Quick Suite에서 데이터베이스 자격 증명 대신 AWS Secrets Manager 보안 암호 사용 - Amazon Quick Suite
Amazon Quick Suite에 Secrets Manager에 대한 액세스 권한 부여Amazon Quick Suite API를 사용하여 보안 인증 정보로 데이터 소스 생성 또는 업데이트보안 암호의 의미보안 암호 수정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Quick Suite에서 데이터베이스 자격 증명 대신 AWS Secrets Manager 보안 암호 사용

   대상: Amazon Quick Suite 관리자 및 Amazon Quick Suite 개발자 

AWS Secrets Manager 는 데이터베이스 자격 증명, API 키 및 기타 보안 암호 정보를 보호하는 데 사용할 수 있는 보안 암호 스토리지 서비스입니다. 키를 사용하면 보안 암호가 코드에 저장되지 않기 때문에 여러분의 코드를 검사하는 누군가에 의해 보안 암호가 손상되지 않도록 방지할 수 있습니다. 개요는 AWS Secrets Manager 사용 설명서를 참조하십시오.

Quick Suite 관리자는 Amazon Quick Suite에 Secrets Manager에서 생성한 보안 암호에 대한 읽기 전용 액세스 권한을 부여할 수 있습니다. 이러한 보안 암호는 Quick Suite API를 사용하여 데이터 소스를 생성하고 편집할 때 데이터베이스 자격 증명 대신 사용할 수 있습니다.

Quick Suite는 자격 증명 페어 인증을 지원하는 데이터 소스 유형과 함께 보안 암호 사용을 지원합니다. Jira와 ServiceNow는 현재 지원되지 않습니다.

참고

Quick Suite와 AWS Secrets Manager 함께를 사용하는 경우 AWS Secrets Manager 요금 페이지에 설명된 대로 액세스 및 유지 관리에 대한 요금이 청구됩니다. 결제 명세서에서 비용은 Amazon Quick Suite가 아닌 Secrets Manager로 항목화됩니다.

다음 섹션에 설명된 절차를 사용하여 Secrets Manager를 Amazon Quick Suite와 통합합니다.

Amazon Quick Suite에 Secrets Manager 및 선택한 보안 암호에 대한 액세스 권한 부여

관리자이고 Secrets Manager에 보안 암호가 있는 경우 Amazon Quick Suite에 선택한 보안 암호에 대한 읽기 전용 액세스 권한을 부여할 수 있습니다.

Amazon Quick Suite에 Secrets Manager 및 선택한 보안 암호에 대한 액세스 권한을 부여하려면

  1. Amazon Quick Suite에서 오른쪽 상단의 사용자 아이콘을 선택한 다음 Quick Suite 관리를 선택합니다.

  2. 왼쪽에서 보안 및 권한을 선택합니다.

  3. Amazon Quick Suite에서 AWS 리소스에 대한 액세스 관리를 선택합니다.

  4. 이러한 리소스에 대한 액세스 및 자동 검색 허용에서 AWS Secrets Manager, 보안 암호 선택을 선택합니다.

    AWS Secrets Manager 보안 암호 페이지가 열립니다.

  5. Amazon Quick Suite 읽기 전용 액세스 권한을 부여하려는 보안 암호를 선택합니다.

    Amazon Quick Suite 가입 리전의 보안 암호가 자동으로 표시됩니다. 홈 리전 이외의 암호를 선택하려면 기타 AWS 리전의 보안 암호를 선택한 다음 해당 암호의 Amazon 리소스 이름(ARN)을 입력하십시오.

  6. 모두 마쳤으면 완료를 선택합니다.

    Amazon Quick Suite는 aws-quicksight-secretsmanager-role-v0 계정에 라는 IAM 역할을 생성합니다. 계정의 사용자에게 지정된 암호에 대한 읽기 전용 액세스 권한을 부여하는데, 이는 다음과 비슷합니다.

    Amazon Quick Suite 사용자가에서 분석을 생성하거나 보안 암호가 있는 데이터 소스를 사용하는 대시보드를 볼 때 Amazon Quick Suite는이 Secrets Manager IAM 역할을 수임합니다. 암호 권한 정책에 대한 자세한 내용은AWS Secrets Manager 사용 설명서의 AWS Secrets Manager에 대한 인증 및 액세스 제어를 참조하십시오.

