Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo Gestione dei segreti AWS dei segreti anziché delle credenziali del database in Quick Suite
| Destinatari: amministratori di Amazon Quick Suite e sviluppatori di Amazon Quick Suite |
Gestione dei segreti AWS è un servizio di archiviazione segreto che puoi utilizzare per proteggere le credenziali del database, le chiavi API e altre informazioni segrete. L'uso di una chiave garantisce che il segreto non venga compromesso da qualcuno che esamina il codice, perché semplicemente il segreto non è archiviato nel codice. Per una panoramica, consulta la Guida per l'utente di Gestione dei segreti AWS.
Gli amministratori di Quick Suite possono concedere ad Amazon Quick Suite l'accesso in sola lettura ai segreti che creano in Secrets Manager. Questi segreti possono essere utilizzati al posto delle credenziali del database durante la creazione e la modifica di fonti di dati utilizzando l'API Quick Suite.
Quick Suite supporta l'utilizzo di segreti con tipi di fonti di dati che supportano l'autenticazione a coppie di credenziali. Jira e non ServiceNow sono attualmente supportati.
Nota
Se utilizzi Gestione dei segreti AWS Quick Suite, ti verranno addebitati i costi di accesso e manutenzione come descritto nella pagina Gestione dei segreti AWS Prezzi
Utilizza le procedure descritte nelle seguenti sezioni per integrare Secrets Manager con Amazon Quick Suite.
Argomenti
Concessione dell'accesso di Amazon Quick Suite a Secrets Manager e a segreti selezionati
Se sei un amministratore e disponi di segreti in Secrets Manager, puoi concedere ad Amazon Quick Suite l'accesso in sola lettura a segreti selezionati.
Per concedere ad Amazon Quick Suite l'accesso a Secrets Manager e a segreti selezionati
-
In Amazon Quick Suite, scegli l'icona utente in alto a destra, quindi scegli Manage Quick Suite.
-
Scegli Sicurezza e autorizzazioni sulla sinistra.
-
Scegli Gestisci l'accesso alle AWS risorse in Amazon Quick Suite.
-
In Consenti l'accesso e il rilevamento automatico per queste risorse, scegli Gestione dei segreti AWS, Seleziona segreti.
Si apre la pagina Segreti di Gestione dei segreti AWS .
-
Seleziona i segreti a cui vuoi concedere l'accesso in sola lettura ad Amazon Quick Suite.
I segreti nella tua regione di registrazione ad Amazon Quick Suite vengono visualizzati automaticamente. Per selezionare segreti al di fuori della tua regione d'origine, scegli Segreti in altre AWS regioni, quindi inserisci Amazon Resource Names (ARNs) per quei segreti.
-
Al termine, scegliere Finish (Fine).
Amazon Quick Suite crea un ruolo IAM chiamato
aws-quicksight-secretsmanager-role-v0nel tuo account. Garantisce agli utenti dell'account l'accesso in sola lettura ai segreti specificati e ha un aspetto simile al seguente:Quando gli utenti di Amazon Quick Suite creano analisi o visualizzano dashboard che utilizzano un'origine dati con segreti, Amazon Quick Suite assume questo ruolo IAM di Secrets Manager. Per ulteriori informazioni sulle policy di autorizzazione dei segreti, consulta Autenticazione e controllo degli accessi per Gestione dei segreti AWS nella Guida per l'utente di Gestione dei segreti AWS .
Il segreto specificato nel ruolo IAM di Amazon Quick Suite può avere una politica di risorse aggiuntiva che nega l'accesso. Per ulteriori informazioni, consulta Collegamento di una policy di autorizzazioni a un segreto nella Guida per l'utente di Gestione dei segreti AWS .
Se utilizzi una AWS KMS chiave AWS gestita per crittografare il tuo segreto, Amazon Quick Suite non richiede alcuna configurazione di autorizzazioni aggiuntive in Secrets Manager.
Se utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, assicurati che il ruolo IAM di Amazon Quick Suite
aws-quicksight-secretsmanager-role-v0disponga dellekms:Decryptautorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni per la chiave KMS nella Guida per l'utente di Gestione dei segreti AWS .Per ulteriori informazioni sui tipi di chiavi utilizzati nel AWS servizio di gestione delle chiavi, consulta le chiavi e le chiavi del cliente nella AWS guida del servizio di gestione delle AWS chiavi.
Creazione o aggiornamento di un'origine dati con credenziali segrete utilizzando l'API Amazon Quick Suite
Dopo che l'amministratore di Amazon Quick Suite ha concesso l'accesso in sola lettura ad Amazon Quick Suite a Secrets Manager, puoi creare e aggiornare le fonti di dati nell'API utilizzando un segreto selezionato dall'amministratore come credenziali.
Di seguito è riportato un esempio di chiamata API per creare un'origine dati in Amazon Quick Suite. Questo esempio utilizza l'operazione API create-data-source. È inoltre possibile utilizzare l'operazione update-data-source. Per ulteriori informazioni, consulta CreateDataSourcee UpdateDataSourceconsulta l'Amazon Quick Suite API Reference.
L'utente specificato nelle autorizzazioni nel seguente esempio di chiamata API può eliminare, visualizzare e modificare le sorgenti dati per l'origine dati MySQL specificata in Amazon Quick Suite. Può inoltre visualizzare e aggiornare le autorizzazioni dell'origine dati. Invece di un nome utente e una password di Amazon Quick Suite, viene utilizzato un ARN segreto come credenziali per l'origine dati.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
In questa chiamata, Amazon Quick Suite autorizza l'secretsmanager:GetSecretValueaccesso al segreto in base alla policy IAM del chiamante dell'API, non alla policy del ruolo di servizio IAM. Il ruolo di servizio IAM agisce a livello di account e viene utilizzato quando un utente visualizza un'analisi o un pannello di controllo. Non può essere utilizzato per autorizzare l'accesso segreto quando un utente crea o aggiorna l'origine dati.
Quando modificano un'origine dati nell'interfaccia utente di Amazon Quick Suite, gli utenti possono visualizzare l'ARN segreto per le origini dati che utilizzano Gestione dei segreti AWS come tipo di credenziale. Tuttavia, non possono modificare il segreto o selezionarne uno diverso. Se devono apportare modifiche, ad esempio al server o alla porta del database, gli utenti devono prima scegliere la coppia di credenziali e inserire il nome utente e la password del proprio account Amazon Quick Suite.
I segreti vengono rimossi automaticamente da un'origine dati quando l'origine dati viene modificata nell'interfaccia utente. Per ripristinare il segreto nell'origine dati, utilizza l'operazione API update-data-source.
Cosa c'è nel segreto
Amazon Quick Suite richiede il seguente formato JSON per accedere al tuo segreto:
{ "username": "username", "password": "password" }
I password campi username e sono obbligatori per consentire ad Amazon Quick Suite di accedere ai segreti. Tutti gli altri campi sono facoltativi e vengono ignorati da Amazon Quick Suite.
Il formato JSON può variare a seconda del tipo di database. Per ulteriori informazioni, consulta la struttura JSON dei segreti delle credenziali del Gestione dei segreti AWS database nella Guida per l'Gestione dei segreti AWS utente.
Modificare un segreto
Per modificare un segreto, si utilizza Secrets Manager. Dopo aver apportato modifiche a un segreto, gli aggiornamenti diventano disponibili la prossima volta che Amazon Quick Suite richiede l'accesso al segreto.
