As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Acessando AWS recursos
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    Aplica-se a: Enterprise Edition e Standard Edition  | 


|  | 
| --- |
|    Público-alvo: administradores de sistemas e administradores do Amazon Quick  | 

Você pode controlar os AWS recursos que o Amazon Quick pode acessar e reduzir o acesso a esses recursos em um nível mais granular. Na Enterprise Edition, também é possível configurar os padrões gerais de acesso para todos os usuários em sua conta, e configurar um acesso específico para usuários e grupos individuais. 

Essas configurações de acesso são essenciais para a conectividade da fonte de dados do Amazon Quick Sight, permitindo conexões seguras com AWS serviços como Amazon S3, Amazon RDS, Amazon Redshift e Athena para análise e visualização de dados. A configuração adequada do acesso aos recursos garante que o Amazon Quick Sight possa recuperar e processar dados de suas fontes de AWS dados, mantendo os limites de segurança adequados.

Use as seções a seguir para ajudá-lo a configurar seus AWS recursos para trabalhar com o Quick.

Antes de começar, certifique-se de ter as permissões corretas; o administrador do sistema pode fornecê-las. Para isso, o administrador do sistema cria uma política que permite que você use determinadas ações do IAM. O administrador do sistema então associa essa política ao seu usuário ou grupo no IAM. Veja as seguintes ações necessárias:
+ **`quicksight:AccountConfigurations`**— Para habilitar a configuração do acesso padrão aos AWS recursos
+ **`quicksight:ScopeDownPolicy`**— Políticas de escopo para permissões de recursos AWS 
+ Você também pode trazer suas próprias funções do IAM para o Amazon Quick. Para obter mais informações, consulte [Transferência de funções do IAM para o Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html).

**Para ativar ou desativar os AWS serviços que o Amazon Quick pode acessar**

1. Faça login no Amazon Quick em[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. No canto superior direito, escolha seu nome de usuário e escolha **Gerenciar rápido**. 

1. Escolha **Security & permissions (Segurança e permissões)**. 

1. Em **QuickSight acesso aos AWS serviços**, escolha **Adicionar ou remover**.

   É exibida uma tela na qual você pode ativar todos os AWS serviços disponíveis.
**nota**  
Se você ver um erro de permissão e for um administrador autorizado do Amazon Quick, entre em contato com o administrador do sistema para obter ajuda.

1. Marque as caixas de seleção para os serviços que você deseja permitir. Desmarque as caixas de seleção para os serviços que você não deseja permitir.

   Se você já habilitou um AWS serviço, a caixa de seleção desse serviço já está marcada. Se o Amazon Quick não conseguir acessar um AWS serviço específico, sua caixa de seleção não será marcada.

   Em alguns casos, você pode ver uma mensagem como a que aparece a seguir. 

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   Esse tipo de mensagem significa que uma das políticas do IAM que o Amazon Quick usa foi alterada manualmente. Para corrigir isso, o administrador do sistema precisa excluir a política do IAM listada na mensagem de erro e atualizar a tela **Segurança e permissões** antes de tentar novamente.

1. Escolha **Update (Atualizar)** para confirmar ou **Cancel (Cancelar)** para retornar à tela anterior.

**Topics**
+ [Definindo acesso granular aos AWS serviços por meio do IAM](scoping-policies-iam-interface.md)
+ [Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick](secrets-manager-integration.md)

# Definindo acesso granular aos AWS serviços por meio do IAM
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  Aplica-se a: Enterprise Edition  | 


|  | 
| --- |
|    Público-alvo: administradores de sistemas e administradores do Amazon Quick  | 

Na edição Enterprise, o Amazon Quick fornece uma maneira de você configurar o acesso detalhado aos recursos nos AWS serviços. Como qualquer outro AWS serviço, o Quick usa políticas do IAM para controlar o acesso de usuários e grupos.

Antes de começar, peça a um administrador que configure as políticas do IAM necessárias com antecedência. Se elas estiverem configuradas, você poderá selecioná-las como parte do procedimento nesta seção. Para obter informações sobre a criação de políticas do IAM para usar com o Quick, consulte [Gerenciamento de identidade e acesso no Quick](https://docs.aws.amazon.com/quicksight/latest/user/identity.html).

**Para atribuir uma política do IAM a um usuário ou grupo**

1. Faça login no Quick em[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. No canto superior esquerdo, escolha seu nome de usuário e, em seguida, escolha **Gerenciar QuickSight**.

1. Escolha **Security & permissions (Segurança e permissões)**. 

1. Em **Resource access for individual users and groups (Acesso a recursos para usuários individuais e grupos)**, escolha **IAM policy assignments (Atribuições de política do IAM)**.

   As etapas restantes neste momento envolvem escolher uma política do IAM para atribuir ao usuário ou grupo. Você pode atribuir várias políticas do IAM a um usuário ou grupo do Amazon Quick. Para determinar as permissões, o Amazon Quick realiza uma união e uma interseção com as políticas em Conta da AWS nível de —. 

