Concedendo QuickSight acesso ao Secrets Manager e aos segredos selecionados

Se você for administrador e tiver segredos no Secrets Manager, você pode conceder à Amazon acesso QuickSight somente de leitura aos segredos selecionados.

Para conceder QuickSight acesso ao Secrets Manager e aos segredos selecionados

Em QuickSight, escolha seu ícone de usuário no canto superior direito e escolha Gerenciar QuickSight.
Escolha Segurança e permissões à esquerda.
Escolha Gerenciar no QuickSight acesso aos AWS recursos.
Em Permitir acesso e detecção automática para esses recursos, selecione AWS Secrets Manager, Selecionar segredos.

A página de segredos do AWS Secrets Manager é aberta.
Selecione os segredos aos quais você deseja conceder acesso QuickSight somente de leitura.

Os segredos da sua região QuickSight de inscrição são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha Segredos em outras AWS regiões e, em seguida, insira os nomes de recursos da Amazon (ARNs) para esses segredos.
Quando terminar, escolha Finish (Concluir).

QuickSight cria uma função do IAM chamada aws-quicksight-secretsmanager-role-v0 em sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:accountId:secret:secret_name"
      ]
    }
  ]
}
```
Quando QuickSight os usuários criam análises ou visualizam painéis que usam uma fonte de dados com segredos, QuickSight assume essa função do Secrets Manager IAM. Para obter mais informações sobre políticas de permissões de segredos, consulte Autenticação e controle de acesso para o AWS Secrets Manager no Guia do usuário do AWS Secrets Manager .

O segredo especificado na função do QuickSight IAM pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte Anexo de uma política de permissões a um segredo no Guia do usuário do AWS Secrets Manager .

Se você estiver usando uma AWS KMS chave AWS gerenciada para criptografar seu segredo, QuickSight não requer nenhuma configuração de permissões adicionais no Secrets Manager.

Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que a função QuickSight do IAM aws-quicksight-secretsmanager-role-v0 tenha kms:Decrypt permissões. Para obter mais informações, consulte Permissions for the KMS key no Guia do usuário do AWS Secrets Manager .

Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte Chaves e AWS chaves do cliente no guia AWS Key Management Service.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar segredos do Secrets Manager em vez de credenciais de banco de dados

Criação ou atualização de uma fonte de dados com credenciais secretas usando a API QuickSight