本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 存取 AWS 資源
<a name="accessing-data-sources"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員和 Amazon Quick 管理員  | 

您可以更精細地控制 Amazon Quick 可以存取 AWS 的資源，並縮小這些資源的存取範圍。您也可以在 Enterprise Edition 中，將帳戶中的每個人預設為一般存取，再為個別使用者和群組設定特定的存取。

這些存取組態對於 Amazon Quick Sight 資料來源連線至關重要，可安全連線至 Amazon S3、Amazon RDS、Amazon Redshift 和 Athena 等 AWS 服務，以進行資料分析和視覺化。適當的資源存取設定可確保 Amazon Quick Sight 可以從 AWS 資料來源擷取和處理資料，同時保持適當的安全界限。

使用下列各節協助您設定 AWS 資源以使用 Quick。

開始之前，請確定您有正確的許可；您的系統管理員可為您提供這些許可。為此，系統管理員會建立政策，以讓您使用特定 IAM 動作。然後，系統管理員會將該政策與 IAM 中的使用者或群組建立關聯。下列都是必要動作：
+ **`quicksight:AccountConfigurations`** – 啟用 資源的預設存取權設定 AWS 
+ **`quicksight:ScopeDownPolicy`** – 資源許可的範圍政策 AWS 
+ 您也可以將自己的 IAM 角色帶入 Amazon Quick。如需詳細資訊，請參閱[將 IAM 角色傳遞至 Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role.html)。

**啟用或停用 Amazon Quick 可存取 AWS 的服務**

1. 在 登入 Amazon Quick[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)。

1. 在右上角，選擇您的使用者名稱，然後選擇**管理快速**。

1. 選擇**安全和許可**。

1. 在 **QuickSight 存取 AWS 服務**下，選擇**新增或移除**。

   畫面隨即出現，您可以在其中啟用所有可用的 AWS 服務。
**注意**  
如果您看到許可錯誤，而且您是授權的 Amazon Quick 管理員，請聯絡您的系統管理員尋求協助。

1. 選取您想要允許服務的核取方塊。清除您不想要允許服務的核取方塊。

   如果您已啟用 AWS 服務，則已選取該服務的核取方塊。如果 Amazon Quick 無法存取特定 AWS 服務，則不會選取其核取方塊。

   在某些情況下，您可能會看到如下訊息。

   `This policy used by Amazon Quick for AWS resource access was modified outside of Amazon Quick, so you can no longer edit this policy to provide AWS resource permission to Amazon Quick. To edit this policy permissions, go to the IAM console and delete this policy permission with policy arn - arn:aws:iam::111122223333:policy/service-role/AWSQuickSightS3Policy. `

   這種類型的訊息表示 Amazon Quick 使用的其中一個 IAM 政策已手動變更。若要修正此問題，系統管理員需要刪除 IAM 政策中所列的錯誤訊息，並重新載入**安全和許可**畫面，然後再試一次。

1. 選擇 **Update (更新)** 確認，或 **Cancel (取消)** 返回前一個畫面。

**Topics**
+ [透過 IAM 設定對 AWS 服務的精細存取](scoping-policies-iam-interface.md)
+ [在 Quick 中使用 AWS Secrets Manager 秘密而非資料庫登入資料](secrets-manager-integration.md)

# 透過 IAM 設定對 AWS 服務的精細存取
<a name="scoping-policies-iam-interface"></a>


|  | 
| --- |
|  適用於：企業版  | 


|  | 
| --- |
|    目標對象：系統管理員和 Amazon Quick 管理員  | 

在企業版中，Amazon Quick 可讓您設定 AWS 服務中資源的詳細存取權。如同所有其他 AWS 服務，Quick 會使用 IAM 政策來控制使用者和群組的存取。

開始之前，請要求管理員提前設定必要的 IAM 政策。如果已設定，則您可以選取其作為本章節中程序的一部分。如需建立 IAM 政策以搭配 Quick 使用的相關資訊，請參閱 [Quick 中的 Identity and Access Management](https://docs.aws.amazon.com/quicksight/latest/user/identity.html)。

**若要為 IAM 政策指派使用者或群組**

1. 在 登入 Quick[https://quicksight.aws.amazon.com/](https://quicksight.aws.amazon.com/)。

1. 在左上角，選擇您的使用者名稱，然後選擇**管理 QuickSight**。

1. 選擇**安全和許可**。

1. 在 **個別使用者和群組存取資源**下，選擇 **IAM policy assignments (IAM 政策指派)**。

   目前剩餘的步驟涉及選擇 IAM 政策以指派給使用者或群組。您可以將多個 IAM 政策指派給一個 Amazon Quick 使用者或群組。為了判斷許可，Amazon Quick 會執行與 AWS 帳戶層級政策的聯集和交集。

