Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Acceder a AWS los recursos
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    Se aplica a: Enterprise Edition y Standard Edition  | 


|  | 
| --- |
|    Destinatarios: administradores de sistemas y administradores de Amazon Quick  | 

Puede controlar los AWS recursos a los que Amazon Quick puede acceder y limitar el acceso a estos recursos a un nivel más detallado. En la edición Enterprise, puede configurar el acceso general predeterminado para todos los usuarios de la cuenta y configurar el acceso específico para determinados usuarios y grupos. 

Estas configuraciones de acceso son esenciales para la conectividad de las fuentes de datos de Amazon Quick Sight, ya que permiten conexiones seguras a AWS servicios como Amazon S3, Amazon RDS, Amazon Redshift y Athena para el análisis y la visualización de datos. La configuración adecuada del acceso a los recursos garantiza que Amazon Quick Sight pueda recuperar y procesar datos de sus fuentes de AWS datos, manteniendo al mismo tiempo los límites de seguridad adecuados.

Utilice las siguientes secciones para ayudarle a configurar sus AWS recursos para que funcionen con Quick.

Antes de comenzar, asegúrese de que dispone de los permisos correctos; el administrador del sistema puede concedérselos. Para ello, el administrador del sistema crea una política que le permite utilizar determinadas acciones de IAM. A continuación, el administrador del sistema asocia esa política a su usuario o grupo en IAM. A continuación se indican las acciones necesarias:
+ **`quicksight:AccountConfigurations`**— Para habilitar la configuración del acceso predeterminado a AWS los recursos
+ **`quicksight:ScopeDownPolicy`**— Políticas de determinación del alcance de los permisos a los recursos AWS 
+ También puede incorporar sus propias funciones de IAM a Amazon Quick. Para obtener más información, consulte [Transferir funciones de IAM a Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Para activar o desactivar los AWS servicios a los que puede acceder Amazon Quick**

1. Inicia sesión en Amazon Quick en[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. En la esquina superior derecha, elige tu nombre de usuario y, a continuación, selecciona **Manage Quick**. 

1. Elija **Seguridad y permisos**. 

1. En el **QuickSight área de acceso a AWS los servicios**, selecciona **Agregar o quitar**.

   Aparece una pantalla en la que puede activar todos los AWS servicios disponibles.
**nota**  
Si ves un error de permisos y eres un administrador autorizado de Amazon Quick, ponte en contacto con el administrador del sistema para obtener ayuda.

1. Seleccione las casillas de verificación de los servicios que desee permitir. Desactive las casillas de los servicios que no desee permitir.

   Si ya ha activado un AWS servicio, la casilla de verificación de ese servicio ya está seleccionada. Si Amazon Quick no puede acceder a un AWS servicio concreto, su casilla de verificación no estará seleccionada.

   En algunos casos, es posible que vea un mensaje como el siguiente. 

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   Este tipo de mensaje significa que una de las políticas de IAM que utiliza Amazon Quick se modificó manualmente. Para solucionar este problema, elimine la política de IAM que se muestra en el mensaje de error y vuelva a cargar la pantalla **Seguridad y permisos** antes de volver a intentarlo.

1. Elija **Actualizar** para confirmar o **Cancelar** para volver a la pantalla anterior.

**Topics**
+ [Configuración del acceso granular a los AWS servicios a través de IAM](scoping-policies-iam-interface.md)
+ [Uso de AWS Secrets Manager secretos en lugar de credenciales de bases de datos en Quick](secrets-manager-integration.md)

# Configuración del acceso granular a los AWS servicios a través de IAM
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  Se aplica a: Enterprise Edition  | 


|  | 
| --- |
|    Público objetivo: administradores de sistemas y administradores de Amazon Quick  | 

En la edición Enterprise, Amazon Quick proporciona una forma de configurar el acceso detallado a los recursos de los AWS servicios. Como cualquier otro AWS servicio, Quick utiliza las políticas de IAM para controlar el acceso de los usuarios y los grupos.

