As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando AWS Secrets Manager segredos em vez de credenciais de banco de dados no Quick Suite
| Público-alvo: administradores do Amazon Quick Suite e desenvolvedores do Amazon Quick Suite |
AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Usar uma chave ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral, consulte o Guia do usuário do AWS Secrets Manager.
Os administradores do Quick Suite podem conceder ao Amazon Quick Suite acesso somente de leitura aos segredos que eles criam no Secrets Manager. Esses segredos podem ser usados no lugar das credenciais do banco de dados ao criar e editar fontes de dados usando a API do Quick Suite.
O Quick Suite suporta o uso de segredos com tipos de fonte de dados que oferecem suporte à autenticação de pares de credenciais. Não ServiceNow há suporte para Jira e no momento.
nota
Se você usa AWS Secrets Manager com o Quick Suite, o acesso e a manutenção são cobrados conforme descrito na página de AWS Secrets Manager preços
Use os procedimentos descritos nas seções a seguir para integrar o Secrets Manager com o Amazon Quick Suite.
Tópicos
Concedendo ao Amazon Quick Suite acesso ao Secrets Manager e segredos selecionados
Se você for administrador e tiver segredos no Secrets Manager, você pode conceder ao Amazon Quick Suite acesso somente de leitura aos segredos selecionados.
Para conceder ao Amazon Quick Suite acesso ao Secrets Manager e aos segredos selecionados
-
No Amazon Quick Suite, escolha seu ícone de usuário no canto superior direito e, em seguida, escolha Manage Quick Suite.
-
Escolha Segurança e permissões à esquerda.
-
Escolha Gerenciar no acesso aos AWS recursos do Amazon Quick Suite.
-
Em Permitir acesso e detecção automática para esses recursos, selecione AWS Secrets Manager, Selecionar segredos.
A página de segredos do AWS Secrets Manager é aberta.
-
Selecione os segredos aos quais você deseja conceder acesso somente de leitura ao Amazon Quick Suite.
Os segredos da sua região de inscrição no Amazon Quick Suite são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha Segredos em outras AWS regiões e, em seguida, insira os nomes de recursos da Amazon (ARNs) para esses segredos.
-
Quando terminar, escolha Finish (Concluir).
O Amazon Quick Suite cria uma função do IAM chamada
aws-quicksight-secretsmanager-role-v0em sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:Quando os usuários do Amazon Quick Suite criam análises ou visualizam painéis que usam uma fonte de dados com segredos, o Amazon Quick Suite assume essa função do Secrets Manager IAM. Para obter mais informações sobre políticas de permissões de segredos, consulte Autenticação e controle de acesso para o AWS Secrets Manager no Guia do usuário do AWS Secrets Manager .
O segredo especificado na função IAM do Amazon Quick Suite pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte Anexo de uma política de permissões a um segredo no Guia do usuário do AWS Secrets Manager .
Se você estiver usando uma AWS KMS chave AWS gerenciada para criptografar seu segredo, o Amazon Quick Suite não exige nenhuma configuração adicional de permissões no Secrets Manager.
Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que a função IAM do Amazon Quick Suite
aws-quicksight-secretsmanager-role-v0tenhakms:Decryptpermissões. Para obter mais informações, consulte Permissions for the KMS key no Guia do usuário do AWS Secrets Manager .Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte Chaves e AWS chaves do cliente no guia AWS Key Management Service.
Criação ou atualização de uma fonte de dados com credenciais secretas usando a API do Amazon Quick Suite
Depois que o administrador do Amazon Quick Suite conceder ao Amazon Quick Suite acesso somente de leitura ao Secrets Manager, você poderá criar e atualizar fontes de dados na API usando um segredo que o administrador selecionou como credenciais.
Veja a seguir um exemplo de chamada de API para criar uma fonte de dados no Amazon Quick Suite. Este exemplo usa a operação de API create-data-source. Também é possível usar a operação update-data-source. Para obter mais informações, consulte CreateDataSourcee UpdateDataSourcena Referência de API do Amazon Quick Suite.
O usuário especificado nas permissões no exemplo de chamada de API a seguir pode excluir, visualizar e editar fontes de dados para a fonte de dados MySQL especificada no Amazon Quick Suite. O usuário também pode visualizar e atualizar as permissões da fonte de dados. Em vez de um nome de usuário e senha do Amazon Quick Suite, um ARN secreto é usado como credencial para a fonte de dados.
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
Nessa chamada, o Amazon Quick Suite autoriza o secretsmanager:GetSecretValue acesso ao segredo com base na política de IAM do chamador da API, não na política da função de serviço do IAM. O perfil de serviço do IAM atua no nível da conta e é usado quando uma análise ou painel é visualizado por um usuário. Ele não pode ser usado para autorizar o acesso do segredo quando um usuário cria ou atualiza a fonte de dados.
Quando editam uma fonte de dados na interface do usuário do Amazon Quick Suite, os usuários podem visualizar o ARN secreto das fontes de dados que usam AWS Secrets Manager como tipo de credencial. No entanto, eles não podem editar o segredo nem selecionar um diferente. Se precisarem fazer alterações, por exemplo, no servidor ou na porta do banco de dados, os usuários precisam primeiro escolher o par de credenciais e inserir o nome de usuário e a senha da conta Amazon Quick Suite.
Os segredos são removidos automaticamente de uma fonte de dados quando ela é alterada na interface do usuário. Para restaurar o segredo na fonte de dados, use a operação de API update-data-source.
O que há no segredo?
O Amazon Quick Suite exige o seguinte formato JSON para acessar seu segredo:
{ "username": "username", "password": "password" }
Os password campos username e são obrigatórios para que o Amazon Quick Suite acesse segredos. Todos os outros campos são opcionais e são ignorados pelo Amazon Quick Suite.
O formato JSON pode variar dependendo do tipo de banco de dados. Para obter mais informações, consulte a estrutura JSON dos segredos das credenciais do AWS Secrets Manager banco de dados no Guia do AWS Secrets Manager usuário.
Modificar um segredo
Para modificar um segredo, use o Secrets Manager. Depois de fazer alterações em um segredo, as atualizações ficam disponíveis na próxima vez que o Amazon Quick Suite solicitar acesso ao segredo.
