Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo Gestione dei segreti AWS dei segreti anziché delle credenziali del database in Quick
| Destinatari: amministratori di Amazon Quick e sviluppatori Amazon Quick |
Gestione dei segreti AWS è un servizio di archiviazione segreto che puoi utilizzare per proteggere le credenziali del database, le chiavi API e altre informazioni segrete. L'uso di una chiave garantisce che il segreto non venga compromesso da qualcuno che esamina il codice, perché semplicemente il segreto non è archiviato nel codice. Per una panoramica, consulta la Guida per l'utente di Gestione dei segreti AWS.
Gli amministratori Quick possono concedere ad Amazon Quick l'accesso in sola lettura ai segreti che creano in Secrets Manager. Questi segreti possono essere utilizzati al posto delle credenziali del database durante la creazione e la modifica di fonti di dati utilizzando l'API Quick.
Quick supporta l'utilizzo di segreti con tipi di fonti di dati che supportano l'autenticazione a coppie di credenziali. Jira e non ServiceNow sono attualmente supportati.
Nota
Se utilizzi Gestione dei segreti AWS Quick, ti verranno addebitati i costi di accesso e manutenzione come descritto nella pagina Gestione dei segreti AWS Prezzi
Utilizza le procedure descritte nelle seguenti sezioni per integrare Secrets Manager con Amazon Quick.
Argomenti
Concedere ad Amazon Quick l'accesso a Secrets Manager e a segreti selezionati
Se sei un amministratore e disponi di segreti in Secrets Manager, puoi concedere ad Amazon Quick l'accesso in sola lettura a segreti selezionati.
Per concedere ad Amazon Quick l'accesso a Secrets Manager e a determinati segreti
-
In Amazon Quick, scegli l'icona utente in alto a destra, quindi scegli Manage Quick.
-
Scegli Sicurezza e autorizzazioni sulla sinistra.
-
Scegli Gestisci in Amazon Accesso rapido alle AWS risorse.
-
In Consenti l'accesso e il rilevamento automatico per queste risorse, scegli Gestione dei segreti AWS, Seleziona segreti.
Si apre la pagina Segreti di Gestione dei segreti AWS .
-
Seleziona i segreti a cui vuoi concedere l'accesso in sola lettura ad Amazon Quick.
I segreti nella tua regione di registrazione Amazon Quick vengono visualizzati automaticamente. Per selezionare segreti al di fuori della tua regione d'origine, scegli Segreti in altre AWS regioni, quindi inserisci Amazon Resource Names (ARNs) per quei segreti.
-
Al termine, scegliere Finish (Fine).
Amazon Quick crea un ruolo IAM chiamato
aws-quicksight-secretsmanager-role-v0nel tuo account. Garantisce agli utenti dell'account l'accesso in sola lettura ai segreti specificati e ha un aspetto simile al seguente:Quando gli utenti di Amazon Quick creano analisi o visualizzano dashboard che utilizzano un'origine dati con segreti, Amazon Quick assume questo ruolo di Secrets Manager IAM. Per ulteriori informazioni sulle policy di autorizzazione dei segreti, consulta Autenticazione e controllo degli accessi per Gestione dei segreti AWS nella Guida per l'utente di Gestione dei segreti AWS .
Il segreto specificato nel ruolo Amazon Quick IAM può avere una politica di risorse aggiuntiva che nega l'accesso. Per ulteriori informazioni, consulta Collegamento di una policy di autorizzazioni a un segreto nella Guida per l'utente di Gestione dei segreti AWS .
Se utilizzi una AWS KMS chiave AWS gestita per crittografare il tuo segreto, Amazon Quick non richiede alcuna configurazione di autorizzazioni aggiuntive in Secrets Manager.
Se utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, assicurati che il ruolo Amazon Quick IAM
aws-quicksight-secretsmanager-role-v0disponga dellekms:Decryptautorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni per la chiave KMS nella Guida per l'utente di Gestione dei segreti AWS .Per ulteriori informazioni sui tipi di chiavi utilizzati nel AWS servizio di gestione delle chiavi, consulta le chiavi e le chiavi del cliente nella AWS guida del servizio di gestione delle AWS chiavi.
Creazione o aggiornamento di un'origine dati con credenziali segrete utilizzando l'API Amazon Quick
Dopo che l'amministratore di Amazon Quick ha concesso ad Amazon Quick l'accesso in sola lettura a Secrets Manager, puoi creare e aggiornare fonti di dati nell'API utilizzando un segreto selezionato dall'amministratore come credenziali.
Di seguito è riportato un esempio di chiamata API per creare un'origine dati in Amazon Quick. Questo esempio utilizza l'operazione API create-data-source. È inoltre possibile utilizzare l'operazione update-data-source. Per ulteriori informazioni, consulta CreateDataSourcee UpdateDataSourceconsulta Amazon Quick API Reference.
L'utente specificato nelle autorizzazioni nel seguente esempio di chiamata API può eliminare, visualizzare e modificare le sorgenti dati per l'origine dati MySQL specificata in Amazon Quick. Può inoltre visualizzare e aggiornare le autorizzazioni dell'origine dati. Invece di un nome utente e una password Amazon Quick, viene utilizzato un ARN segreto come credenziali per l'origine dati.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
In questa chiamata, Amazon Quick autorizza l'secretsmanager:GetSecretValueaccesso al segreto in base alla policy IAM del chiamante dell'API, non alla policy del ruolo di servizio IAM. Il ruolo di servizio IAM agisce a livello di account e viene utilizzato quando un utente visualizza un'analisi o un pannello di controllo. Non può essere utilizzato per autorizzare l'accesso segreto quando un utente crea o aggiorna l'origine dati.
Quando modificano un'origine dati nell'interfaccia utente di Amazon Quick, gli utenti possono visualizzare l'ARN segreto per le origini dati che utilizzano Gestione dei segreti AWS come tipo di credenziale. Tuttavia, non possono modificare il segreto o selezionarne uno diverso. Se devono apportare modifiche, ad esempio al server o alla porta del database, gli utenti devono prima scegliere la coppia di credenziali e inserire il nome utente e la password del proprio account Amazon Quick.
I segreti vengono rimossi automaticamente da un'origine dati quando l'origine dati viene modificata nell'interfaccia utente. Per ripristinare il segreto nell'origine dati, utilizza l'operazione API update-data-source.
Cosa c'è nel segreto
Amazon Quick richiede il seguente formato JSON per accedere al tuo segreto:
{ "username": "username", "password": "password" }
I password campi username e sono obbligatori per consentire ad Amazon Quick di accedere ai segreti. Tutti gli altri campi sono facoltativi e vengono ignorati da Amazon Quick.
Il formato JSON può variare a seconda del tipo di database. Per ulteriori informazioni, consulta la struttura JSON dei segreti delle credenziali del Gestione dei segreti AWS database nella Guida per l'Gestione dei segreti AWS utente.
Modificare un segreto
Per modificare un segreto, si utilizza Secrets Manager. Dopo aver apportato modifiche a un segreto, gli aggiornamenti diventano disponibili la prossima volta che Amazon Quick richiede l'accesso al segreto.
