Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de AWS Secrets Manager secretos en lugar de credenciales de bases de datos en Quick Suite
| Público objetivo: administradores de Amazon Quick Suite y desarrolladores de Amazon Quick Suite |
AWS Secrets Manager es un servicio de almacenamiento secreto que puede utilizar para proteger las credenciales de la base de datos, las claves de API y otra información secreta. Usar una clave permite garantizar la integridad del secreto si alguien examina el código, dado que el secreto no está almacenado en el código. Para obtener información general, consulte la Guía del usuario de AWS Secrets Manager.
Los administradores de Quick Suite pueden conceder a Amazon Quick Suite acceso de solo lectura a los secretos que creen en Secrets Manager. Estos secretos se pueden usar en lugar de las credenciales de la base de datos al crear y editar fuentes de datos mediante la API de Quick Suite.
Quick Suite admite el uso de secretos con tipos de fuentes de datos que admiten la autenticación por pares de credenciales. Jira y no ServiceNow son compatibles actualmente.
nota
Si utilizas AWS Secrets Manager Quick Suite, se te facturarán los gastos de acceso y mantenimiento tal y como se describe en la página de AWS Secrets Manager precios
Utilice los procedimientos descritos en las siguientes secciones para integrar Secrets Manager con Amazon Quick Suite.
Temas
Otorgar a Amazon Quick Suite acceso a Secrets Manager y a secretos seleccionados
Si es administrador y tiene información confidencial en Secrets Manager, puede conceder a Amazon Quick Suite acceso de solo lectura a información confidencial seleccionada.
Para conceder a Amazon Quick Suite acceso a Secrets Manager y a secretos seleccionados
-
En Amazon Quick Suite, selecciona tu icono de usuario en la esquina superior derecha y, a continuación, selecciona Administrar Quick Suite.
-
Seleccione Seguridad y permisos a la izquierda.
-
Selecciona Administrar en Amazon Quick Suite para acceder a AWS los recursos.
-
En Permitir el acceso y la detección automática de estos recursos, elija AWS Secrets Manager, Seleccionar secretos.
Se abre la página Secretos de AWS Secrets Manager .
-
Selecciona los secretos a los que quieres conceder acceso de solo lectura a Amazon Quick Suite.
Los secretos de tu región de registro de Amazon Quick Suite se muestran automáticamente. Para seleccionar secretos fuera de tu región de origen, selecciona Secretos en otras AWS regiones y, a continuación, introduce los nombres de los recursos de Amazon (ARNs) para esos secretos.
-
Cuando haya terminado, seleccione Finalizar.
Amazon Quick Suite crea un rol de IAM llamado
aws-quicksight-secretsmanager-role-v0en su cuenta. Otorga a los usuarios de la cuenta acceso de solo lectura a los secretos especificados y tiene un aspecto similar al siguiente:Cuando los usuarios de Amazon Quick Suite crean análisis a partir de o ven paneles que utilizan una fuente de datos con secretos, Amazon Quick Suite asume esta función de IAM de Secrets Manager. Para obtener más información sobre las políticas de permisos secretos, consulte Autenticación y control de acceso de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .
El secreto especificado en el rol de IAM de Amazon Quick Suite puede tener una política de recursos adicional que deniegue el acceso. Para obtener más información, consulte Adición de una política de permisos a un secreto en la Guía del usuario de AWS Secrets Manager .
Si utilizas una AWS KMS clave AWS gestionada para cifrar tu secreto, Amazon Quick Suite no requiere la configuración de permisos adicionales en Secrets Manager.
Si utilizas una clave gestionada por el cliente para cifrar tu secreto, asegúrate de que la función IAM de Amazon Quick Suite
aws-quicksight-secretsmanager-role-v0tengakms:Decryptpermisos. Para obtener más información, consulte Permisos para la clave de KMS en la Guía del usuario de AWS Secrets Manager .Para obtener más información sobre los tipos de claves que se utilizan en el Servicio de administración de AWS claves, consulte Claves y AWS claves del cliente en la guía del Servicio de administración de AWS claves.
Crear o actualizar una fuente de datos con credenciales secretas mediante la API Amazon Quick Suite
Una vez que el administrador de Amazon Quick Suite haya concedido a Amazon Quick Suite acceso de solo lectura a Secrets Manager, podrá crear y actualizar las fuentes de datos en la API utilizando un secreto que el administrador haya seleccionado como credenciales.
A continuación se muestra un ejemplo de llamada a la API para crear una fuente de datos en Amazon Quick Suite. En este ejemplo, se utiliza la operación de la API create-data-source. También puede utilizar la operación update-data-source. Para obtener más información, consulte CreateDataSourcey UpdateDataSourceen la referencia de la API de Amazon Quick Suite.
El usuario especificado en los permisos del siguiente ejemplo de llamada a la API puede eliminar, ver y editar las fuentes de datos de la fuente de datos MySQL especificada en Amazon Quick Suite. También puede ver y actualizar los permisos del origen de datos. En lugar de un nombre de usuario y una contraseña de Amazon Quick Suite, se utiliza un ARN secreto como credenciales para la fuente de datos.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
En esta llamada, Amazon Quick Suite autoriza el secretsmanager:GetSecretValue acceso al secreto en función de la política de IAM de la persona que llama a la API, no de la política del rol de servicio de IAM. El rol de servicio de IAM actúa en el ámbito de cuenta y se utiliza cuando un usuario consulta un análisis o un panel. No se puede utilizar para autorizar el acceso al secreto cuando un usuario crea o actualiza el origen de datos.
Al editar una fuente de datos en la interfaz de usuario de Amazon Quick Suite, los usuarios pueden ver el ARN secreto de las fuentes de datos que se utilizan AWS Secrets Manager como tipo de credencial. Sin embargo, no pueden editar el secreto ni seleccionar otro secreto. Si necesitan realizar cambios, por ejemplo en el puerto o el servidor de la base de datos, los usuarios primero tienen que elegir el par de credenciales e introducir el nombre de usuario y la contraseña de su cuenta Amazon Quick Suite.
Los secretos se eliminan automáticamente de un origen de datos cuando el origen de datos se modifica en la interfaz de usuario. Para restaurar el secreto en el origen de datos, utilice la operación de la API update-data-source.
Qué hay en el secreto
Amazon Quick Suite requiere el siguiente formato JSON para acceder a su secreto:
{ "username": "username", "password": "password" }
Los password campos username y son obligatorios para que Amazon Quick Suite pueda acceder a los secretos. Todos los demás campos son opcionales y Amazon Quick Suite los ignora.
El formato JSON puede variar en función del tipo de base de datos. Para obtener más información, consulte la estructura JSON de los secretos de las credenciales de la AWS Secrets Manager base de datos en la Guía del AWS Secrets Manager usuario.
Modificar un secreto
Para modificar un secreto, se utiliza Secrets Manager. Tras realizar cambios en un secreto, las actualizaciones estarán disponibles la próxima vez que Amazon Quick Suite solicite acceso al secreto.
