Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Accès aux AWS ressources
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système et administrateurs Amazon Quick  | 

Vous pouvez contrôler les AWS ressources auxquelles Amazon Quick peut accéder et limiter l'accès à ces ressources à un niveau plus détaillé. Dans l’édition Enterprise, vous pouvez également configurer des paramètres d’accès général par défaut pour tous les utilisateurs de votre compte, ainsi que des accès spécifiques pour certains utilisateurs et groupes. 

Ces configurations d'accès sont essentielles pour la connectivité des sources de données Amazon Quick Sight, car elles permettent des connexions sécurisées à AWS des services tels qu'Amazon S3, Amazon RDS, Amazon Redshift et Athena pour l'analyse et la visualisation des données. Une configuration appropriée de l'accès aux ressources garantit qu'Amazon Quick Sight peut récupérer et traiter les données de vos sources de AWS données tout en maintenant des limites de sécurité appropriées.

Utilisez les sections suivantes pour vous aider à configurer vos AWS ressources afin qu'elles fonctionnent avec Quick.

Avant de commencer, assurez-vous de disposer des autorisations appropriées ; votre administrateur système peut vous les donner. Pour ce faire, votre administrateur système crée une politique qui vous permet d’utiliser certaines actions IAM. Votre administrateur système associe ensuite cette politique à votre utilisateur ou à votre groupe dans IAM. Voici les actions requises :
+ **`quicksight:AccountConfigurations`**— Pour activer la définition de l'accès par défaut aux AWS ressources
+ **`quicksight:ScopeDownPolicy`**— Politiques de cadrage des autorisations d'accès aux ressources AWS 
+ Vous pouvez également intégrer vos propres rôles IAM dans Amazon Quick. Pour plus d'informations, consultez [Transmission de rôles IAM à Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Pour activer ou désactiver les AWS services auxquels Amazon Quick peut accéder**

1. Connectez-vous à Amazon Quick à l'adresse[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. Dans le coin supérieur droit, choisissez votre nom d'utilisateur, puis sélectionnez **Gérer rapidement**. 

1. Choisissez **Security & permissions (Sécurité et autorisations)**. 

1. Sous **QuickSight Accès aux AWS services**, choisissez **Ajouter ou supprimer**.

   Un écran apparaît dans lequel vous pouvez activer tous les AWS services disponibles.
**Note**  
Si une erreur d'autorisation s'affiche et que vous êtes un administrateur Amazon Quick autorisé, contactez votre administrateur système pour obtenir de l'aide.

1. Cochez les cases des services que vous voulez autoriser. Décochez les cases des services que vous ne souhaitez pas autoriser.

   Si vous avez déjà activé un AWS service, la case correspondante est déjà cochée. Si Amazon Quick ne parvient pas à accéder à un AWS service en particulier, sa case à cocher n'est pas cochée.

   Dans certains cas, vous pouvez voir un message comme celui-ci. 

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   Ce type de message signifie que l'une des politiques IAM utilisées par Amazon Quick a été modifiée manuellement. Pour résoudre ce problème, l’administrateur système doit supprimer la politique IAM mentionnée dans le message d’erreur et recharger l’écran **Sécurité et autorisations** avant de réessayer.

1. Choisissez **Update (Mettre à jour)** pour confirmer ou **Cancel (Annuler)** pour revenir à l’écran précédent.

**Topics**
+ [Configuration d'un accès granulaire aux AWS services via IAM](scoping-policies-iam-interface.md)
+ [Utiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données dans Quick](secrets-manager-integration.md)

# Configuration d'un accès granulaire aux AWS services via IAM
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  S’applique à : édition Enterprise  | 


|  | 
| --- |
|    Public cible : administrateurs système et administrateurs Amazon Quick  | 

Dans l'édition Enterprise, Amazon Quick vous permet de configurer un accès détaillé aux ressources des AWS services. Comme tous les autres AWS services, Quick utilise des politiques IAM pour contrôler l'accès des utilisateurs et des groupes.

Avant de commencer, demandez à un administrateur de configurer à l’avance les politiques IAM nécessaires. Si elles sont configurées, vous avez la possibilité de les sélectionner dans le cadre de la procédure décrite dans cette section. Pour plus d'informations sur la création de politiques IAM à utiliser avec Quick, consultez la section [Gestion des identités et des accès dans Quick](https://docs.aws.amazon.com/quicksight/latest/user/identity.html).

