Menggunakan AWS Secrets Manager rahasia alih-alih kredensil database di Quick Suite - Amazon Quick Suite
Berikan Amazon Quick Suite akses ke Secrets ManagerMembuat atau memperbarui sumber data dengan kredensil rahasia menggunakan Amazon Quick Suite APIApa yang ada di rahasiaMemodifikasi rahasia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Secrets Manager rahasia alih-alih kredensil database di Quick Suite

   Pemirsa yang dituju: Administrator Amazon Quick Suite dan pengembang Amazon Quick Suite 

AWS Secrets Manager adalah layanan penyimpanan rahasia yang dapat Anda gunakan untuk melindungi kredensi database, kunci API, dan informasi rahasia lainnya. Menggunakan kunci membantu Anda memastikan bahwa rahasia tidak dapat dikompromikan oleh seseorang yang memeriksa kode Anda, karena rahasia tidak disimpan dalam kode. Untuk ikhtisar, lihat Panduan AWS Secrets Manager Pengguna.

Administrator Quick Suite dapat memberikan Amazon Quick Suite akses read-only ke rahasia yang mereka buat di Secrets Manager. Rahasia ini dapat digunakan sebagai pengganti kredensi database saat membuat dan mengedit sumber data menggunakan Quick Suite API.

Quick Suite mendukung penggunaan rahasia dengan tipe sumber data yang mendukung otentikasi pasangan kredensi. Jira dan saat ServiceNow ini tidak didukung.

catatan

Jika Anda menggunakan AWS Secrets Manager Quick Suite, Anda ditagih untuk akses dan pemeliharaan seperti yang dijelaskan di halaman AWS Secrets Manager Harga. Dalam laporan penagihan Anda, biaya diperinci di bawah Secrets Manager dan bukan di bawah Amazon Quick Suite.

Gunakan prosedur yang dijelaskan di bagian berikut untuk mengintegrasikan Secrets Manager dengan Amazon Quick Suite.

Memberikan Amazon Quick Suite akses ke Secrets Manager dan rahasia yang dipilih

Jika Anda seorang administrator dan memiliki rahasia di Secrets Manager, Anda dapat memberikan Amazon Quick Suite akses read-only ke rahasia yang dipilih.

Untuk memberikan Amazon Quick Suite akses ke Secrets Manager dan rahasia yang dipilih

  1. Di Amazon Quick Suite, pilih ikon pengguna Anda di kanan atas, lalu pilih Kelola Suite Cepat.

  2. Pilih Keamanan & izin di sebelah kiri.

  3. Pilih Kelola di Amazon Quick Suite akses ke AWS sumber daya.

  4. Di Izinkan akses dan penemuan otomatis untuk sumber daya ini, pilih AWS Secrets Manager, Pilih rahasia.

    Halaman AWS Secrets Manager rahasia terbuka.

  5. Pilih rahasia yang ingin Anda berikan akses hanya-baca Amazon Quick Suite.

    Rahasia di Wilayah pendaftaran Amazon Quick Suite ditampilkan secara otomatis. Untuk memilih rahasia di luar Wilayah asal Anda, pilih Rahasia di AWS Wilayah Lain, lalu masukkan Nama Sumber Daya Amazon (ARNs) untuk rahasia tersebut.

  6. Setelah selesai, pilih Selesai.

    Amazon Quick Suite membuat peran IAM yang disebut aws-quicksight-secretsmanager-role-v0 di akun Anda. Ini memberi pengguna di akun akses hanya-baca ke rahasia yang ditentukan dan terlihat mirip dengan yang berikut:

    Saat pengguna Amazon Quick Suite membuat analisis dari atau melihat dasbor yang menggunakan sumber data dengan rahasia, Amazon Quick Suite mengasumsikan peran IAM Secrets Manager ini. Untuk informasi selengkapnya tentang kebijakan izin rahasia, lihat Otentikasi dan kontrol akses untuk AWS Secrets Manager di AWS Secrets Manager Panduan Pengguna.

