Conceder ao QuickSight acesso ao Secrets Manager e a segredos selecionados

Se você for um administrador e tiver segredos no Secrets Manager, poderá conceder ao Amazon QuickSight acesso somente leitura aos segredos selecionados.

Para conceder ao QuickSight acesso ao Secrets Manager e aos segredos selecionados

No QuickSight, escolha seu ícone de usuário no canto superior direito e selecione Gerenciar QuickSight.
Escolha Segurança e permissões à esquerda.
Escolha Gerenciar em Acesso do QuickSight aos recursos da AWS.
Em Permitir acesso e detecção automática para esses recursos, selecione AWS Secrets Manager, Selecionar segredos.

A página de segredos do AWS Secrets Manager é aberta.
Selecione os segredos aos quais você deseja conceder acesso somente leitura ao QuickSight.

Os segredos na sua região de inscrição do QuickSight são mostrados automaticamente. Para selecionar segredos fora da sua região de origem, escolha Segredos em outras regiões da AWS e, em seguida, insira os nomes do recurso da Amazon (ARNs) para esses segredos.
Quando terminar, escolha Finish (Concluir).

O QuickSight cria um perfil do IAM chamado aws-quicksight-secretsmanager-role-v0 na sua conta. Ele concede aos usuários da conta acesso somente leitura aos segredos especificados, sendo semelhante ao abaixo:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": [
        "arn:aws:secretsmanager:region:accountId:secret:secret_name"
      ]
    }
  ]
}
```
Quando os usuários do QuickSight criam análises de painéis ou visualizam painéis que usam uma fonte de dados com segredos, o QuickSight assume esse perfil do IAM do Secrets Manager. Para obter mais informações sobre políticas de permissões de segredos, consulte Autenticação e controle de acesso para o AWS Secrets Manager no Guia do usuário do AWS Secrets Manager.

O segredo especificado no perfil do IAM do QuickSight pode ter uma política de recursos adicional que nega o acesso. Para obter mais informações, consulte Anexo de uma política de permissões a um segredo no Guia do usuário do AWS Secrets Manager.

Se você estiver usando uma chave do AWS KMS gerenciada pela AWS para criptografar seu segredo, o QuickSight não exige nenhuma configuração adicional de permissões no Secrets Manager.

Se você estiver usando uma chave gerenciada pelo cliente para criptografar seu segredo, certifique-se de que o perfil do IAM do QuickSight aws-quicksight-secretsmanager-role-v0 tenha permissões de kms:Decrypt. Para obter mais informações, consulte Permissions for the KMS key no Guia do usuário do AWS Secrets Manager.

Para obter mais informações sobre os tipos de chaves usadas no AWS Key Management Service, consulte Customer keys and AWS keys no Guia do AWS Key Management Service.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar segredos do Secrets Manager em vez de credenciais de banco de dados

Como criar ou atualizar uma fonte de dados com credenciais de segredos usando a API do QuickSight