Antes de empezar, pida a un administrador que configure las políticas de IAM necesarias con antelación. Si están configuradas, puede seleccionarlas como parte del procedimiento de esta sección. Para obtener información sobre cómo crear políticas de IAM para utilizarlas con Quick, consulte [Administración de identidades y accesos en](https://docs.aws.amazon.com/quicksight/latest/user/identity.html) Quick.

**Asignación de una política de IAM a un usuario o a un grupo**

1. Inicie sesión en Quick at[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. En la parte superior izquierda, elige tu nombre de usuario y, a continuación, selecciona **Administrar QuickSight**.

1. Elija **Seguridad y permisos**. 

1. En **Acceso a los recursos para usuarios individuales y grupos**, elija **Asignaciones de políticas de IAM**.

   Para los demás pasos, en este punto deberá elegir la política de IAM que desea asignar al usuario o grupo. Puedes asignar varias políticas de IAM a un usuario o grupo de Amazon Quick. Para determinar los permisos, Amazon Quick realiza una unión y una intersección con las políticas Cuenta de AWS de nivel. 

   Si ya tiene activas las asignaciones de políticas de IAM, estas se muestran en la página. Puede buscar las asignaciones existente mediante el campo de búsqueda. Si tiene borradores que aún no están activos, estos se muestran en **Borradores de asignación**.

1. Seleccione una de las siguientes opciones:
   + Para crear una asignación de políticas de IAM, elija **Añadir nueva asignación**.
   + Para editar una asignación existente, elija el icono **Editar asignación** de dicha asignación.
   + Para habilitar o deshabilitar una política, seleccione la casilla de verificación de esa política y, a continuación, elija **Hablitar** o **Deshabilitar**. Puede seleccionar varias asignaciones de políticas a la vez.
   + Para eliminar una asignación existente, elija el icono **Eliminar asignación** situado junto al nombre de la asignación. Para confirmar su selección, seleccione **Eliminar** en la pantalla de confirmación. O bien seleccione **Atrás** para cancelar la eliminación. 

   Si va a crear o eliminar una asignación, continúe con el siguiente paso. De lo contrario, vaya al final de este procedimiento.

1. En la siguiente pantalla, tiene que llevar a cabo el proceso de asignación de políticas, el cual se divide en pasos. Según vaya completando los pasos, podrá ir hacia delante o hacia atrás para hacer cambios. Cuando sale de la pantalla, los cambios de todos los pasos se guardan. 

   1. **Paso 1: asignación de nombres:** si se trata de una asignación nueva, ingrese un nombre para la asignación y, a continuación, seleccione **Siguiente** para continuar. Si desea cambiar el nombre, elija **Paso 1** a izquierda.

   1. **Paso 2: selección de una política de IAM**: elija la política de IAM que desee usar. Desde esta pantalla, puede interactuar con las políticas tal y como se indica a continuación: 
      + Elegir la política que desea utilizar.
      + Buscar un nombre de política.
      + Filtre la lista para ver todas las políticas de IAM, las políticas AWS administradas o las políticas administradas por los clientes. 
      + Ver una política eligiendo **Ver política**. 

      Para elegir una política, elija el botón situado junto a ella y, a continuación, seleccione **Siguiente** para continuar.

   1. **Paso 3: asignación de usuarios y grupos**: elija usuarios o grupos específicos. O bien utilice la política de IAM seleccionada para todos los usuarios y grupos. 

      Elija una de las siguientes opciones.
      + En **Asignar a todos los usuarios y grupos**, seleccione la casilla de verificación para asignar la política de IAM a todos los usuarios y grupos de Amazon Quick. Si elige esta opción, la política se asigna a todos los usuarios y grupos actuales y futuros. 
      + Elija los usuarios y grupos que desea asignar a esta política de IAM. Puede buscar por nombre, dirección de correo electrónico o nombre del grupo.

      Cuando haya terminado de seleccionar usuarios y grupos, elija **Siguiente** para continuar.

   1. **Paso 4: revisión y habilitación de los cambios**: guarde los cambios.

