Beispiel wird die API-Operation create-data-source verwendet. Sie können auch die update-data-source-Operation verwenden. Weitere Informationen finden Sie unter CreateDataSourceund UpdateDataSourcein der Amazon Quick API Reference.
Der Benutzer, der in den Berechtigungen im folgenden Beispiel für einen API-Aufruf angegeben ist, kann Datenquellen für die angegebene MySQL-Datenquelle in Amazon Quick löschen, anzeigen und bearbeiten. Sie können auch die Datenquellenberechtigungen anzeigen und aktualisieren. Anstelle eines Amazon Quick-Benutzernamens und -Passworts wird ein geheimer ARN als Anmeldeinformationen für die Datenquelle verwendet.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
Bei diesem Aufruf autorisiert Amazon Quick den secretsmanager:GetSecretValue Zugriff auf den geheimen Schlüssel auf der Grundlage der IAM-Richtlinie des API-Aufrufers, nicht auf der Richtlinie der IAM-Servicerolle. Die IAM-Servicerolle agiert auf Kontoebene und wird verwendet, wenn ein Benutzer eine Analyse oder ein Dashboard aufruft. Sie kann nicht verwendet werden, um den geheimen Zugriff zu autorisieren, wenn ein Benutzer die Datenquelle erstellt oder aktualisiert.
Wenn sie eine Datenquelle in der Amazon Quick UI bearbeiten, können Benutzer den geheimen ARN für Datenquellen einsehen, die AWS Secrets Manager als Anmeldeinformationstyp verwenden. Allerdings können sie das Geheimnis nicht bearbeiten oder ein anderes Geheimnis auswählen. Wenn sie Änderungen vornehmen müssen, z. B. am Datenbankserver oder Port, müssen Benutzer zunächst Credential Pair auswählen und den Benutzernamen und das Passwort für ihr Amazon Quick-Konto eingeben.
Geheimnisse werden automatisch aus einer Datenquelle entfernt, wenn die Datenquelle in der Benutzeroberfläche geändert wird. Verwenden Sie den update-data-source-API-Vorgang, um das Geheimnis in der Datenquelle wiederherzustellen.
Was ist in dem Geheimnis enthalten?
Amazon Quick benötigt das folgende JSON-Format, um auf Ihr Geheimnis zuzugreifen:
{ "username": "username", "password": "password" }
Die password Felder username und sind erforderlich, damit Amazon Quick auf Geheimnisse zugreifen kann. Alle anderen Felder sind optional und werden von Amazon Quick ignoriert.
Das JSON-Format kann je nach Art der Datenbank variieren. Weitere Informationen finden Sie im AWS Secrets Manager Benutzerhandbuch unter JSON-Struktur von geheimen AWS Secrets Manager Datenbankanmeldedaten.
Ändern eines Secrets
Um ein Geheimnis zu ändern, verwenden Sie Secrets Manager. Nachdem Sie Änderungen an einem Secret vorgenommen haben, werden die Updates verfügbar, sobald Amazon Quick das nächste Mal Zugriff auf das Secret anfordert.