**Pour attribuer une stratégie IAM à un utilisateur ou un groupe**

1. Connectez-vous à Quick at[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. Dans le coin supérieur gauche, choisissez votre nom d'utilisateur, puis sélectionnez **Gérer QuickSight**.

1. Choisissez **Security & permissions (Sécurité et autorisations)**. 

1. Sous **Resource access for individual users and groups (Accès aux ressources pour des utilisateurs et des groupes)**, choisissez **IAM policy assignments (Affectations de stratégie IAM)**.

   Les étapes suivantes impliquent de choisir une stratégie IAM à affecter à l’utilisateur ou au groupe. Vous pouvez attribuer plusieurs politiques IAM à un utilisateur ou à un groupe Amazon Quick. Pour déterminer les autorisations, Amazon Quick effectue une union et une intersection avec les politiques Compte AWS de niveau. 

   Si vous avez déjà des affectations de stratégie IAM actives, celles-ci sont répertoriées sur cette page. Vous pouvez rechercher des affectations existantes à l’aide de la zone de recherche. Si vous avez des brouillons qui ne sont pas encore actifs, ceux-ci -sont répertoriés sous **Assignment drafts (Brouillons d’affectation)**.

1. Sélectionnez l’une des méthodes suivantes : 
   + Pour créer une affectation de stratégie IAM, choisissez **Add new assignment (Ajouter une nouvelle affectation)**.
   + Pour modifier une affectation existante, choisissez l’icône **Edit assignment (Modifier l’affectation) ** qui correspond à cette affectation.
   + Pour activer ou désactiver une stratégie, activez la case à cocher correspondant à celle-ci, puis choisissez **Enable (Activer)** ou **Disable (Désactiver)**. Vous pouvez sélectionner plusieurs affectations de stratégie à la fois.
   + Pour supprimer une affectation existante, choisissez l’icône **Remove assignment (Supprimer l’affectation)** en regard du nom de l’affectation. Pour confirmer votre choix, sélectionnez **Delete (Supprimer)** sur l’écran de confirmation. Sinon, choisissez **Retour** pour annuler la suppression. 

   Si vous créez ou modifiez une affectation, passez à l’étape suivante. Sinon, allez directement à la fin de cette procédure.

1. Sur l’écran suivant, procédez à l’attribution de la politique, un processus qui se divise en plusieurs étapes. Au fur et à mesure que vous parcourez les étapes, vous pouvez avancer ou reculer pour apporter des modifications. Lorsque vous quittez l’écran, les modifications apportées au cours des différentes étapes sont enregistrées. 

   1. **Étape 1 : Nommer l’affectation** – S’il s’agit d’une nouvelle affectation, saisissez un nom pour l’affectation, puis choisissez **Suivant** pour continuer. Si vous souhaitez modifier le nom, choisissez **Step 1 (Étape 1)** à gauche.

   1. **Étape 2 : Sélectionner une politique IAM** – Sélectionnez une politique IAM que vous souhaitez utiliser. À partir de cet écran, vous pouvez interagir comme suit avec les stratégies : 
      + Choisir une stratégie que vous souhaitez utiliser.
      + Rechercher un nom de stratégie.
      + Filtrez la liste pour voir toutes les politiques IAM, les politiques gérées ou les politiques AWS gérées par le client. 
      + Visualiser une stratégie, en choisissant **View policy (Visualiser une stratégie)**. 

      Pour sélectionner une stratégie, choisissez le bouton en regard de celle-ci, puis choisissez **Next (Suivant)** pour continuer.

   1. **Étape 3 : Attribuer des utilisateurs et des groupes** – Choisissez des utilisateurs ou des groupes spécifiques. Vous pouvez également choisir d’utiliser la politique IAM sélectionnée pour tous les utilisateurs et groupes. 

      Choisissez l’une des options suivantes.
      + Pour **Attribuer à tous les utilisateurs et groupes**, cochez la case pour attribuer la politique IAM à tous les utilisateurs et groupes Amazon Quick. Si vous choisissez cette option, la stratégie est attribuée à tous les groupes et utilisateurs actuels et futurs. 
      + Choisissez les utilisateurs et les groupes auxquels vous souhaitez attribuer cette stratégie IAM. Vous pouvez effectuer une recherche par nom, adresse e-mail ou nom de groupe.

      Lorsque vous avez fini de sélectionner les utilisateurs et les groupes, cliquez sur **Next (Suivant)** pour continuer.