   如果您已經有啟用中的 IAM 政策指派，會列在這個頁面。您可以使用搜尋方塊來搜尋現有的指派。如果您有尚未啟用的草稿，會列在**指派草稿**當中。

1. 選擇下列其中一項：
   + 若要建立 IAM 政策指派，選擇 **Add new assignment (新增新的指派)**。
   + 要編輯現有指派，選擇該指派的 **Edit assignment (編輯指派)** 圖示。
   + 若要啟用或停用政策，請選該政策旁的取核取方塊，然後選擇 **Enable (啟用)** 或 **Disable (停用)**。您可以同時選擇多個指派政策。
   + 若要刪除現有的工作，請選擇指派名稱旁 **Remove assignment (移除指派)** 的圖示。若要確認您的選擇，請在確認畫面選擇 **Delete (刪除)**。或者，選擇**返回**，以取消刪除。

   如果您正在建立或編輯指派，繼續下一個步驟。否則，請跳到此程序的最後一步。

1. 在下個畫面上，您可分多個步驟執行政策指派程序。當您在步驟進行間，您可以向前或向後以進行變更。當您結束螢幕，您所有步驟的變更將會儲存。

   1. **步驟 1：名稱指派** – 如果這是新的指派，輸入指派的名稱，然後選擇**下一步**以繼續。如果您想要變更名稱，選擇左側的 **Step 1 (步驟一)**。

   1. **步驟 2：選取 IAM 政策** – 選擇您想要使用的 IAM 政策。從這個畫面中，您可以使用互動的政策，如下所示：
      + 選擇您想要使用的政策。
      + 搜尋政策名稱。
      + 篩選清單以查看所有 IAM AWS政策、受管政策或客戶受管政策。
      + 檢視政策，請選擇 **View policy (檢視政策)**。

      若要選取政策，選擇旁邊的按鈕，然後選擇 **Next (下一步)** 以繼續。

   1. **步驟 3：指派使用者和群組** – 選擇特定使用者或群組。或者，選擇使用 IAM 政策所選的所有的使用者和群組。

      選擇下列其中一項。
      + 針對**指派給所有使用者和群組**，選取核取方塊，將 IAM 政策指派給所有 Amazon Quick 使用者和群組。選擇此選項將政策套用到所有目前與未來的使用者和群組。
      + 選擇您想要的使用者和群組指派到這個 IAM 政策。您可以依據他們的名稱、電子郵件地址或群組名稱進行搜尋。

      當您完成選擇使用者和群組，請選擇 **Next (下一步)** 以繼續。

   1. **步驟 4：檢閱並啟用變更** – 儲存您的變更。

      選擇下列其中一項。
      + 若要編輯任何選項，選擇該步驟以進行編輯。
      + 若要將此政策指派儲存為草稿，選擇 **Save as draft (儲存為草稿)**。您可以在之後啟用草稿。
      + 若要立即啟用此政策，選擇 **Save and enable (儲存並啟用)**。此選項覆寫任何現有相同名稱的政策指派。

# 在 Quick 中使用 AWS Secrets Manager 秘密而非資料庫登入資料
<a name="secrets-manager-integration"></a>


|  | 
| --- |
|    目標對象：Amazon Quick Administrators 和 Amazon Quick Developer  | 

AWS Secrets Manager 是一項秘密儲存服務，可用來保護資料庫登入資料、API 金鑰和其他秘密資訊。使用金鑰有助於確保不讓某人研究您的程式碼而盜用密碼，因為機密並不存放於程式碼中。如需概觀，若要取得概述，請參閱《[AWS Secrets Manager 使用指南](https://docs.aws.amazon.com/secretsmanager/latest/userguide)》。

快速管理員可以授予 Amazon Quick 唯讀存取權，以存取他們在 Secrets Manager 中建立的秘密。使用 Quick API 建立和編輯資料來源時，可以使用這些秘密來取代資料庫登入資料。

快速支援將秘密與支援登入資料對身分驗證的資料來源類型搭配使用。Jira 和 ServiceNow 目前不支援。

**注意**  
如果您 AWS Secrets Manager 搭配 Quick 使用 ，您需要支付 [AWS Secrets Manager 定價頁面](https://aws.amazon.com/secrets-manager/pricing)中所述的存取和維護費用。在您的帳單中，成本會在 Secrets Manager 下逐項列出，而不是在 Amazon Quick 下。

使用下列各節所述的程序，將 Secrets Manager 與 Amazon Quick 整合。

**Topics**
+ [授予 Amazon Quick 存取權給 Secrets Manager 和選取的秘密](#secrets-manager-integration-select-secrets)
+ [使用 Amazon Quick API 建立或更新具有秘密登入資料的資料來源](#secrets-manager-integration-api)
+ [機密中有什麼](#secrets-manager-integration-whats-in-secret)
+ [修改秘密](#secrets-manager-integration-modifying)