      Elija una de las siguientes opciones.
      + Para editar cualquiera de sus opciones, elija ese paso para editarlo.
      + Para guardar la asignación de esta política como borrador, seleccione **Guardar como borrador**. Puede habilitar el borrador más adelante.
      + Para habilitar inmediatamente esta política, seleccione **Guardar y habilitar**. Esta opción sobrescribe cualquier asignación de política existente con el mismo nombre.

# Uso de AWS Secrets Manager secretos en lugar de credenciales de bases de datos en Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Público objetivo: administradores de Amazon Quick y desarrolladores de Amazon Quick  | 

AWS Secrets Manager es un servicio de almacenamiento secreto que puede utilizar para proteger las credenciales de la base de datos, las claves de API y otra información secreta. Usar una clave permite garantizar la integridad del secreto si alguien examina el código, dado que el secreto no está almacenado en el código. Para obtener información general, consulte la [Guía del usuario de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Los administradores de Quick pueden conceder a Amazon Quick acceso de solo lectura a los secretos que creen en Secrets Manager. Estos secretos se pueden usar en lugar de las credenciales de la base de datos al crear y editar fuentes de datos mediante la API rápida.

Quick admite el uso de secretos con tipos de fuentes de datos que admiten la autenticación por pares de credenciales. Jira y no ServiceNow son compatibles actualmente.

**nota**  
Si utilizas AWS Secrets Manager Quick, se te facturarán los gastos de acceso y mantenimiento tal y como se describe en la página de [AWS Secrets Manager precios](https://aws.amazon.com/secrets-manager/pricing). En tu estado de cuenta, los costes se detallan en Secrets Manager y no en Amazon Quick.

Utilice los procedimientos descritos en las siguientes secciones para integrar Secrets Manager con Amazon Quick.

**Topics**
+ [Otorgar a Amazon Quick acceso a Secrets Manager y a secretos seleccionados](#secrets-manager-integration-select-secrets)
+ [Crear o actualizar una fuente de datos con credenciales secretas mediante la Amazon Quick API](#secrets-manager-integration-api)
+ [Qué hay en el secreto](#secrets-manager-integration-whats-in-secret)
+ [Modificar un secreto](#secrets-manager-integration-modifying)

## Otorgar a Amazon Quick acceso a Secrets Manager y a secretos seleccionados
<a name="secrets-manager-integration-select-secrets"></a>

Si eres administrador y tienes secretos en Secrets Manager, puedes conceder a Amazon Quick acceso de solo lectura a determinados secretos. 

**Para conceder a Amazon Quick acceso a Secrets Manager y a secretos seleccionados**

1. En Amazon Quick, elige tu icono de usuario en la esquina superior derecha y, a continuación, selecciona **Manage Quick**.

1. Seleccione **Seguridad y permisos** a la izquierda.

1. Elige **Administrar** en **Amazon Acceso rápido a AWS los recursos**.

1. En **Permitir el acceso y la detección automática de estos recursos**, elija **AWS Secrets Manager**, **Seleccionar secretos**. 

   Se abre la página **Secretos de AWS Secrets Manager **. 

1. Selecciona los secretos a los que quieres conceder acceso de solo lectura a Amazon Quick.

   Los secretos de tu región de registro rápido de Amazon se muestran automáticamente. Para seleccionar secretos fuera de tu región de origen, selecciona **Secretos en otras AWS regiones** y, a continuación, introduce los nombres de recursos de Amazon (ARNs) para esos secretos.

1. Cuando haya terminado, seleccione **Finalizar**. 

   Amazon Quick crea un rol de IAM llamado `aws-quicksight-secretsmanager-role-v0` en tu cuenta. Otorga a los usuarios de la cuenta acceso de solo lectura a los secretos especificados y tiene un aspecto similar al siguiente:

   Cuando los usuarios de Amazon Quick crean análisis o ven cuadros de mando que utilizan una fuente de datos con secretos, Amazon Quick asume la función de Secrets Manager (IAM). Para obtener más información sobre las políticas de permisos secretos, consulte [Autenticación y control de acceso de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) en la *Guía del usuario de AWS Secrets Manager *.