   1. **Étape 4 : Vérifier et activer les modifications** – Enregistrez vos modifications.

      Choisissez l’une des options suivantes.
      + Si vous souhaitez modifier un de vos choix, faites-le au cours de cette étape.
      + Pour enregistrer cette affectation de stratégie en tant que brouillon, choisissez **Save as draft (Enregistrer en tant que brouillon)**. Vous pouvez activer le brouillon ultérieurement.
      + Pour activer cette stratégie immédiatement, choisissez **Save and enable (Enregistrer et activer)**. Cette option remplace toute affectation de stratégie existante en conservant le même nom.

# Utiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données dans Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Public cible : Amazon Quick Administrators et développeurs Amazon Quick  | 

AWS Secrets Manager est un service de stockage secret que vous pouvez utiliser pour protéger les informations d'identification de base de données, les clés d'API et d'autres informations secrètes. L’utilisation d’une clé vous permet de vous assurer que le secret ne peut pas être compromis par quelqu’un qui examine votre code, car le secret n’est pas stocké dans le code. Pour une présentation, consultez le [Guide de l’utilisateur AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Les administrateurs Quick peuvent accorder à Amazon Quick un accès en lecture seule aux secrets qu'ils créent dans Secrets Manager. Ces secrets peuvent être utilisés à la place des informations d'identification de base de données lors de la création et de la modification de sources de données à l'aide de l'API Quick.

Quick prend en charge l'utilisation de secrets avec des types de sources de données qui prennent en charge l'authentification par paire d'informations d'identification. Jira et ne ServiceNow sont pas pris en charge actuellement.

**Note**  
Si vous utilisez AWS Secrets Manager Quick, l'accès et la maintenance vous sont facturés comme décrit sur la [page de AWS Secrets Manager tarification](https://aws.amazon.com/secrets-manager/pricing). Dans votre relevé de facturation, les coûts sont détaillés dans Secrets Manager et non dans Amazon Quick.

Utilisez les procédures décrites dans les sections suivantes pour intégrer Secrets Manager à Amazon Quick.

**Topics**
+ [Accorder à Amazon Quick l'accès à Secrets Manager et à certains secrets](#secrets-manager-integration-select-secrets)
+ [Création ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide de l'API Amazon Quick](#secrets-manager-integration-api)
+ [Qu’y a-t-il dans le secret](#secrets-manager-integration-whats-in-secret)
+ [Modification d’un secret](#secrets-manager-integration-modifying)

## Accorder à Amazon Quick l'accès à Secrets Manager et à certains secrets
<a name="secrets-manager-integration-select-secrets"></a>

Si vous êtes administrateur et que vous avez des secrets dans Secrets Manager, vous pouvez accorder à Amazon Quick un accès en lecture seule à certains secrets. 

**Pour accorder à Amazon Quick l'accès à Secrets Manager et à certains secrets**

1. Dans Amazon Quick, choisissez votre icône d'utilisateur en haut à droite, puis sélectionnez **Gérer rapidement**.

1. Choisissez **Sécurité et autorisations** sur la gauche.

1. Choisissez **Gérer** dans **Amazon Accès rapide aux AWS ressources**.

1. Dans **Autoriser l’accès et la découverte automatique de ces ressources**, choisissez **AWS Secrets Manager**, **Sélectionner les secrets**. 

   La page **Secrets AWS Secrets Manager ** s’ouvre. 

1. Sélectionnez les secrets auxquels vous souhaitez accorder à Amazon Quick un accès en lecture seule.

   Les secrets de votre région d'inscription à Amazon Quick sont affichés automatiquement. Pour sélectionner des secrets en dehors de votre région d'origine, choisissez **Secrets dans d'autres AWS régions**, puis entrez le nom des ressources Amazon (ARNs) correspondant à ces secrets.

1. Lorsque vous avez terminé, choisissez **Terminer**. 

   Amazon Quick crée un rôle IAM appelé `aws-quicksight-secretsmanager-role-v0` dans votre compte. Il accorde aux utilisateurs du compte un accès en lecture seule aux secrets spécifiés et ressemble à ce qui suit :

   Lorsque les utilisateurs d'Amazon Quick créent des analyses ou consultent des tableaux de bord qui utilisent une source de données contenant des secrets, Amazon Quick assume le rôle IAM de Secrets Manager. Pour plus d’informations sur les politiques d’autorisation des secrets, consultez la rubrique [Authentification et contrôle d’accès pour AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) dans le *Guide de l’utilisateur AWS Secrets Manager *.

