Création ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide du QuickSight API - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création ou mise à jour d'une source de données avec des informations d'identification secrètes à l'aide du QuickSight API

Une fois que l' QuickSight administrateur a accordé un accès en QuickSight lecture seule à Secrets Manager, vous pouvez créer et mettre à jour des sources de données en API utilisant un secret sélectionné par l'administrateur comme informations d'identification.

Voici un exemple d'APIappel pour créer une source de données dans QuickSight. Cet exemple utilise l'create-data-sourceAPIopération. Vous pouvez également utiliser l'opération update-data-source. Pour plus d'informations, consultez CreateDataSourceet consultez UpdateDataSourcele manuel Amazon QuickSight API Reference.

L'utilisateur spécifié dans les autorisations de l'exemple d'APIappel suivant peut supprimer, afficher et modifier les sources de données pour la source de SQL données Ma source de données spécifiée dans QuickSight. Il peut également consulter et mettre à jour les autorisations des sources de données. Au lieu d'un QuickSight nom d'utilisateur et d'un mot de passe, un secret ARN est utilisé comme identifiant pour la source de données.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dans cet appel, QuickSight autorise l'secretsmanager:GetSecretValueaccès au secret en fonction de la politique de l'APIappelant, et non de la IAM politique du rôle de IAM service. Le rôle IAM de service agit au niveau du compte et est utilisé lorsqu'un utilisateur consulte une analyse ou un tableau de bord. Elle ne peut pas être utilisée pour autoriser un accès secret lorsqu'un utilisateur crée ou met à jour la source de données.

Lorsqu'ils modifient une source de données dans l' QuickSight interface utilisateur, les utilisateurs peuvent consulter le secret ARN des sources de données utilisées AWS Secrets Manager comme type d'identification. Cependant, ils ne peuvent pas modifier le secret ou en sélectionner un autre. S'ils doivent apporter des modifications, par exemple au serveur de base de données ou au port, les utilisateurs doivent d'abord choisir la paire d'informations d'identification et saisir le nom d'utilisateur et le mot de passe de leur QuickSight compte.

Les secrets sont automatiquement supprimés d'une source de données lorsque celle-ci est modifiée dans l'interface utilisateur. Pour restaurer le secret de la source de données, utilisez l'update-data-sourceAPIopération.