Como criar ou atualizar uma fonte de dados com credenciais de segredos usando a API do QuickSight

Depois que o administrador do QuickSight conceder ao QuickSight acesso somente leitura ao Secrets Manager, você poderá criar e atualizar fontes de dados na API usando um segredo que o administrador selecionou como credencial.

Veja a seguir um exemplo de chamada de API para criar uma fonte de dados no QuickSight. Este exemplo usa a operação de API create-data-source. Também é possível usar a operação update-data-source. Para obter mais informações, consulte CreateDataSource e UpdateDataSource na referência de APIs do Amazon QuickSight.

No exemplo de chamada de API a seguir, o usuário especificado nas permissões pode excluir, visualizar e editar fontes de dados para a fonte de dados MySQL especificada no QuickSight. O usuário também pode visualizar e atualizar as permissões da fonte de dados. Em vez de um nome de usuário e senha do QuickSight, um ARN do segredo é usado como credencial para a fonte de dados.


aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

Nessa chamada, o QuickSight autoriza o acesso do secretsmanager:GetSecretValue ao segredo com base na política do IAM do chamador da API, não na política do perfil de serviço do IAM. O perfil de serviço do IAM atua no nível da conta e é usado quando uma análise ou painel é visualizado por um usuário. Ele não pode ser usado para autorizar o acesso do segredo quando um usuário cria ou atualiza a fonte de dados.

Ao editar uma fonte de dados na interface do usuário do QuickSight, os usuários podem visualizar o ARN do segredo das fontes de dados que usam o AWS Secrets Manager como tipo de credencial. No entanto, eles não podem editar o segredo nem selecionar um diferente. Se precisarem fazer alterações, por exemplo, no servidor ou na porta do banco de dados, os usuários precisam primeiro escolher o Par de credenciais e inserir o nome de usuário e a senha da conta do QuickSight.

Os segredos são removidos automaticamente de uma fonte de dados quando ela é alterada na interface do usuário. Para restaurar o segredo na fonte de dados, use a operação de API update-data-source.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Concessão de acesso ao QuickSight para o Secrets Manager

O que há no segredo?