   Le secret spécifié dans le rôle Amazon Quick IAM peut être soumis à une politique de ressources supplémentaire qui refuse l'accès. Pour plus d’informations, consultez la rubrique [Attacher une politique d’autorisation à un secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) dans le *Guide de l’utilisateur AWS Secrets Manager *.

   Si vous utilisez une AWS KMS clé AWS gérée pour chiffrer votre secret, Amazon Quick n'a pas besoin de configurer d'autorisations supplémentaires dans Secrets Manager.

   Si vous utilisez une clé gérée par le client pour chiffrer votre secret, assurez-vous que le rôle Amazon Quick IAM `aws-quicksight-secretsmanager-role-v0` dispose `kms:Decrypt` d'autorisations. Pour plus d’informations, consultez la rubrique [Autorisations pour la clé  KMS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) dans le *Guide de l’utilisateur AWS Secrets Manager *.

   Pour plus d'informations sur les types de clés utilisés dans le service de gestion des AWS clés, consultez la section [Clés clients et AWS clés](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) du *guide du service de gestion des AWS clés*.

## Création ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide de l'API Amazon Quick
<a name="secrets-manager-integration-api"></a>

Une fois que l'administrateur Amazon Quick a accordé à Amazon Quick un accès en lecture seule à Secrets Manager, vous pouvez créer et mettre à jour des sources de données dans l'API à l'aide d'un secret que l'administrateur a sélectionné comme informations d'identification.

Voici un exemple d'appel d'API pour créer une source de données dans Amazon Quick. Cet exemple utilise l’opération d’API `create-data-source`. Vous pouvez également utiliser l’opération `update-data-source`. Pour plus d'informations, consultez [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)et consultez [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)le *Amazon Quick API Reference*.

L'utilisateur spécifié dans les autorisations de l'exemple d'appel d'API suivant peut supprimer, afficher et modifier les sources de données pour la source de données MySQL spécifiée dans Amazon Quick. Il peut également consulter et mettre à jour les autorisations des sources de données. Au lieu d'un nom d'utilisateur et d'un mot de passe Amazon Quick, un ARN secret est utilisé comme informations d'identification pour la source de données.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

Dans cet appel, Amazon Quick autorise l'`secretsmanager:GetSecretValue`accès au secret en fonction de la politique IAM de l'appelant de l'API, et non de la politique du rôle de service IAM. La fonction du service IAM agit au niveau du compte et est utilisée lorsqu’un utilisateur consulte une analyse ou un tableau de bord. Elle ne peut pas être utilisée pour autoriser un accès secret lorsqu’un utilisateur crée ou met à jour la source de données. 

Lorsqu'ils modifient une source de données dans l'interface utilisateur Amazon Quick, les utilisateurs peuvent consulter l'ARN secret des sources de données utilisées AWS Secrets Manager comme type d'identification. Cependant, ils ne peuvent pas modifier le secret ou en sélectionner un autre. S'ils doivent apporter des modifications, par exemple au serveur ou au port de base de données, les utilisateurs doivent d'abord choisir la **paire d'identifiants** et saisir le nom d'utilisateur et le mot de passe de leur compte Amazon Quick.

Les secrets sont automatiquement supprimés d’une source de données lorsque celle-ci est modifiée dans l’interface utilisateur. Pour restaurer le secret de la source de données, utilisez l’opération d’API `update-data-source`.

## Qu’y a-t-il dans le secret
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick nécessite le format JSON suivant pour accéder à votre secret :

```
{
  "username": "username",
  "password": "password"
}
```

Les `password` champs `username` et sont obligatoires pour qu'Amazon Quick puisse accéder aux secrets. Tous les autres champs sont facultatifs et sont ignorés par Amazon Quick.

Le format JSON peut varier selon le type de base de données. Pour plus d'informations, consultez [la structure JSON des secrets d'identification de AWS Secrets Manager base de données](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html) dans le *Guide de l'AWS Secrets Manager utilisateur*.

## Modification d’un secret
<a name="secrets-manager-integration-modifying"></a>

Pour modifier un secret, vous utilisez Secrets Manager. Une fois que vous avez modifié un secret, les mises à jour seront disponibles la prochaine fois qu'Amazon Quick demandera l'accès au secret.