Utiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données dans Quick Suite - Amazon Quick Suite
Accorder à Amazon Quick Suite l'accès à Secrets ManagerCréation ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide de l'API Amazon Quick SuiteQu’y a-t-il dans le secretModification d’un secret

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données dans Quick Suite

   Public cible : administrateurs Amazon Quick Suite et développeurs Amazon Quick Suite 

AWS Secrets Manager est un service de stockage secret que vous pouvez utiliser pour protéger les informations d'identification de base de données, les clés d'API et d'autres informations secrètes. L’utilisation d’une clé vous permet de vous assurer que le secret ne peut pas être compromis par quelqu’un qui examine votre code, car le secret n’est pas stocké dans le code. Pour une présentation, consultez le Guide de l’utilisateur AWS Secrets Manager.

Les administrateurs de Quick Suite peuvent accorder à Amazon Quick Suite un accès en lecture seule aux secrets qu'ils créent dans Secrets Manager. Ces secrets peuvent être utilisés à la place des informations d'identification de base de données lors de la création et de la modification de sources de données à l'aide de l'API Quick Suite.

Quick Suite prend en charge l'utilisation de secrets avec des types de sources de données qui prennent en charge l'authentification par paire d'informations d'identification. Jira et ne ServiceNow sont pas pris en charge actuellement.

Note

Si vous utilisez AWS Secrets Manager Quick Suite, l'accès et la maintenance vous sont facturés comme décrit sur la page de AWS Secrets Manager tarification. Dans votre relevé de facturation, les coûts sont détaillés dans Secrets Manager et non dans Amazon Quick Suite.

Utilisez les procédures décrites dans les sections suivantes pour intégrer Secrets Manager à Amazon Quick Suite.

Accorder à Amazon Quick Suite l'accès à Secrets Manager et à certains secrets

Si vous êtes administrateur et que vous avez des secrets dans Secrets Manager, vous pouvez accorder à Amazon Quick Suite un accès en lecture seule à certains secrets.

Pour accorder à Amazon Quick Suite l'accès à Secrets Manager et à certains secrets

  1. Dans Amazon Quick Suite, choisissez l'icône de votre utilisateur en haut à droite, puis sélectionnez Gérer Quick Suite.

  2. Choisissez Sécurité et autorisations sur la gauche.

  3. Choisissez Gérer l'accès aux AWS ressources dans Amazon Quick Suite.

  4. Dans Autoriser l’accès et la découverte automatique de ces ressources, choisissez AWS Secrets Manager, Sélectionner les secrets.

    La page Secrets AWS Secrets Manager s’ouvre.

  5. Sélectionnez les secrets auxquels vous souhaitez accorder à Amazon Quick Suite un accès en lecture seule.

    Les secrets de votre région d'inscription à Amazon Quick Suite sont affichés automatiquement. Pour sélectionner des secrets en dehors de votre région d'origine, choisissez Secrets dans d'autres AWS régions, puis entrez le nom des ressources Amazon (ARNs) correspondant à ces secrets.

  6. Lorsque vous avez terminé, choisissez Terminer.

    Amazon Quick Suite crée un rôle IAM appelé aws-quicksight-secretsmanager-role-v0 dans votre compte. Il accorde aux utilisateurs du compte un accès en lecture seule aux secrets spécifiés et ressemble à ce qui suit :

    Lorsque les utilisateurs d'Amazon Quick Suite créent des analyses ou consultent des tableaux de bord qui utilisent une source de données contenant des secrets, Amazon Quick Suite assume le rôle IAM de Secrets Manager. Pour plus d’informations sur les politiques d’autorisation des secrets, consultez la rubrique Authentification et contrôle d’accès pour AWS Secrets Manager dans le Guide de l’utilisateur AWS Secrets Manager .

    Le secret spécifié dans le rôle IAM d'Amazon Quick Suite peut être soumis à une politique de ressources supplémentaire qui refuse l'accès. Pour plus d’informations, consultez la rubrique Attacher une politique d’autorisation à un secret dans le Guide de l’utilisateur AWS Secrets Manager .

