Verwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick Suite - Amazon Quick Suite
Gewähren Sie Amazon Quick Suite Zugriff auf Secrets ManagerEine Datenquelle mit geheimen Anmeldeinformationen mithilfe der Amazon Quick Suite-API erstellen oder aktualisierenWas ist in dem Geheimnis enthalten?Ändern eines Secrets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick Suite

   Zielgruppe: Amazon Quick Suite-Administratoren und Amazon Quick Suite-Entwickler 

AWS Secrets Manager ist ein geheimer Speicherdienst, mit dem Sie Datenbankanmeldedaten, API-Schlüssel und andere geheime Informationen schützen können. Durch die Verwendung eines Schlüssels können Sie sicherstellen, dass das Geheimnis nicht durch eine Person, die Ihren Code untersucht, kompromittiert werden kann, da das Geheimnis nicht im Code gespeichert ist. Eine Übersicht finden Sie im AWS Secrets Manager -Benutzerhandbuch.

Quick Suite-Administratoren können Amazon Quick Suite schreibgeschützten Zugriff auf Secrets gewähren, die sie in Secrets Manager erstellen. Diese Geheimnisse können anstelle von Datenbankanmeldedaten verwendet werden, wenn Datenquellen mithilfe der Quick Suite-API erstellt und bearbeitet werden.

Quick Suite unterstützt die Verwendung von Geheimnissen mit Datenquellentypen, die die Authentifizierung mit Anmeldeinformationspaaren unterstützen. Jira und ServiceNow werden derzeit nicht unterstützt.

Anmerkung

Wenn Sie Quick Suite verwenden, werden Ihnen der Zugriff und die Wartung wie auf der Seite AWS Secrets Manager mit den AWS Secrets Manager Preisen beschrieben in Rechnung gestellt. In Ihrer Abrechnung sind die Kosten unter Secrets Manager und nicht unter Amazon Quick Suite aufgeführt.

Verwenden Sie die in den folgenden Abschnitten beschriebenen Verfahren, um Secrets Manager in Amazon Quick Suite zu integrieren.

Amazon Quick Suite Zugriff auf Secrets Manager und ausgewählte Secrets gewähren

Wenn Sie ein Administrator sind und Geheimnisse in Secrets Manager haben, können Sie Amazon Quick Suite nur Lesezugriff auf ausgewählte Geheimnisse gewähren.

Um Amazon Quick Suite Zugriff auf Secrets Manager und ausgewählte Secrets zu gewähren

  1. Wählen Sie in Amazon Quick Suite oben rechts Ihr Benutzersymbol und dann Quick Suite verwalten.

  2. Wählen Sie links Sicherheit & Berechtigungen aus.

  3. Wählen Sie In Amazon Quick Suite Zugriff auf AWS Ressourcen verwalten aus.

  4. Wählen Sie unter Zugriff und automatische Erkennung für diese Ressourcen zulassen AWS Secrets Manager, Geheimnisse auswählen aus.

    Die Seite mit den AWS Secrets Manager -Geheimnissen wird geöffnet.

  5. Wählen Sie die Secrets aus, für die Sie Amazon Quick Suite schreibgeschützten Zugriff gewähren möchten.

    Geheimnisse in Ihrer Amazon Quick Suite-Anmelderegion werden automatisch angezeigt. Um Secrets außerhalb Ihrer Heimatregion auszuwählen, wählen Sie Secrets in Other AWS Regions aus und geben Sie dann die Amazon-Ressourcennamen (ARNs) für diese Secrets ein.

  6. Wenn Sie fertig sind, wählen Sie Finish (Beenden) aus.

    Amazon Quick Suite erstellt eine IAM-Rolle namens aws-quicksight-secretsmanager-role-v0 in Ihrem Konto. Sie gewährt Benutzern im Konto nur Lesezugriff auf die angegebenen Geheimnisse und sieht in etwa wie folgt aus:

    Wenn Benutzer von Amazon Quick Suite Analysen aus Dashboards erstellen oder Dashboards aufrufen, die eine Datenquelle mit Geheimnissen verwenden, übernimmt Amazon Quick Suite diese Secrets Manager Manager-IAM-Rolle. Weitere Informationen zu geheimen Berechtigungsrichtlinien finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager im AWS Secrets Manager -Benutzerhandbuch.

    Das angegebene Geheimnis in der Amazon Quick Suite IAM-Rolle kann über eine zusätzliche Ressourcenrichtlinie verfügen, die den Zugriff verweigert. Weitere Beispiele finden Sie unter Anhängen einer Berechtigungsrichtlinie an ein Geheimnis im AWS Secrets Manager -Benutzerhandbuch.

