Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick - Amazon Quick
Conceda à Amazon Quick acesso ao Secrets ManagerCriação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick APIO que há no segredo?Modificar um segredo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick

   Público-alvo: administradores do Amazon Quick e desenvolvedores do Amazon Quick 

AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Usar uma chave ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral, consulte o Guia do usuário do AWS Secrets Manager.

Os administradores do Quick podem conceder ao Amazon Quick acesso somente de leitura aos segredos que eles criam no Secrets Manager. Esses segredos podem ser usados no lugar das credenciais do banco de dados ao criar e editar fontes de dados usando a API rápida.

O Quick oferece suporte ao uso de segredos com tipos de fonte de dados que oferecem suporte à autenticação de pares de credenciais. Não ServiceNow há suporte para Jira e no momento.

nota

Se você usa AWS Secrets Manager com o Quick, o acesso e a manutenção são cobrados conforme descrito na página de AWS Secrets Manager preços. Em seu extrato de cobrança, os custos são detalhados em Secrets Manager e não em Amazon Quick.

Use os procedimentos descritos nas seções a seguir para integrar o Secrets Manager com o Amazon Quick.

Concedendo ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados

Se você for administrador e tiver segredos no Secrets Manager, você pode conceder ao Amazon Quick acesso somente de leitura aos segredos selecionados.

Para conceder ao Amazon Quick acesso ao Secrets Manager e aos segredos selecionados

  1. No Amazon Quick, escolha seu ícone de usuário no canto superior direito e, em seguida, escolha Manage Quick.

  2. Escolha Segurança e permissões à esquerda.

  3. Escolha Gerenciar no Amazon Acesso rápido aos AWS recursos.

  4. Em Permitir acesso e detecção automática para esses recursos, selecione AWS Secrets Manager, Selecionar segredos.

    A página de segredos do AWS Secrets Manager é aberta.

  5. Selecione os segredos aos quais você deseja conceder acesso somente de leitura ao Amazon Quick.

    Os segredos da sua região de inscrição no Amazon Quick são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha Segredos em outras AWS regiões e, em seguida, insira os nomes de recursos da Amazon (ARNs) para esses segredos.

  6. Quando terminar, escolha Finish (Concluir).

    O Amazon Quick cria uma função do IAM chamada aws-quicksight-secretsmanager-role-v0 em sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:

    Quando os usuários do Amazon Quick criam análises ou visualizam painéis que usam uma fonte de dados com segredos, o Amazon Quick assume essa função do Secrets Manager IAM. Para obter mais informações sobre políticas de permissões de segredos, consulte Autenticação e controle de acesso para o AWS Secrets Manager no Guia do usuário do AWS Secrets Manager .

    O segredo especificado na função Amazon Quick IAM pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte Anexo de uma política de permissões a um segredo no Guia do usuário do AWS Secrets Manager .

    Se você estiver usando uma AWS KMS chave AWS gerenciada para criptografar seu segredo, o Amazon Quick não exige nenhuma configuração adicional de permissões no Secrets Manager.

    Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que a função Amazon Quick IAM aws-quicksight-secretsmanager-role-v0 tenha kms:Decrypt permissões. Para obter mais informações, consulte Permissions for the KMS key no Guia do usuário do AWS Secrets Manager .

    Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte Chaves e AWS chaves do cliente no guia AWS Key Management Service.

Criação ou atualização de uma fonte de dados com credenciais secretas usando a Amazon Quick API

Depois que o administrador do Amazon Quick conceder ao Amazon Quick acesso somente de leitura ao Secrets Manager, você poderá criar e atualizar fontes de dados na API usando um segredo que o administrador selecionou como credenciais.

Veja a seguir um exemplo de chamada de API para criar uma fonte de dados no Amazon Quick. Este exemplo usa a operação de API create-data-source. Também é possível usar a operação update-data-source. Para obter mais informações, consulte CreateDataSourcee UpdateDataSourcena Amazon Quick API Reference.

O usuário especificado nas permissões no exemplo de chamada de API a seguir pode excluir, visualizar e editar fontes de dados para a fonte de dados MySQL especificada no Amazon Quick. O usuário também pode visualizar e atualizar as permissões da fonte de dados. Em vez de um nome de usuário e senha do Amazon Quick, um ARN secreto é usado como credencial para a fonte de dados.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Nessa chamada, o Amazon Quick autoriza o secretsmanager:GetSecretValue acesso ao segredo com base na política de IAM do chamador da API, não na política da função de serviço do IAM. O perfil de serviço do IAM atua no nível da conta e é usado quando uma análise ou painel é visualizado por um usuário. Ele não pode ser usado para autorizar o acesso do segredo quando um usuário cria ou atualiza a fonte de dados.

Quando editam uma fonte de dados na Amazon Quick UI, os usuários podem visualizar o ARN secreto das fontes de dados que usam AWS Secrets Manager como tipo de credencial. No entanto, eles não podem editar o segredo nem selecionar um diferente. Se precisarem fazer alterações, por exemplo, no servidor ou na porta do banco de dados, os usuários precisam primeiro escolher o par de credenciais e inserir o nome de usuário e a senha da conta Amazon Quick.

Os segredos são removidos automaticamente de uma fonte de dados quando ela é alterada na interface do usuário. Para restaurar o segredo na fonte de dados, use a operação de API update-data-source.

O que há no segredo?

O Amazon Quick exige o seguinte formato JSON para acessar seu segredo:

{
  "username": "username",
  "password": "password"
}

Os password campos username e são obrigatórios para que o Amazon Quick acesse segredos. Todos os outros campos são opcionais e são ignorados pelo Amazon Quick.

O formato JSON pode variar dependendo do tipo de banco de dados. Para obter mais informações, consulte a estrutura JSON dos segredos das credenciais do AWS Secrets Manager banco de dados no Guia do AWS Secrets Manager usuário.

Modificar um segredo

Para modificar um segredo, use o Secrets Manager. Depois de fazer alterações em um segredo, as atualizações ficam disponíveis na próxima vez que o Amazon Quick solicitar acesso ao segredo.