Membuat atau memperbarui sumber data dengan kredensi rahasia menggunakan QuickSight API - Amazon QuickSight

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat atau memperbarui sumber data dengan kredensi rahasia menggunakan QuickSight API

Setelah QuickSight administrator memberikan akses QuickSight hanya-baca ke Secrets Manager, Anda dapat membuat dan memperbarui sumber data dalam API menggunakan rahasia administrator yang dipilih sebagai kredensi.

Berikut ini adalah contoh API panggilan untuk membuat sumber data di QuickSight. Contoh ini menggunakan create-data-source API operasi. Anda juga dapat menggunakan update-data-source operasi ini. Untuk informasi selengkapnya, lihat CreateDataSourcedan UpdateDataSourcedi QuickSight APIReferensi Amazon.

Pengguna yang ditentukan dalam izin dalam contoh API panggilan berikut dapat menghapus, melihat, dan mengedit sumber data untuk sumber SQL data Saya yang ditentukan di QuickSight. Mereka juga dapat melihat dan memperbarui izin sumber data. Alih-alih QuickSight nama pengguna dan kata sandi, rahasia ARN digunakan sebagai kredensil untuk sumber data.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Dalam panggilan ini, QuickSight mengotorisasi secretsmanager:GetSecretValue akses ke rahasia berdasarkan kebijakan API pemanggil, bukan IAM kebijakan peran IAM layanan. Peran IAM layanan bertindak pada tingkat akun dan digunakan ketika analisis atau dasbor dilihat oleh pengguna. Ini tidak dapat digunakan untuk mengotorisasi akses rahasia ketika pengguna membuat atau memperbarui sumber data.

Ketika mereka mengedit sumber data di QuickSight UI, pengguna dapat melihat rahasia ARN untuk sumber data yang digunakan AWS Secrets Manager sebagai tipe kredensi. Namun, mereka tidak dapat mengedit rahasia, atau memilih rahasia yang berbeda. Jika mereka perlu melakukan perubahan, misalnya ke server database atau port, pengguna harus terlebih dahulu memilih pasangan Credential dan memasukkan nama pengguna dan kata sandi QuickSight akun mereka.

Rahasia secara otomatis dihapus dari sumber data ketika sumber data diubah di UI. Untuk mengembalikan rahasia ke sumber data, gunakan update-data-source API operasi.