Menggunakan AWS Secrets Manager rahasia alih-alih kredensil database di Quick - Amazon Cepat
Berikan Amazon Akses Cepat ke Secrets ManagerMembuat atau memperbarui sumber data dengan kredensi rahasia menggunakan Amazon Quick APIApa yang ada di rahasiaUbah rahasia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Secrets Manager rahasia alih-alih kredensil database di Quick

   Pemirsa yang dituju: Administrator Cepat Amazon dan pengembang Amazon Quick 

AWS Secrets Manager adalah layanan penyimpanan rahasia yang dapat Anda gunakan untuk melindungi kredensi database, kunci API, dan informasi rahasia lainnya. Menggunakan kunci membantu Anda memastikan bahwa rahasia tidak dapat dikompromikan oleh seseorang yang memeriksa kode Anda, karena rahasia tidak disimpan dalam kode. Untuk ikhtisar, lihat Panduan AWS Secrets Manager Pengguna.

Administrator cepat dapat memberikan Amazon Quick akses read-only ke rahasia yang mereka buat di Secrets Manager. Rahasia ini dapat digunakan sebagai pengganti kredensi database saat membuat dan mengedit sumber data menggunakan Quick API.

Dukungan cepat menggunakan rahasia dengan tipe sumber data yang mendukung otentikasi pasangan kredensi. Jira dan saat ServiceNow ini tidak didukung.

catatan

Jika Anda menggunakan AWS Secrets Manager Quick, Anda ditagih untuk akses dan pemeliharaan seperti yang dijelaskan di halaman AWS Secrets Manager Harga. Dalam laporan penagihan Anda, biaya diperinci di bawah Secrets Manager dan bukan di bawah Amazon Quick.

Gunakan prosedur yang dijelaskan di bagian berikut untuk mengintegrasikan Secrets Manager dengan Amazon Quick.

Memberikan Amazon akses Cepat ke Secrets Manager dan rahasia yang dipilih

Jika Anda seorang administrator dan memiliki rahasia di Secrets Manager, Anda dapat memberikan Amazon Quick akses read-only ke rahasia yang dipilih.

Untuk memberikan Amazon Quick akses ke Secrets Manager dan rahasia yang dipilih

  1. Di Amazon Quick, pilih ikon pengguna Anda di kanan atas, lalu pilih Kelola Cepat.

  2. Pilih Keamanan & izin di sebelah kiri.

  3. Pilih Kelola di Amazon Akses cepat ke AWS sumber daya.

  4. Di Izinkan akses dan penemuan otomatis untuk sumber daya ini, pilih AWS Secrets Manager, Pilih rahasia.

    Halaman AWS Secrets Manager rahasia terbuka.

  5. Pilih rahasia yang ingin Anda berikan akses hanya-baca Cepat Amazon.

    Rahasia di Wilayah Pendaftaran Cepat Amazon Anda ditampilkan secara otomatis. Untuk memilih rahasia di luar Wilayah asal Anda, pilih Rahasia di AWS Wilayah Lain, lalu masukkan Nama Sumber Daya Amazon (ARNs) untuk rahasia tersebut.

  6. Setelah selesai, pilih Selesai.

    Amazon Quick membuat peran IAM yang disebut aws-quicksight-secretsmanager-role-v0 di akun Anda. Ini memberi pengguna di akun akses hanya-baca ke rahasia yang ditentukan dan terlihat mirip dengan yang berikut:

    Saat pengguna Amazon Quick membuat analisis dari atau melihat dasbor yang menggunakan sumber data dengan rahasia, Amazon Quick mengasumsikan peran IAM Secrets Manager ini. Untuk informasi selengkapnya tentang kebijakan izin rahasia, lihat Otentikasi dan kontrol akses untuk AWS Secrets Manager di AWS Secrets Manager Panduan Pengguna.

