本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 访问 AWS 资源
AWS 资源


|  | 
| --- |
|    适用于：企业版和标准版  | 


|  | 
| --- |
|    目标受众：系统管理员和 Amazon Quick 管理员  | 

您可以控制 Amazon Quick 可以访问的 AWS 资源，并在更精细的级别上缩小对这些资源的访问范围。在企业版本中，您也可以为您账户中的每个人员设置常规访问默认设置，并且可以为各个用户和组设置特定访问权限。

这些访问配置对于 Amazon Quick Sight 数据源连接至关重要，可以安全地连接到亚马逊 S3、Amazon RDS、Amazon Rds、Amazon Redshift 和 Athena 等 AWS 服务，以进行数据分析和可视化。正确的资源访问设置可确保 Amazon Quick Sight 可以检索和处理您的 AWS 数据源中的数据，同时保持适当的安全边界。

使用以下部分来帮助您配置 AWS 资源以使用 Quick。

开始之前，请确保您具有适当的权限；系统管理员可以授予给您这些权限。为此，您的系统管理员创建一个允许您使用某些 IAM 操作的策略。然后，您的系统管理员将该策略与 IAM 中的用户或组关联起来。以下是必需的步骤：
+ **`quicksight:AccountConfigurations`**— 启用对 AWS 资源的默认访问权限的设置
+ **`quicksight:ScopeDownPolicy`**— 限定资源权限策略的范围 AWS 
+ 您也可以将自己的 IAM 角色引入 Amazon Quick。有关更多信息，请参阅[将 IAM 角色传递给 Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html)。

**启用或禁用 Amazon Quick 可以访问的 AWS 服务**

1. 登录 Amazon Quick，网址为[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)。

1. 在右上角，选择您的用户名，然后选择**快速管理**。

1. 选择 **Security & permissions (安全性和权限)**。

1. 在 “**QuickSight 访问 AWS 服务**” 下，选择 “**添加” 或 “删除**”。

   将出现一个屏幕，您可以在其中启用所有可用 AWS 服务。
**注意**  
如果您看到权限错误，并且您是 Amazon Quick 的授权管理员，请联系您的系统管理员寻求帮助。

1. 选中您希望允许使用的服务的复选框。清除您不希望允许使用的服务的复选框。

   如果您已经启用了某项 AWS 服务，则该服务的复选框已被选中。如果 Amazon Quick 无法访问特定 AWS 服务，则其复选框未被选中。

   在某些情况下，您可能会看到如下所示的消息。

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   此类消息意味着 Amazon Quick 使用的 IAM 策略之一已被手动更改。要解决此问题，系统管理员需要删除错误消息中列出的 IAM 策略，并重新加载**安全性和权限**屏幕，然后重试。

1. 选择 **Update (更新)** 以进行确认，或选择 **Cancel (取消)** 以返回上一屏幕。

**Topics**
+ [

# 通过 IAM 设置对 AWS 服务的精细访问权限
](scoping-policies-iam-interface.md)
+ [

# 在 Quick 中使用 AWS Secrets Manager 密钥而不是数据库凭证
](secrets-manager-integration.md)

# 通过 IAM 设置对 AWS 服务的精细访问权限



|  | 
| --- |
|  适用于：企业版  | 


|  | 
| --- |
|    目标受众：系统管理员和 Amazon Quick 管理员  | 

在企业版中，Amazon Quick 为您提供了一种设置对 AWS 服务中资源的详细访问权限的方法。与其他所有 AWS 服务一样，Quick 使用 IAM 策略来控制用户和群组的访问权限。

在开始之前，请管理员提前设置必要的 IAM 策略。如果已完成这些设置，您可以选择它们作为本部分中的一个过程。有关创建用于 Quick 的 IAM 策略的信息，请参阅 Qu [ick 中的身份和访问管理](https://docs.aws.amazon.com/quicksight/latest/user/identity.html)。

**将 IAM 策略分配给用户或组**

1. 登录 Quick at[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/).

1. 在左上角，选择您的用户名，然后选择**管理 QuickSight**。

1. 选择 **Security & permissions (安全性和权限)**。

1. 在**各个用户和组的资源访问权**下，选择 **IAM 策略分配**。

   此时其余步骤涉及选择要分配给用户或组的 IAM 策略。您可以将多个 IAM 策略分配给一个 Amazon Quick 用户或群组。为了确定权限，Amazon Quick 会执行合并以及与 AWS 账户—级策略的交叉操作。

   如果您已有活动的 IAM 策略分配，则会在此页面上列出它们。您可以使用搜索框搜索现有分配。如果您有尚未生效的草稿，它们将在 **Assignment drafts (分配草稿)** 下列出。

