Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de AWS Secrets Manager secretos en lugar de credenciales de bases de datos en Quick
| Público objetivo: administradores de Amazon Quick y desarrolladores de Amazon Quick |
AWS Secrets Manager es un servicio de almacenamiento secreto que puede utilizar para proteger las credenciales de la base de datos, las claves de API y otra información secreta. Usar una clave permite garantizar la integridad del secreto si alguien examina el código, dado que el secreto no está almacenado en el código. Para obtener información general, consulte la Guía del usuario de AWS Secrets Manager.
Los administradores de Quick pueden conceder a Amazon Quick acceso de solo lectura a los secretos que creen en Secrets Manager. Estos secretos se pueden usar en lugar de las credenciales de la base de datos al crear y editar fuentes de datos mediante la API rápida.
Quick admite el uso de secretos con tipos de fuentes de datos que admiten la autenticación por pares de credenciales. Jira y no ServiceNow son compatibles actualmente.
nota
Si utilizas AWS Secrets Manager Quick, se te facturarán los gastos de acceso y mantenimiento tal y como se describe en la página de AWS Secrets Manager precios
Utilice los procedimientos descritos en las siguientes secciones para integrar Secrets Manager con Amazon Quick.
Temas
Otorgar a Amazon Quick acceso a Secrets Manager y a secretos seleccionados
Si eres administrador y tienes secretos en Secrets Manager, puedes conceder a Amazon Quick acceso de solo lectura a determinados secretos.
Para conceder a Amazon Quick acceso a Secrets Manager y a secretos seleccionados
-
En Amazon Quick, elige tu icono de usuario en la esquina superior derecha y, a continuación, selecciona Manage Quick.
-
Seleccione Seguridad y permisos a la izquierda.
-
Elige Administrar en Amazon Acceso rápido a AWS los recursos.
-
En Permitir el acceso y la detección automática de estos recursos, elija AWS Secrets Manager, Seleccionar secretos.
Se abre la página Secretos de AWS Secrets Manager .
-
Selecciona los secretos a los que quieres conceder acceso de solo lectura a Amazon Quick.
Los secretos de tu región de registro rápido de Amazon se muestran automáticamente. Para seleccionar secretos fuera de tu región de origen, selecciona Secretos en otras AWS regiones y, a continuación, introduce los nombres de recursos de Amazon (ARNs) para esos secretos.
-
Cuando haya terminado, seleccione Finalizar.
Amazon Quick crea un rol de IAM llamado
aws-quicksight-secretsmanager-role-v0en tu cuenta. Otorga a los usuarios de la cuenta acceso de solo lectura a los secretos especificados y tiene un aspecto similar al siguiente:Cuando los usuarios de Amazon Quick crean análisis o ven cuadros de mando que utilizan una fuente de datos con secretos, Amazon Quick asume la función de Secrets Manager (IAM). Para obtener más información sobre las políticas de permisos secretos, consulte Autenticación y control de acceso de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .
El secreto especificado en la función Amazon Quick IAM puede tener una política de recursos adicional que deniegue el acceso. Para obtener más información, consulte Adición de una política de permisos a un secreto en la Guía del usuario de AWS Secrets Manager .
Si utilizas una AWS KMS clave AWS gestionada para cifrar tu secreto, Amazon Quick no requiere la configuración de permisos adicionales en Secrets Manager.
Si utilizas una clave gestionada por el cliente para cifrar tu secreto, asegúrate de que la función Amazon Quick IAM
aws-quicksight-secretsmanager-role-v0tengakms:Decryptpermisos. Para obtener más información, consulte Permisos para la clave de KMS en la Guía del usuario de AWS Secrets Manager .Para obtener más información sobre los tipos de claves que se utilizan en el Servicio de administración de AWS claves, consulte Claves y AWS claves del cliente en la guía del Servicio de administración de AWS claves.
Crear o actualizar una fuente de datos con credenciales secretas mediante la Amazon Quick API
Una vez que el administrador de Amazon Quick haya concedido a Amazon Quick acceso de solo lectura a Secrets Manager, podrá crear y actualizar las fuentes de datos en la API utilizando un secreto que el administrador haya seleccionado como credenciales.
A continuación se muestra un ejemplo de llamada a la API para crear una fuente de datos en Amazon Quick. En este ejemplo, se utiliza la operación de la API create-data-source. También puede utilizar la operación update-data-source. Para obtener más información, consulta CreateDataSourcey consulta UpdateDataSourcela Amazon Quick API Reference.
El usuario especificado en los permisos del siguiente ejemplo de llamada a la API puede eliminar, ver y editar las fuentes de datos de la fuente de datos MySQL especificada en Amazon Quick. También puede ver y actualizar los permisos del origen de datos. En lugar de un nombre de usuario y una contraseña de Amazon Quick, se utiliza un ARN secreto como credenciales para la fuente de datos.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
En esta llamada, Amazon Quick autoriza el secretsmanager:GetSecretValue acceso al secreto en función de la política de IAM de la persona que llama a la API, no de la política del rol de servicio de IAM. El rol de servicio de IAM actúa en el ámbito de cuenta y se utiliza cuando un usuario consulta un análisis o un panel. No se puede utilizar para autorizar el acceso al secreto cuando un usuario crea o actualiza el origen de datos.
Al editar una fuente de datos en la Amazon Quick UI, los usuarios pueden ver el ARN secreto de las fuentes de datos que se utilizan AWS Secrets Manager como tipo de credencial. Sin embargo, no pueden editar el secreto ni seleccionar otro secreto. Si necesitan realizar cambios, por ejemplo en el puerto o el servidor de la base de datos, los usuarios primero tienen que elegir el par de credenciales e introducir el nombre de usuario y la contraseña de su cuenta Amazon Quick.
Los secretos se eliminan automáticamente de un origen de datos cuando el origen de datos se modifica en la interfaz de usuario. Para restaurar el secreto en el origen de datos, utilice la operación de la API update-data-source.
Qué hay en el secreto
Amazon Quick requiere el siguiente formato JSON para acceder a tu secreto:
{ "username": "username", "password": "password" }
Los password campos username y son obligatorios para que Amazon Quick pueda acceder a los secretos. Todos los demás campos son opcionales y Amazon Quick los ignora.
El formato JSON puede variar en función del tipo de base de datos. Para obtener más información, consulte la estructura JSON de los secretos de las credenciales de la AWS Secrets Manager base de datos en la Guía del AWS Secrets Manager usuario.
Modificar un secreto
Para modificar un secreto, se utiliza Secrets Manager. Tras realizar cambios en un secreto, las actualizaciones estarán disponibles la próxima vez que Amazon Quick solicite acceso al secreto.