    Wenn Sie einen AWS verwalteten AWS KMS Schlüssel verwenden, um Ihr Geheimnis zu verschlüsseln, benötigt Amazon Quick Suite keine zusätzlichen Berechtigungen, die in Secrets Manager eingerichtet wurden.

    Wenn Sie einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihres Geheimnisses verwenden, stellen Sie sicher, dass die Amazon Quick Suite IAM-Rolle über Berechtigungen aws-quicksight-secretsmanager-role-v0 verfügtkms:Decrypt. Weitere Informationen finden Sie unter Berechtigungen für den KMS-Schlüssel im AWS Secrets Manager -Benutzerhandbuch.

    Weitere Informationen zu den Schlüsseltypen, die im AWS Key Management Service verwendet werden, finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS Key Management Service-Handbuch.

Eine Datenquelle mit geheimen Anmeldeinformationen mithilfe der Amazon Quick Suite-API erstellen oder aktualisieren

Nachdem der Amazon Quick Suite-Administrator Amazon Quick Suite schreibgeschützten Zugriff auf Secrets Manager gewährt hat, können Sie Datenquellen in der API mithilfe eines Geheimnisses erstellen und aktualisieren, das der Administrator als Anmeldeinformationen ausgewählt hat.

Im Folgenden finden Sie ein Beispiel für einen API-Aufruf zum Erstellen einer Datenquelle in Amazon Quick Suite. In diesem Beispiel wird die API-Operation create-data-source verwendet. Sie können auch die update-data-source-Operation verwenden. Weitere Informationen finden Sie unter CreateDataSourceund UpdateDataSourcein der Amazon Quick Suite API-Referenz.

Der Benutzer, der in den Berechtigungen im folgenden Beispiel für einen API-Aufruf angegeben ist, kann Datenquellen für die angegebene MySQL-Datenquelle in Amazon Quick Suite löschen, anzeigen und bearbeiten. Sie können auch die Datenquellenberechtigungen anzeigen und aktualisieren. Anstelle eines Amazon Quick Suite-Benutzernamens und Kennworts wird ein geheimer ARN als Anmeldeinformationen für die Datenquelle verwendet.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Bei diesem Aufruf autorisiert Amazon Quick Suite den secretsmanager:GetSecretValue Zugriff auf den geheimen Schlüssel auf der Grundlage der IAM-Richtlinie des API-Aufrufers, nicht auf der Richtlinie der IAM-Servicerolle. Die IAM-Servicerolle agiert auf Kontoebene und wird verwendet, wenn ein Benutzer eine Analyse oder ein Dashboard aufruft. Sie kann nicht verwendet werden, um den geheimen Zugriff zu autorisieren, wenn ein Benutzer die Datenquelle erstellt oder aktualisiert.

Wenn sie eine Datenquelle in der Amazon Quick Suite-Benutzeroberfläche bearbeiten, können Benutzer den geheimen ARN für Datenquellen einsehen, die den Anmeldeinformationstyp verwenden AWS Secrets Manager . Allerdings können sie das Geheimnis nicht bearbeiten oder ein anderes Geheimnis auswählen. Wenn sie Änderungen vornehmen müssen, beispielsweise am Datenbankserver oder Port, müssen Benutzer zunächst Credential Pair auswählen und den Benutzernamen und das Passwort für ihr Amazon Quick Suite-Konto eingeben.

Geheimnisse werden automatisch aus einer Datenquelle entfernt, wenn die Datenquelle in der Benutzeroberfläche geändert wird. Verwenden Sie den update-data-source-API-Vorgang, um das Geheimnis in der Datenquelle wiederherzustellen.

Was ist in dem Geheimnis enthalten?

Amazon Quick Suite benötigt das folgende JSON-Format, um auf Ihr Geheimnis zuzugreifen:

{
  "username": "username",
  "password": "password"
}

Die password Felder username und sind erforderlich, damit Amazon Quick Suite auf Geheimnisse zugreifen kann. Alle anderen Felder sind optional und werden von Amazon Quick Suite ignoriert.

Das JSON-Format kann je nach Art der Datenbank variieren. Weitere Informationen finden Sie im AWS Secrets Manager Benutzerhandbuch unter JSON-Struktur von geheimen AWS Secrets Manager Datenbankanmeldedaten.

Ändern eines Secrets

Um ein Geheimnis zu ändern, verwenden Sie Secrets Manager. Nachdem Sie Änderungen an einem Secret vorgenommen haben, werden die Updates verfügbar, sobald Amazon Quick Suite das nächste Mal Zugriff auf das Secret anfordert.