1. 选择下列选项之一：
   + 要创建 IAM 策略分配，请选择**添加新分配**。
   + 要编辑现有分配，请选择该分配的 **Edit assignment (编辑分配)** 图标。
   + 要启用或禁用一个策略，请选中该策略的复选框，然后选择 **Enable (启用)** 或 **Disable (禁用)**。可以一次性选择多个策略分配。
   + 要删除现有分配，请选择分配名称附近的 **Remove assignment (删除分配)** 图标。要确认您的选择，请在确认屏幕上选择 **Delete (删除)**。或者，选择**返回**以取消删除。

   如果您要创建或编辑分配，请继续执行下一步骤。否则，请跳过此过程的末尾。

1. 在下一个屏幕中，执行策略分配过程，该过程分为几个步骤。在完成这些步骤时，您可以向前或向后导航以进行更改。退出屏幕时，将保存对所有步骤进行的更改。

   1. **步骤 1：为分配命名** – 如果这是一个新分配，请输入分配的名称，然后选择**下一步**以继续。若要更改名称，请选择左侧的 **Step 1 (步骤 1)**。

   1. **步骤 2：选择 IAM 策略**– 选择要使用的 IAM 策略。在此屏幕中，您可以按如下方式与策略进行交互：
      + 选择要使用的策略。
      + 搜索策略名称。
      + 筛选列表以查看所有 IAM 策略、 AWS托管策略或客户托管策略。
      + 通过选择 **View policy (查看策略)** 来查看策略。

      要选择一个策略，请选择该策略旁边的按钮，然后选择**下一步**以继续。

   1. **步骤 3：分配用户和组** – 选择特定的用户或组。或者，选择对所有用户和组使用选定 IAM 策略。

      选择下列选项之一。
      + 在 “**分配给所有用户和群组**” 中，选中复选框将 IAM 策略分配给所有 Amazon Quick 用户和群组。选择此选项会将策略分配给所有当前和未来的用户和组。
      + 选择要分配给此 IAM 策略的用户和组。您可以按名称、电子邮件地址或组名搜索它们。

      在选择用户和组之后，选择 **Next (下一步)** 以继续。

   1. **步骤 4：查看和启用更改** – 保存您的更改。

      选择下列选项之一。
      + 要编辑任何选项，请选择该步骤进行编辑。
      + 要将此策略分配另存为草稿，请选择 **Save as draft (另存为草稿)**。可以稍后启用草稿。
      + 要立即启用此策略，请选择 **Save and enable (保存并启用)**。此选项将覆盖具有相同名称的任何现有策略分配。

# 在 Quick 中使用 AWS Secrets Manager 密钥而不是数据库凭证
使用 Secrets Manager 密钥代替数据库凭证


|  | 
| --- |
|    目标受众：Amazon Quick 管理员和 Amazon Quick 开发者  | 

AWS Secrets Manager 是一项密钥存储服务，可用于保护数据库凭据、API 密钥和其他机密信息。使用密钥有助于确保检查您代码的人不会泄露密钥，因为该密钥并不存储在代码中。有关概述，请参阅《AWS Secrets Manager 用户指南》[https://docs.aws.amazon.com/secretsmanager/latest/userguide](https://docs.aws.amazon.com/secretsmanager/latest/userguide)。

快速管理员可以授予 Amazon Quick 对他们在 Secrets Manager 中创建的密钥的只读访问权限。使用 Quick API 创建和编辑数据源时，可以使用这些密钥代替数据库凭据。

Quick 支持使用支持凭据对身份验证的数据源类型的密钥。目前 ServiceNow 不支持 Jira 和。

**注意**  
如果您 AWS Secrets Manager 与 Quick 一起使用，则需要按定[AWS Secrets Manager 价页面](https://aws.amazon.com/secrets-manager/pricing)中所述支付访问和维护费用。在您的账单中，费用列在 Secrets Manager 下，而不是在 Amazon Quick 下。