    Si vous utilisez une AWS KMS clé AWS gérée pour chiffrer votre secret, Amazon Quick Suite ne nécessite aucune configuration d'autorisations supplémentaires dans Secrets Manager.

    Si vous utilisez une clé gérée par le client pour chiffrer votre secret, assurez-vous que le rôle IAM d'Amazon Quick Suite aws-quicksight-secretsmanager-role-v0 dispose kms:Decrypt d'autorisations. Pour plus d’informations, consultez la rubrique Autorisations pour la clé  KMS dans le Guide de l’utilisateur AWS Secrets Manager .

    Pour plus d'informations sur les types de clés utilisés dans le service de gestion des AWS clés, consultez la section Clés clients et AWS clés du guide du service de gestion des AWS clés.

Création ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide de l'API Amazon Quick Suite

Une fois que l'administrateur d'Amazon Quick Suite a accordé à Amazon Quick Suite un accès en lecture seule à Secrets Manager, vous pouvez créer et mettre à jour des sources de données dans l'API à l'aide d'un secret que l'administrateur a sélectionné comme informations d'identification.

Voici un exemple d'appel d'API pour créer une source de données dans Amazon Quick Suite. Cet exemple utilise l’opération d’API create-data-source. Vous pouvez également utiliser l’opération update-data-source. Pour plus d'informations, consultez CreateDataSourceet consultez UpdateDataSourcele manuel Amazon Quick Suite API Reference.

L'utilisateur spécifié dans les autorisations de l'exemple d'appel d'API suivant peut supprimer, afficher et modifier les sources de données pour la source de données MySQL spécifiée dans Amazon Quick Suite. Il peut également consulter et mettre à jour les autorisations des sources de données. Au lieu d'un nom d'utilisateur et d'un mot de passe Amazon Quick Suite, un ARN secret est utilisé comme informations d'identification pour la source de données.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dans cet appel, Amazon Quick Suite autorise l'secretsmanager:GetSecretValueaccès au secret en fonction de la politique IAM de l'appelant de l'API, et non de la politique du rôle de service IAM. La fonction du service IAM agit au niveau du compte et est utilisée lorsqu’un utilisateur consulte une analyse ou un tableau de bord. Elle ne peut pas être utilisée pour autoriser un accès secret lorsqu’un utilisateur crée ou met à jour la source de données.

Lorsqu'ils modifient une source de données dans l'interface utilisateur d'Amazon Quick Suite, les utilisateurs peuvent consulter l'ARN secret des sources de données utilisées AWS Secrets Manager comme type d'identification. Cependant, ils ne peuvent pas modifier le secret ou en sélectionner un autre. S'ils doivent apporter des modifications, par exemple au serveur ou au port de base de données, les utilisateurs doivent d'abord choisir la paire d'identifiants et saisir le nom d'utilisateur et le mot de passe de leur compte Amazon Quick Suite.

Les secrets sont automatiquement supprimés d’une source de données lorsque celle-ci est modifiée dans l’interface utilisateur. Pour restaurer le secret de la source de données, utilisez l’opération d’API update-data-source.

Qu’y a-t-il dans le secret

Amazon Quick Suite nécessite le format JSON suivant pour accéder à votre secret :

{
  "username": "username",
  "password": "password"
}

Les password champs username et sont obligatoires pour qu'Amazon Quick Suite puisse accéder aux secrets. Tous les autres champs sont facultatifs et sont ignorés par Amazon Quick Suite.

Le format JSON peut varier selon le type de base de données. Pour plus d'informations, consultez la structure JSON des secrets d'identification de AWS Secrets Manager base de données dans le Guide de l'AWS Secrets Manager utilisateur.

Modification d’un secret

Pour modifier un secret, vous utilisez Secrets Manager. Une fois que vous avez modifié un secret, les mises à jour seront disponibles la prochaine fois qu'Amazon Quick Suite demandera l'accès au secret.