   Se você já tiver atribuições de política do IAM ativas, elas estarão listadas nessa página. É possível pesquisar as atribuições existentes usando a caixa de pesquisa. Se você tiver rascunhos que ainda não estão ativos, eles estarão listados em **Assigned drafts (Rascunhos atribuídos)**.

1. Escolha uma das seguintes opções:
   + Para criar uma atribuição de política do IAM, escolha **Add new assignment (Adicionar nova atribuição)**.
   + Para editar uma atribuição existente, clique no ícone **Edit assignment (Editar atribuição)** nessa atribuição.
   + Para habilitar ou desabilitar uma política, marque a caixa de seleção para ela e escolha **Enable (Habilitar)** ou **Disable (Desabilitar)**. É possível selecionar várias atribuições de políticas de uma só vez.
   + Para excluir uma atribuição existente, clique no ícone **Remove assignment (Remover atribuição)** próximo ao nome da atribuição. Para confirmar sua opção, escolha **Delete (Excluir)** na tela de confirmação. Como alternativa, escolha **Voltar** para cancelar a exclusão. 

   Se estiver criando ou editando uma atribuição, siga para a próxima etapa. Caso contrário, vá para o final deste procedimento.

1. Na próxima tela, realize o processo de atribuição de política, que é dividido em etapas. Ao seguir as etapas, você poderá avançar ou retornar para fazer alterações. Se você sair da tela, as alterações de todas as etapas serão salvas. 

   1. **Etapa 1: atribuição de nome**. Se essa for uma nova atribuição, insira um nome para ela e escolha **Próxima** para continuar. Se quiser alterar o nome, escolha **Step 1 (Etapa 1)** à esquerda.

   1. **Etapa 2: seleção de política do IAM**. Escolha a política do IAM que você deseja usar. Nessa tela, você pode interagir com as políticas da seguinte forma. 
      + Escolher uma política para usar.
      + Procurar pelo nome de uma política.
      + Filtre a lista para ver todas as políticas do IAM, políticas AWS gerenciadas ou políticas gerenciadas pelo cliente. 
      + Visualize uma política escolhendo **View policy (Visualizar política)**. 

      Para escolher uma política, clique no botão ao lado dela e escolha **Next (Próxima)** para continuar.

   1. **Etapa 3: atribuição de usuários e grupos**. Escolha usuários ou grupos específicos. Como alternativa, escolha usar a política do IAM selecionada a todos os usuários e grupos. 

      Escolha uma das opções a seguir.
      + Em **Atribuir a todos os usuários e grupos**, marque a caixa de seleção para atribuir a política do IAM a todos os usuários e grupos do Amazon Quick. Ao escolher essa opção, você atribui a política a todos os usuários e grupos atuais e futuros. 
      + Escolha os usuários e grupos aos quais você quer atribuir essa política do IAM. É possível pesquisa por nome, endereço de e-mail ou nome de grupo.

      Ao concluir a seleção de usuários e grupos, escolha **Next (Próxima)** para continuar.

   1. **Etapa 4: revisão e habilitação de alterações**. Salve suas alterações.

      Escolha uma das opções a seguir.
      + Para editar qualquer uma das suas escolhas, selecione a etapa para editá-la.
      + Para salvar essa política como um rascunho de atribuição, escolha **Save as draft (Salvar como rascunho)**. Você pode habilitar o rascunho mais tarde.
      + Para habilitar imediatamente essa política, escolha **Save and enable (Salvar e habilitar)**. Essa opção substitui qualquer atribuição de política existente que tenha o mesmo nome.

# Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Público-alvo: administradores do Amazon Quick e desenvolvedores do Amazon Quick  | 

AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Usar uma chave ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral, consulte o [Guia do usuário do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Os administradores do Quick podem conceder ao Amazon Quick acesso somente de leitura aos segredos que eles criam no Secrets Manager. Esses segredos podem ser usados no lugar das credenciais do banco de dados ao criar e editar fontes de dados usando a API rápida.

O Quick oferece suporte ao uso de segredos com tipos de fonte de dados que oferecem suporte à autenticação de pares de credenciais. Não ServiceNow há suporte para Jira e no momento.

**nota**  
Se você usa AWS Secrets Manager com o Quick, o acesso e a manutenção são cobrados conforme descrito na [página de AWS Secrets Manager preços](https://aws.amazon.com/secrets-manager/pricing). Em seu extrato de cobrança, os custos são detalhados em Secrets Manager e não em Amazon Quick.

Use os procedimentos descritos nas seções a seguir para integrar o Secrets Manager com o Amazon Quick.

**Topics**
+ [Concedendo ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados](#secrets-manager-integration-select-secrets)
+ [Criação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick API](#secrets-manager-integration-api)
+ [O que há no segredo?](#secrets-manager-integration-whats-in-secret)
+ [Modificar um segredo](#secrets-manager-integration-modifying)

## Concedendo ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados
<a name="secrets-manager-integration-select-secrets"></a>

Se você for administrador e tiver segredos no Secrets Manager, você pode conceder ao Amazon Quick acesso somente de leitura aos segredos selecionados. 

