QuickSight API를 사용하여 보안 인증 정보를 사용하여 데이터 소스 생성 또는 업데이트 - Amazon QuickSight

QuickSight API를 사용하여 보안 인증 정보를 사용하여 데이터 소스 생성 또는 업데이트

QuickSight 관리자가 QuickSight에 Secrets Manager에 대한 읽기 전용 액세스 권한을 부여한 후에는 관리자가 보안 인증으로 선택한 보안 암호를 사용하여 API에서 데이터 소스를 생성하고 업데이트할 수 있습니다.

다음은 QuickSight에서 데이터 소스를 만들기 위한 API 호출의 예입니다. 이 예제에서는 create-data-source API 작업을 사용합니다. update-data-source 작업을 사용할 수도 있습니다. 자세한 내용은 Amazon QuickSight API 참조의 CreateDataSourceUpdateDataSource를 참조하십시오.

다음 API 호출 예제의 권한에 지정된 사용자는 QuickSight에서 지정된 MySQL 데이터 소스의 데이터 소스를 삭제, 확인 및 편집할 수 있습니다. 또한 데이터 소스 권한을 보고 업데이트할 수 있습니다. QuickSight 사용자 이름과 암호 대신 비밀 ARN이 데이터 소스의 보안 인증 정보로 사용됩니다.

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

이 호출에서 QuickSight는 IAM 서비스 역할 정책이 아닌 API 호출자의 IAM 정책을 기반으로 암호에 대한 secretsmanager:GetSecretValue 액세스 권한을 부여합니다. IAM 서비스 역할은 계정 수준에서 작동하며 사용자가 분석 또는 대시보드를 볼 때 사용됩니다. 사용자가 데이터 소스를 생성하거나 업데이트할 때는 암호 액세스를 승인하는 데 사용할 수 없습니다.

QuickSight UI에서 데이터 소스를 편집할 때 사용자는 보안 인증 유형으로 AWS Secrets Manager을(를) 사용하는 데이터 소스의 비밀 ARN을 볼 수 있습니다. 하지만 암호를 편집하거나 다른 암호를 선택할 수는 없습니다. 예를 들어 데이터베이스 서버 또는 포트를 변경해야 하는 경우 사용자는 먼저 보안 인증 정보 쌍을 선택하고 QuickSight 계정 사용자 이름과 암호를 입력해야 합니다.

UI에서 데이터 소스를 변경하면 데이터 소스에서 보안 암호가 자동으로 제거됩니다. 비밀번호를 데이터 소스에 복원하려면 update-data-source API 작업을 사용하세요.