   El secreto especificado en la función Amazon Quick IAM puede tener una política de recursos adicional que deniegue el acceso. Para obtener más información, consulte [Adición de una política de permisos a un secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) en la *Guía del usuario de AWS Secrets Manager *.

   Si utilizas una AWS KMS clave AWS gestionada para cifrar tu secreto, Amazon Quick no requiere la configuración de permisos adicionales en Secrets Manager.

   Si utilizas una clave gestionada por el cliente para cifrar tu secreto, asegúrate de que la función Amazon Quick IAM `aws-quicksight-secretsmanager-role-v0` tenga `kms:Decrypt` permisos. Para obtener más información, consulte [Permisos para la clave de KMS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) en la *Guía del usuario de AWS Secrets Manager *.

   Para obtener más información sobre los tipos de claves que se utilizan en el Servicio de administración de AWS claves, consulte [Claves y AWS claves del cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) en la guía del *Servicio de administración de AWS claves*.

## Crear o actualizar una fuente de datos con credenciales secretas mediante la Amazon Quick API
<a name="secrets-manager-integration-api"></a>

Una vez que el administrador de Amazon Quick haya concedido a Amazon Quick acceso de solo lectura a Secrets Manager, podrá crear y actualizar las fuentes de datos en la API utilizando un secreto que el administrador haya seleccionado como credenciales.

A continuación se muestra un ejemplo de llamada a la API para crear una fuente de datos en Amazon Quick. En este ejemplo, se utiliza la operación de la API `create-data-source`. También puede utilizar la operación `update-data-source`. Para obtener más información, consulta [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)y consulta [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)la *Amazon Quick API Reference*.

El usuario especificado en los permisos del siguiente ejemplo de llamada a la API puede eliminar, ver y editar las fuentes de datos de la fuente de datos MySQL especificada en Amazon Quick. También puede ver y actualizar los permisos del origen de datos. En lugar de un nombre de usuario y una contraseña de Amazon Quick, se utiliza un ARN secreto como credenciales para la fuente de datos.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

En esta llamada, Amazon Quick autoriza el `secretsmanager:GetSecretValue` acceso al secreto en función de la política de IAM de la persona que llama a la API, no de la política del rol de servicio de IAM. El rol de servicio de IAM actúa en el ámbito de cuenta y se utiliza cuando un usuario consulta un análisis o un panel. No se puede utilizar para autorizar el acceso al secreto cuando un usuario crea o actualiza el origen de datos. 

Al editar una fuente de datos en la Amazon Quick UI, los usuarios pueden ver el ARN secreto de las fuentes de datos que se utilizan AWS Secrets Manager como tipo de credencial. Sin embargo, no pueden editar el secreto ni seleccionar otro secreto. Si necesitan realizar cambios, por ejemplo en el puerto o el servidor de la base de datos, los usuarios primero tienen que elegir el **par de credenciales** e introducir el nombre de usuario y la contraseña de su cuenta Amazon Quick.

Los secretos se eliminan automáticamente de un origen de datos cuando el origen de datos se modifica en la interfaz de usuario. Para restaurar el secreto en el origen de datos, utilice la operación de la API `update-data-source`.

## Qué hay en el secreto
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick requiere el siguiente formato JSON para acceder a tu secreto:

```
{
  "username": "username",
  "password": "password"
}
```

Los `password` campos `username` y son obligatorios para que Amazon Quick pueda acceder a los secretos. Todos los demás campos son opcionales y Amazon Quick los ignora.

El formato JSON puede variar en función del tipo de base de datos. Para obtener más información, consulte la [estructura JSON de los secretos de las credenciales de la AWS Secrets Manager base](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html) de datos en la *Guía del AWS Secrets Manager usuario*.

## Modificar un secreto
<a name="secrets-manager-integration-modifying"></a>

Para modificar un secreto, se utiliza Secrets Manager. Tras realizar cambios en un secreto, las actualizaciones estarán disponibles la próxima vez que Amazon Quick solicite acceso al secreto.