As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    Público-alvo: administradores do Amazon Quick e desenvolvedores do Amazon Quick  | 

AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Usar uma chave ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral, consulte o [Guia do usuário do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

Os administradores do Quick podem conceder ao Amazon Quick acesso somente de leitura aos segredos que eles criam no Secrets Manager. Esses segredos podem ser usados no lugar das credenciais do banco de dados ao criar e editar fontes de dados usando a API rápida.

O Quick oferece suporte ao uso de segredos com tipos de fonte de dados que oferecem suporte à autenticação de pares de credenciais. Não ServiceNow há suporte para Jira e no momento.

**nota**  
Se você usa AWS Secrets Manager com o Quick, o acesso e a manutenção são cobrados conforme descrito na [página de AWS Secrets Manager preços](https://aws.amazon.com/secrets-manager/pricing). Em seu extrato de cobrança, os custos são detalhados em Secrets Manager e não em Amazon Quick.

Use os procedimentos descritos nas seções a seguir para integrar o Secrets Manager com o Amazon Quick.

**Topics**
+ [Concedendo ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados](#secrets-manager-integration-select-secrets)
+ [Criação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick API](#secrets-manager-integration-api)
+ [O que há no segredo?](#secrets-manager-integration-whats-in-secret)
+ [Modificar um segredo](#secrets-manager-integration-modifying)

## Concedendo ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados
<a name="secrets-manager-integration-select-secrets"></a>

Se você for administrador e tiver segredos no Secrets Manager, você pode conceder ao Amazon Quick acesso somente de leitura aos segredos selecionados. 

**Para conceder ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados**

1. No Amazon Quick, escolha seu ícone de usuário no canto superior direito e, em seguida, escolha **Manage Quick**.

1. Escolha **Segurança e permissões** à esquerda.

1. Escolha **Gerenciar** no **Amazon Acesso rápido aos AWS recursos**.

1. Em **Permitir acesso e detecção automática para esses recursos**, selecione **AWS Secrets Manager**, **Selecionar segredos**. 

   A página de **segredos do AWS Secrets Manager ** é aberta. 

1. Selecione os segredos aos quais você deseja conceder acesso somente de leitura ao Amazon Quick.

   Os segredos da sua região de inscrição no Amazon Quick são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha **Segredos em outras AWS regiões** e, em seguida, insira os nomes de recursos da Amazon (ARNs) para esses segredos.

1. Quando terminar, escolha **Finish (Concluir)**. 

   O Amazon Quick cria uma função do IAM chamada `aws-quicksight-secretsmanager-role-v0` em sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:

   Quando os usuários do Amazon Quick criam análises ou visualizam painéis que usam uma fonte de dados com segredos, o Amazon Quick assume essa função do Secrets Manager IAM. Para obter mais informações sobre políticas de permissões de segredos, consulte [Autenticação e controle de acesso para o AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) no *Guia do usuário do AWS Secrets Manager *.

   O segredo especificado na função Amazon Quick IAM pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte [Anexo de uma política de permissões a um segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html) no *Guia do usuário do AWS Secrets Manager *.

   Se você estiver usando uma AWS KMS chave AWS gerenciada para criptografar seu segredo, o Amazon Quick não exige nenhuma configuração adicional de permissões no Secrets Manager.

   Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que a função Amazon Quick IAM `aws-quicksight-secretsmanager-role-v0` tenha `kms:Decrypt` permissões. Para obter mais informações, consulte [Permissions for the KMS key](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz) no *Guia do usuário do AWS Secrets Manager *.

   Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte [Chaves e AWS chaves do cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) no *guia AWS Key Management Service*.

## Criação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick API
<a name="secrets-manager-integration-api"></a>

Depois que o administrador do Amazon Quick conceder ao Amazon Quick acesso somente de leitura ao Secrets Manager, você poderá criar e atualizar fontes de dados na API usando um segredo que o administrador selecionou como credenciais.

Veja a seguir um exemplo de chamada de API para criar uma fonte de dados no Amazon Quick. Este exemplo usa a operação de API `create-data-source`. Também é possível usar a operação `update-data-source`. Para obter mais informações, consulte [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)e [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)na *Amazon Quick API Reference*.

O usuário especificado nas permissões no exemplo de chamada de API a seguir pode excluir, visualizar e editar fontes de dados para a fonte de dados MySQL especificada no Amazon Quick. O usuário também pode visualizar e atualizar as permissões da fonte de dados. Em vez de um nome de usuário e senha do Amazon Quick, um ARN secreto é usado como credencial para a fonte de dados.

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

Nessa chamada, o Amazon Quick autoriza o `secretsmanager:GetSecretValue` acesso ao segredo com base na política de IAM do chamador da API, não na política da função de serviço do IAM. O perfil de serviço do IAM atua no nível da conta e é usado quando uma análise ou painel é visualizado por um usuário. Ele não pode ser usado para autorizar o acesso do segredo quando um usuário cria ou atualiza a fonte de dados. 

Quando editam uma fonte de dados na Amazon Quick UI, os usuários podem visualizar o ARN secreto das fontes de dados que usam AWS Secrets Manager como tipo de credencial. No entanto, eles não podem editar o segredo nem selecionar um diferente. Se precisarem fazer alterações, por exemplo, no servidor ou na porta do banco de dados, os usuários precisam primeiro escolher o **par de credenciais** e inserir o nome de usuário e a senha da conta Amazon Quick.

Os segredos são removidos automaticamente de uma fonte de dados quando ela é alterada na interface do usuário. Para restaurar o segredo na fonte de dados, use a operação de API `update-data-source`.

## O que há no segredo?
<a name="secrets-manager-integration-whats-in-secret"></a>

O Amazon Quick exige o seguinte formato JSON para acessar seu segredo:

```
{
  "username": "username",
  "password": "password"
}
```

Os `password` campos `username` e são obrigatórios para que o Amazon Quick acesse segredos. Todos os outros campos são opcionais e são ignorados pelo Amazon Quick.

O formato JSON pode variar dependendo do tipo de banco de dados. Para obter mais informações, consulte a [estrutura JSON dos segredos das credenciais do AWS Secrets Manager banco de dados](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html) no Guia do *AWS Secrets Manager usuário*.

## Modificar um segredo
<a name="secrets-manager-integration-modifying"></a>

Para modificar um segredo, use o Secrets Manager. Depois de fazer alterações em um segredo, as atualizações ficam disponíveis na próxima vez que o Amazon Quick solicitar acesso ao segredo.