    Rahasia yang ditentukan dalam peran Amazon Quick IAM mungkin memiliki kebijakan sumber daya tambahan yang menolak akses. Untuk informasi selengkapnya, lihat Melampirkan kebijakan izin ke rahasia di Panduan AWS Secrets Manager Pengguna.

    Jika Anda menggunakan AWS KMS kunci AWS terkelola untuk mengenkripsi rahasia Anda, Amazon Quick tidak memerlukan pengaturan izin tambahan di Secrets Manager.

    Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi rahasia Anda, pastikan bahwa peran Amazon Quick IAM, aws-quicksight-secretsmanager-role-v0 memiliki kms:Decrypt izin. Untuk informasi selengkapnya, lihat Izin untuk kunci KMS di AWS Secrets Manager Panduan Pengguna.

    Untuk informasi selengkapnya tentang jenis kunci yang digunakan dalam Layanan Manajemen AWS Kunci, lihat Kunci dan AWS kunci pelanggan dalam panduan Layanan Manajemen AWS Kunci.

Membuat atau memperbarui sumber data dengan kredensi rahasia menggunakan Amazon Quick API

Setelah administrator Amazon Quick memberikan Amazon Quick akses read-only ke Secrets Manager, Anda dapat membuat dan memperbarui sumber data di API menggunakan rahasia administrator yang dipilih sebagai kredensi.

Berikut ini adalah contoh panggilan API untuk membuat sumber data di Amazon Quick. Contoh ini menggunakan operasi create-data-source API. Anda juga dapat menggunakan update-data-source operasi ini. Untuk informasi selengkapnya, lihat CreateDataSourcedan UpdateDataSourcedi Referensi API Cepat Amazon.

Pengguna yang ditentukan dalam izin dalam contoh panggilan API berikut dapat menghapus, melihat, dan mengedit sumber data untuk sumber data MySQL yang ditentukan di Amazon Quick. Mereka juga dapat melihat dan memperbarui izin sumber data. Alih-alih nama pengguna dan kata sandi Amazon Quick, ARN rahasia digunakan sebagai kredensil untuk sumber data.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dalam panggilan ini, Amazon Quick mengotorisasi secretsmanager:GetSecretValue akses ke rahasia berdasarkan kebijakan IAM pemanggil API, bukan kebijakan peran layanan IAM. Peran layanan IAM bertindak pada tingkat akun dan digunakan ketika analisis atau dasbor dilihat oleh pengguna. Ini tidak dapat digunakan untuk mengotorisasi akses rahasia ketika pengguna membuat atau memperbarui sumber data.

Saat mereka mengedit sumber data di Amazon Quick UI, pengguna dapat melihat ARN rahasia untuk sumber data yang digunakan AWS Secrets Manager sebagai tipe kredensi. Namun, mereka tidak dapat mengedit rahasia, atau memilih rahasia yang berbeda. Jika mereka perlu melakukan perubahan, misalnya ke server database atau port, pengguna harus terlebih dahulu memilih Credential pair dan memasukkan nama pengguna dan kata sandi akun Amazon Quick mereka.

Rahasia secara otomatis dihapus dari sumber data ketika sumber data diubah di UI. Untuk mengembalikan rahasia ke sumber data, gunakan operasi update-data-source API.

Apa yang ada di rahasia

Amazon Quick memerlukan format JSON berikut untuk mengakses rahasia Anda:

{
  "username": "username",
  "password": "password"
}

passwordBidang username dan diperlukan untuk Amazon Quick untuk mengakses rahasia. Semua bidang lainnya bersifat opsional dan diabaikan oleh Amazon Quick.

Format JSON dapat bervariasi tergantung pada jenis database. Untuk informasi selengkapnya, lihat struktur JSON rahasia kredenal AWS Secrets Manager database di AWS Secrets Manager Panduan Pengguna.

Ubah rahasia

Untuk mengubah rahasia, Anda menggunakan Secrets Manager. Setelah Anda membuat perubahan pada rahasia, pembaruan menjadi tersedia saat Amazon Quick meminta akses ke rahasia berikutnya.