Creación o actualización de un origen de datos con credenciales secretas mediante la API de QuickSight

Una vez que el administrador de QuickSight haya concedido a QuickSight acceso de solo lectura a Secrets Manager, podrá crear y actualizar los orígenes de datos en la API utilizando un secreto que el administrador haya seleccionado como credenciales.

A continuación se presenta un ejemplo de llamada a la API para crear un origen de datos en QuickSight. En este ejemplo, se utiliza la operación de la API create-data-source. También puede utilizar la operación update-data-source. Para obtener más información, consulte CreateDataSource y UpdateDataSource en la referencia de la API de Amazon QuickSight.

El usuario especificado en los permisos del siguiente ejemplo de llamada a la API puede eliminar, ver y editar los orígenes de datos del origen de datos MySQL especificado en QuickSight. También puede ver y actualizar los permisos del origen de datos. En lugar de un nombre de usuario y una contraseña de QuickSight, se utiliza un ARN de secreto como credenciales para el origen de datos.


aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

En esta llamada, QuickSight autoriza a secretsmanager:GetSecretValue acceso al secreto en función de la política de IAM de la persona que llama a la API, no de la política del rol de servicio de IAM. El rol de servicio de IAM actúa en el ámbito de cuenta y se utiliza cuando un usuario consulta un análisis o un panel. No se puede utilizar para autorizar el acceso al secreto cuando un usuario crea o actualiza el origen de datos.

Al editar un origen de datos en la interfaz de usuario de QuickSight, los usuarios pueden ver el ARN de secreto de los orígenes de datos que utilizan AWS Secrets Manager como tipo de credencial. Sin embargo, no pueden editar el secreto ni seleccionar otro secreto. Si tienen que realizar cambios, por ejemplo, en el puerto o el servidor de la base de datos, los usuarios primero tienen que elegir el par de credenciales e ingresar el nombre de usuario y la contraseña de su cuenta QuickSight.

Los secretos se eliminan automáticamente de un origen de datos cuando el origen de datos se modifica en la interfaz de usuario. Para restaurar el secreto en el origen de datos, utilice la operación de la API update-data-source.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Concesión de acceso a Secrets Manager a QuickSight

Qué hay en el secreto