## 授予 Amazon Quick 存取權給 Secrets Manager 和選取的秘密
<a name="secrets-manager-integration-select-secrets"></a>

如果您是管理員，而且您在 Secrets Manager 中有秘密，您可以授予 Amazon Quick 唯讀存取所選秘密的權限。

**授予 Amazon Quick 存取 Secrets Manager 和所選秘密的權限**

1. 在 Amazon Quick 中，選擇右上角的使用者圖示，然後選擇**管理快速**。

1. 選擇左側的**安全和許可**。

1. 選擇在 Amazon Quick 中**管理** 資源的存取權。 ** AWS **

1. 在**允許存取和自動探索這些資源**中，選擇 **AWS Secrets Manager**，**選取機密**。

   **AWS Secrets Manager 機密**頁面隨即開啟。

1. 選取您要授予 Amazon Quick 唯讀存取權的秘密。

   Amazon Quick 註冊區域中的秘密會自動顯示。若要選取您本地區域以外的機密，請選擇**其他 AWS 區域中的機密**，然後輸入這些機密的 Amazon Resource Name (ARN)。

1. 完成時請選擇 **Finish (完成)**。

   Amazon Quick 會在您的帳戶`aws-quicksight-secretsmanager-role-v0`中建立名為 的 IAM 角色。其會授予帳戶中的使用者對指定密碼的唯讀存取權，看起來類似以下內容：

   當 Amazon Quick 使用者從具有秘密的資料來源建立分析或檢視儀表板時，Amazon Quick 會擔任此 Secrets Manager IAM 角色。如需有關密碼許可政策的詳細資訊，請參閱《AWS Secrets Manager 使用指南》中的[AWS Secrets Manager的身分驗證與存取控制](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html)。**

   Amazon Quick IAM 角色中指定的秘密可能具有拒絕存取的額外資源政策。如需詳細資訊，請參閱《AWS Secrets Manager 使用者指南》中的[將許可政策連接至機密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_resource-policies.html)。**

   如果您使用 AWS 受管 AWS KMS 金鑰來加密秘密，Amazon Quick 不需要在 Secrets Manager 中設定任何其他許可。

   如果您使用客戶受管金鑰來加密秘密，請確定 Amazon Quick IAM 角色`aws-quicksight-secretsmanager-role-v0`具有 `kms:Decrypt` 許可。如需詳細資訊，請參閱《AWS Secrets Manager 使用者指南》中的 [KMS 金鑰的許可](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz)。**

   如需 AWS Key Management Service 中使用的金鑰類型的詳細資訊，請參閱 Key Management Service 指南[AWS 中的客戶金鑰和](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)金鑰。 *AWS *

## 使用 Amazon Quick API 建立或更新具有秘密登入資料的資料來源
<a name="secrets-manager-integration-api"></a>

Amazon Quick 管理員授予 Amazon Quick 唯讀存取權給 Secrets Manager 之後，您可以使用管理員選取做為登入資料的秘密，在 API 中建立和更新資料來源。

以下是在 Amazon Quick 中建立資料來源的範例 API 呼叫。此範例使用 `create-data-source` API 操作。您也可以使用 `update-data-source` 操作。如需詳細資訊，請參閱《*Amazon Quick API 參考*》中的 [CreateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateDataSource.html) 和 [UpdateDataSource](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_UpdateDataSource.html)。

下列 API 呼叫範例中許可中指定的使用者可以刪除、檢視和編輯 Amazon Quick 中指定 MySQL 資料來源的資料來源。他們也可以檢視和更新資料來源許可。秘密 ARN 不是 Amazon Quick 使用者名稱和密碼，而是做為資料來源的登入資料。

```
aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2
```

在此呼叫中，Amazon Quick 會根據 API 呼叫者的 IAM 政策授權`secretsmanager:GetSecretValue`存取秘密，而非 IAM 服務角色的政策。IAM 服務角色可在帳戶層級採取動作，並在使用者檢視分析或儀表板時使用。當使用者建立或更新資料來源時，它無法用於授權機密存取。

在 Amazon Quick UI 中編輯資料來源時，使用者可以檢視使用 AWS Secrets Manager 做為登入資料類型的資料來源的秘密 ARN。但是，他們無法編輯機密，也無法選取其他機密。如果使用者需要變更資料庫伺服器或連接埠，使用者必須先選擇**登入資料對**，然後輸入其 Amazon Quick 帳戶使用者名稱和密碼。

在 UI 中變更資料來源時，會自動從資料來源中移除機密。若要將機密還原至資料來源，請使用 `update-data-source` API 操作。

## 機密中有什麼
<a name="secrets-manager-integration-whats-in-secret"></a>

Amazon Quick 需要下列 JSON 格式才能存取您的秘密：

```
{
  "username": "username",
  "password": "password"
}
```

Amazon Quick 存取秘密需要 `username`和 `password` 欄位。所有其他欄位皆為選用，Amazon Quick 會予以忽略。

JSON 格式可能會因資料庫類型而異。如需詳細資訊，請參閱*AWS Secrets Manager 《 使用者指南*》中的[AWS Secrets Manager 資料庫登入資料秘密的 JSON 結構](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_secret_json_structure.html)。

## 修改秘密
<a name="secrets-manager-integration-modifying"></a>

若要修改機密，請使用 Secrets Manager。對秘密進行變更後，下次 Amazon Quick 請求存取秘密時，就會提供更新。