Erstellen oder Aktualisieren einer Datenquelle mit geheimen Anmeldeinformationen mithilfe der QuickSight API - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen oder Aktualisieren einer Datenquelle mit geheimen Anmeldeinformationen mithilfe der QuickSight API

Nachdem der QuickSight Administrator Secrets Manager QuickSight schreibgeschützten Zugriff gewährt hat, können Sie Datenquellen API mithilfe eines Geheimnisses erstellen und aktualisieren, das der Administrator als Anmeldeinformationen ausgewählt hat.

Im Folgenden finden Sie einen API Beispielaufruf zum Erstellen einer Datenquelle in. QuickSight In diesem Beispiel wird die create-data-source API Operation verwendet. Sie können auch die update-data-source-Operation verwenden. Weitere Informationen finden Sie unter CreateDataSourceund UpdateDataSourcein der QuickSight APIAmazon-Referenz.

Der Benutzer, der in den Berechtigungen im folgenden API Aufrufbeispiel angegeben wurde, kann Datenquellen für die angegebene SQL Datenquelle in löschen, anzeigen und bearbeiten QuickSight. Sie können auch die Datenquellenberechtigungen anzeigen und aktualisieren. Anstelle eines QuickSight Benutzernamens und eines Kennworts ARN wird ein Geheimnis als Anmeldeinformationen für die Datenquelle verwendet.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Bei diesem Anruf wird der secretsmanager:GetSecretValue Zugriff auf QuickSight das Geheimnis auf der Grundlage der Richtlinie des API Anrufers autorisiert, nicht auf der IAM Richtlinie der IAM Servicerolle. Die IAM Servicerolle agiert auf Kontoebene und wird verwendet, wenn ein Benutzer eine Analyse oder ein Dashboard aufruft. Sie kann nicht verwendet werden, um den geheimen Zugriff zu autorisieren, wenn ein Benutzer die Datenquelle erstellt oder aktualisiert.

Wenn sie eine Datenquelle in der QuickSight Benutzeroberfläche bearbeiten, können Benutzer den geheimen Schlüssel ARN für Datenquellen einsehen, die AWS Secrets Manager als Anmeldeinformationstyp verwendet werden. Allerdings können sie das Geheimnis nicht bearbeiten oder ein anderes Geheimnis auswählen. Wenn sie Änderungen vornehmen müssen, z. B. am Datenbankserver oder Port, müssen Benutzer zunächst Credential Pair auswählen und den Benutzernamen und das Passwort für ihr QuickSight Konto eingeben.

Geheimnisse werden automatisch aus einer Datenquelle entfernt, wenn die Datenquelle in der Benutzeroberfläche geändert wird. Verwenden Sie den update-data-source API Vorgang, um das Geheimnis der Datenquelle wiederherzustellen.