    Amazon Quick Suite IAM 역할에 지정된 보안 암호에는 액세스를 거부하는 추가 리소스 정책이 있을 수 있습니다. 자세한 내용을 알아보려면 AWS Secrets Manager 사용 설명서암호에 권한 정책 첨부를 참조하세요.

    AWS 관리형 AWS KMS 키를 사용하여 보안 암호를 암호화하는 경우 Amazon Quick Suite는 Secrets Manager에서 추가 권한을 설정할 필요가 없습니다.

    고객 관리형 키를 사용하여 보안 암호를 암호화하는 경우 Amazon Quick Suite IAM 역할에 aws-quicksight-secretsmanager-role-v0 kms:Decrypt 권한이 있는지 확인합니다. 자세한 내용은AWS Secrets Manager 사용 설명서의 KMS 키에 대한 권한을 참조하십시오.

    AWS Key Management Service에 사용되는 키 유형에 대한 자세한 내용은 AWS Key Management Service 안내서고객 키 및 AWS 키를 참조하세요.

Amazon Quick Suite API를 사용하여 보안 인증 정보로 데이터 소스 생성 또는 업데이트

Amazon Quick Suite 관리자가 Amazon Quick Suite에 Secrets Manager에 대한 읽기 전용 액세스 권한을 부여한 후 관리자가 자격 증명으로 선택한 보안 암호를 사용하여 API에서 데이터 소스를 생성하고 업데이트할 수 있습니다.

다음은 Amazon Quick Suite에서 데이터 소스를 생성하기 위한 API 직접 호출의 예입니다. 이 예제에서는 create-data-source API 작업을 사용합니다. update-data-source 작업을 사용할 수도 있습니다. 자세한 내용은 Amazon Quick Suite API 참조의 CreateDataSourceUpdateDataSource를 참조하세요.

다음 API 호출 예제의 권한에 지정된 사용자는 Amazon Quick Suite에서 지정된 MySQL 데이터 소스의 데이터 소스를 삭제, 확인 및 편집할 수 있습니다. 또한 데이터 소스 권한을 보고 업데이트할 수 있습니다. Amazon Quick Suite 사용자 이름과 암호 대신 보안 암호 ARN이 데이터 소스의 자격 증명으로 사용됩니다.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

이 호출에서 Amazon Quick Suite는 IAM 서비스 역할의 정책이 아닌 API 호출자의 IAM 정책을 기반으로 보안 암호에 대한 secretsmanager:GetSecretValue 액세스를 승인합니다. IAM 서비스 역할은 계정 수준에서 작동하며 사용자가 분석 또는 대시보드를 볼 때 사용됩니다. 사용자가 데이터 소스를 생성하거나 업데이트할 때는 암호 액세스를 승인하는 데 사용할 수 없습니다.

Amazon Quick Suite UI에서 데이터 소스를 편집하면 사용자는를 자격 증명 유형 AWS Secrets Manager 으로 사용하는 데이터 소스의 보안 암호 ARN을 볼 수 있습니다. 하지만 암호를 편집하거나 다른 암호를 선택할 수는 없습니다. 데이터베이스 서버 또는 포트와 같이 변경해야 하는 경우 사용자는 먼저 자격 증명 페어를 선택하고 Amazon Quick Suite 계정 사용자 이름과 암호를 입력해야 합니다.

UI에서 데이터 소스를 변경하면 데이터 소스에서 보안 암호가 자동으로 제거됩니다. 비밀번호를 데이터 소스에 복원하려면 update-data-source API 작업을 사용하세요.

보안 암호의 의미

Amazon Quick Suite에서 보안 암호에 액세스하려면 다음 JSON 형식이 필요합니다.

{
  "username": "username",
  "password": "password"
}

Amazon Quick Suite가 보안 암호에 액세스하려면 usernamepassword 필드가 필요합니다. 다른 모든 필드는 선택 사항이며 Amazon Quick Suite에서는 무시됩니다.

JSON 형식은 데이터베이스 유형에 따라 다를 수 있습니다. 자세한 내용은 AWS Secrets Manager 사용 설명서AWS Secrets Manager 데이터베이스 자격 증명 보안 암호의 JSON 구조를 참조하세요.

보안 암호 수정

보안 암호를 수정하려면 Secrets Manager를 사용합니다. 보안 암호를 변경하면 다음에 Amazon Quick Suite가 보안 암호에 대한 액세스를 요청할 때 업데이트를 사용할 수 있게 됩니다.