    Rahasia yang ditentukan dalam peran Amazon Quick Suite IAM mungkin memiliki kebijakan sumber daya tambahan yang menolak akses. Untuk informasi selengkapnya, lihat Melampirkan kebijakan izin ke rahasia di Panduan AWS Secrets Manager Pengguna.

    Jika Anda menggunakan AWS KMS kunci AWS terkelola untuk mengenkripsi rahasia Anda, Amazon Quick Suite tidak memerlukan pengaturan izin tambahan di Secrets Manager.

    Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi rahasia Anda, pastikan bahwa peran Amazon Quick Suite IAM, aws-quicksight-secretsmanager-role-v0 memiliki kms:Decrypt izin. Untuk informasi selengkapnya, lihat Izin untuk kunci KMS di AWS Secrets Manager Panduan Pengguna.

    Untuk informasi selengkapnya tentang jenis kunci yang digunakan dalam Layanan Manajemen AWS Kunci, lihat Kunci dan AWS kunci pelanggan dalam panduan Layanan Manajemen AWS Kunci.

Membuat atau memperbarui sumber data dengan kredensil rahasia menggunakan Amazon Quick Suite API

Setelah administrator Amazon Quick Suite memberikan akses read-only Amazon Quick Suite ke Secrets Manager, Anda dapat membuat dan memperbarui sumber data di API menggunakan rahasia yang dipilih administrator sebagai kredensialnya.

Berikut ini adalah contoh panggilan API untuk membuat sumber data di Amazon Quick Suite. Contoh ini menggunakan operasi create-data-source API. Anda juga dapat menggunakan update-data-source operasi ini. Untuk informasi selengkapnya, lihat CreateDataSourcedan UpdateDataSourcedi Referensi API Amazon Quick Suite.

Pengguna yang ditentukan dalam izin dalam contoh panggilan API berikut dapat menghapus, melihat, dan mengedit sumber data untuk sumber data MySQL yang ditentukan di Amazon Quick Suite. Mereka juga dapat melihat dan memperbarui izin sumber data. Alih-alih nama pengguna dan kata sandi Amazon Quick Suite, ARN rahasia digunakan sebagai kredensil untuk sumber data.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dalam panggilan ini, Amazon Quick Suite mengotorisasi secretsmanager:GetSecretValue akses ke rahasia berdasarkan kebijakan IAM pemanggil API, bukan kebijakan peran layanan IAM. Peran layanan IAM bertindak pada tingkat akun dan digunakan ketika analisis atau dasbor dilihat oleh pengguna. Ini tidak dapat digunakan untuk mengotorisasi akses rahasia ketika pengguna membuat atau memperbarui sumber data.

Saat mereka mengedit sumber data di Amazon Quick Suite UI, pengguna dapat melihat ARN rahasia untuk sumber data yang digunakan AWS Secrets Manager sebagai tipe kredensi. Namun, mereka tidak dapat mengedit rahasia, atau memilih rahasia yang berbeda. Jika mereka perlu melakukan perubahan, misalnya ke server database atau port, pengguna harus terlebih dahulu memilih Credential pair dan memasukkan nama pengguna dan kata sandi akun Amazon Quick Suite mereka.

Rahasia secara otomatis dihapus dari sumber data ketika sumber data diubah di UI. Untuk mengembalikan rahasia ke sumber data, gunakan operasi update-data-source API.

Apa yang ada di rahasia

Amazon Quick Suite memerlukan format JSON berikut untuk mengakses rahasia Anda:

{
  "username": "username",
  "password": "password"
}

passwordBidang username dan diperlukan untuk Amazon Quick Suite untuk mengakses rahasia. Semua bidang lainnya bersifat opsional dan diabaikan oleh Amazon Quick Suite.

Format JSON dapat bervariasi tergantung pada jenis database. Untuk informasi selengkapnya, lihat struktur JSON rahasia kredenal AWS Secrets Manager database di AWS Secrets Manager Panduan Pengguna.

Memodifikasi rahasia

Untuk mengubah rahasia, Anda menggunakan Secrets Manager. Setelah Anda membuat perubahan pada rahasia, pembaruan akan tersedia saat Amazon Quick Suite meminta akses ke rahasia berikutnya.