使用以下各节中描述的步骤将 Secrets Manager 与 Amazon Quick 集成。

**Topics**
+ [

## 授予亚马逊快速访问 Secrets Manager 和所选密钥的权限
](#secrets-manager-integration-select-secrets)
+ [

## 使用 Amazon Quick API 创建或更新带有秘密凭证的数据源
](#secrets-manager-integration-api)
+ [

## 密钥的内容
](#secrets-manager-integration-whats-in-secret)
+ [

## 修改密钥
](#secrets-manager-integration-modifying)

## 授予亚马逊快速访问 Secrets Manager 和所选密钥的权限
授予亚马逊快速访问 Secrets Manager 的权限

如果您是管理员并且在 Secrets Manager 中拥有密钥，则可以授予 Amazon Quick 对所选密钥的只读访问权限。

**授予亚马逊快速访问 Secrets Manager 和所选密钥的权限**

1. 在 Amazon Quick 中，选择右上角的用户图标，然后选择 “**快速管理**”。

1. 选择左侧的**安全和权限**。

1. 在 **Amazon 中选择 “**管理**” 快速访问 AWS 资源**。

1. 在**允许访问和自动发现这些资源**中，依次选择 **AWS Secrets Manager** 和**选择密钥**。

   **AWS Secrets Manager 密钥**页面打开。

1. 选择您想要授予 Amazon Quick 只读访问权限的密钥。

   您的 Amazon 快速注册区域中的密钥会自动显示。要选择您所在区域以外的密钥，请选择**其他 AWS 区域的密钥**，然后输入这些密钥的 Amazon 资源名称 (ARNs)。

1. 完成后，选择 **Finish (完成)**。

   Amazon Quick `aws-quicksight-secretsmanager-role-v0` 在您的账户中创建了一个名为的 IAM 角色。它向账户中的用户授予对指定密钥的只读访问权限，外观类似于以下内容：

   当 Amazon Quick 用户使用带有机密的数据源创建分析或查看控制面板时，Amazon Quick 将担任这个 Secrets Manager IAM 角色。有关密钥权限策略的更多信息，请参阅《AWS Secrets Manager 用户指南》**中的 [AWS Secrets Manager的身份验证和访问控制](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html)。

   Amazon Quick IAM 角色中的指定密钥可能还有一个拒绝访问的额外资源策略。有关更多信息，请参阅《AWS Secrets Manager 用户指南》**中的[将权限策略附加到密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。

   如果您使用 AWS 托管密 AWS KMS 钥来加密您的密钥，Amazon Quick 不需要在 Secrets Manager 中设置任何其他权限。

   如果您使用客户托管密钥来加密您的密钥，请确保 Amazon Quick IAM 角色`aws-quicksight-secretsmanager-role-v0`拥有`kms:Decrypt`权限。有关更多信息，请参阅《AWS Secrets Manager 用户指南》**中的 [KMS 密钥的权限](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz)。

   有关密钥管理服务中 AWS 使用的密钥类型的更多信息，请参阅[密钥*管理服务指南*中的AWS 客户 AWS 密钥和密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)。

## 使用 Amazon Quick API 创建或更新带有秘密凭证的数据源


在 Amazon Quick 管理员授予 Amazon Quick 对 Secrets Manager 的只读访问权限后，您可以使用管理员选择作为凭证的密钥在 API 中创建和更新数据源。

以下是在 Amazon Quick 中创建数据源的 API 调用示例。此示例使用 `create-data-source` API 操作。还可以使用 `update-data-source` 操作。有关更多信息，请参阅 *Amazon Quick API 参考[UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)*中的[CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html)和。

在以下 API 调用示例的权限中指定的用户可以在 Amazon Quick 中删除、查看和编辑指定 MySQL 数据源的数据源。他们还可以查看和更新数据来源的权限。不使用 Amazon Quick 用户名和密码，而是使用机密 ARN 作为数据源的凭证。

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

在本次调用中，Amazon Quick 根据 API 调用者的 IAM 策略，而不是 IAM 服务角色的策略来授权`secretsmanager:GetSecretValue`访问密钥。IAM 服务角色作用于账户级别，在用户查看分析或控制面板时使用。当用户创建或更新数据来源时，它不能用于授权密钥访问。

在 Amazon Quick UI 中编辑数据源时，用户可以查看 AWS Secrets Manager 用作凭证类型的数据源的秘密 ARN。但是，他们无法编辑密钥，也无法选择其他密钥。如果需要进行更改，例如更改数据库服务器或端口，则用户首先需要选择**凭证对**并输入他们的 Amazon Quick 账户用户名和密码。

在用户界面中更改数据来源时，密钥会自动从数据来源中删除。要将密钥恢复到数据来源，请使用 `update-data-source` API 操作。

## 密钥的内容


Amazon Quick 需要使用以下 JSON 格式才能访问您的密钥：

```
{
  "username": "username",
  "password": "password"
}
```

要让 Amazon Quick 访问密钥，必须填`password`写`username`和字段。所有其他字段均为可选字段，Amazon Quick 会忽略这些字段。

JSON 格式可能会因数据库类型而异。有关更多信息，请参阅《*AWS Secrets Manager 用户指南*[》中的 AWS Secrets Manager 数据库凭据密钥的 JSON 结构](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html)。

## 修改密钥


要修改密钥，您可以使用 Secrets Manager。在您对密钥进行更改后，下次 Amazon Quick 请求访问该密钥时，更新就会变为可用。