**Para conceder ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados**

1. No Amazon Quick, escolha seu ícone de usuário no canto superior direito e, em seguida, escolha **Manage Quick**.

1. Escolha **Segurança e permissões** à esquerda.

1. Escolha **Gerenciar** no **Amazon Acesso rápido aos AWS recursos**.

1. Em **Permitir acesso e detecção automática para esses recursos**, selecione **AWS Secrets Manager**, **Selecionar segredos**. 

   A página de **segredos do AWS Secrets Manager ** é aberta. 

1. Selecione os segredos aos quais você deseja conceder acesso somente de leitura ao Amazon Quick.

   Os segredos da sua região de inscrição no Amazon Quick são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha **Segredos em outras AWS regiões** e, em seguida, insira os nomes de recursos da Amazon (ARNs) para esses segredos.

1. Quando terminar, escolha **Finish (Concluir)**. 

   O Amazon Quick cria uma função do IAM chamada `aws-quicksight-secretsmanager-role-v0` em sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:

   Quando os usuários do Amazon Quick criam análises ou visualizam painéis que usam uma fonte de dados com segredos, o Amazon Quick assume essa função do Secrets Manager IAM. Para obter mais informações sobre políticas de permissões de segredos, consulte [Autenticação e controle de acesso para o AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) no *Guia do usuário do AWS Secrets Manager *.

   O segredo especificado na função Amazon Quick IAM pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte [Anexo de uma política de permissões a um segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) no *Guia do usuário do AWS Secrets Manager *.

   Se você estiver usando uma AWS KMS chave AWS gerenciada para criptografar seu segredo, o Amazon Quick não exige nenhuma configuração adicional de permissões no Secrets Manager.

   Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que a função Amazon Quick IAM `aws-quicksight-secretsmanager-role-v0` tenha `kms:Decrypt` permissões. Para obter mais informações, consulte [Permissions for the KMS key](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) no *Guia do usuário do AWS Secrets Manager *.

   Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte [Chaves e AWS chaves do cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) no *guia AWS Key Management Service*.

## Criação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick API
<a name="secrets-manager-integration-api"></a>

Depois que o administrador do Amazon Quick conceder ao Amazon Quick acesso somente de leitura ao Secrets Manager, você poderá criar e atualizar fontes de dados na API usando um segredo que o administrador selecionou como credenciais.

Veja a seguir um exemplo de chamada de API para criar uma fonte de dados no Amazon Quick. Este exemplo usa a operação de API `create-data-source`. Também é possível usar a operação `update-data-source`. Para obter mais informações, consulte [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)e [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)na *Amazon Quick API Reference*.

O usuário especificado nas permissões no exemplo de chamada de API a seguir pode excluir, visualizar e editar fontes de dados para a fonte de dados MySQL especificada no Amazon Quick. O usuário também pode visualizar e atualizar as permissões da fonte de dados. Em vez de um nome de usuário e senha do Amazon Quick, um ARN secreto é usado como credencial para a fonte de dados.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

Nessa chamada, o Amazon Quick autoriza o `secretsmanager:GetSecretValue` acesso ao segredo com base na política de IAM do chamador da API, não na política da função de serviço do IAM. O perfil de serviço do IAM atua no nível da conta e é usado quando uma análise ou painel é visualizado por um usuário. Ele não pode ser usado para autorizar o acesso do segredo quando um usuário cria ou atualiza a fonte de dados. 

Quando editam uma fonte de dados na Amazon Quick UI, os usuários podem visualizar o ARN secreto das fontes de dados que usam AWS Secrets Manager como tipo de credencial. No entanto, eles não podem editar o segredo nem selecionar um diferente. Se precisarem fazer alterações, por exemplo, no servidor ou na porta do banco de dados, os usuários precisam primeiro escolher o **par de credenciais** e inserir o nome de usuário e a senha da conta Amazon Quick.

Os segredos são removidos automaticamente de uma fonte de dados quando ela é alterada na interface do usuário. Para restaurar o segredo na fonte de dados, use a operação de API `update-data-source`.

## O que há no segredo?
<a name="secrets-manager-integration-whats-in-secret"></a>

O Amazon Quick exige o seguinte formato JSON para acessar seu segredo:

```
{
  "username": "username",
  "password": "password"
}
```

Os `password` campos `username` e são obrigatórios para que o Amazon Quick acesse segredos. Todos os outros campos são opcionais e são ignorados pelo Amazon Quick.

O formato JSON pode variar dependendo do tipo de banco de dados. Para obter mais informações, consulte a [estrutura JSON dos segredos das credenciais do AWS Secrets Manager banco de dados](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html) no Guia do *AWS Secrets Manager usuário*.

## Modificar um segredo
<a name="secrets-manager-integration-modifying"></a>

Para modificar um segredo, use o Secrets Manager. Depois de fazer alterações em um segredo, as atualizações ficam disponíveis na próxima vez que o Amazon Quick solicitar acesso ao segredo.