本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
QuickSight 管理员授予对 Secrets Manager 的 QuickSight 只读访问权限后,您可以使用管理员选择作为凭据的密钥在 API 中创建和更新数据源。
以下是在中创建数据源的 API 调用示例 QuickSight。此示例使用 create-data-source API 操作。还可以使用 update-data-source 操作。有关更多信息,请参阅 Amazon QuickSight API 参考UpdateDataSource中的CreateDataSource和。
在以下 API 调用示例的权限中指定的用户可以删除、查看和编辑中指定 MySQL 数据源的数据源 QuickSight。他们还可以查看和更新数据来源的权限。不使用 QuickSight 用户名和密码,而是使用机密 ARN 作为数据源的凭据。
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
在此调用中,根据 API 调用者的 IAM 策略(而不是 IAM 服务角色的策略) QuickSight 授权secretsmanager:GetSecretValue访问密钥。IAM 服务角色作用于账户级别,在用户查看分析或控制面板时使用。当用户创建或更新数据来源时,它不能用于授权密钥访问。
在用户 QuickSight 界面中编辑数据源时,用户可以查看 AWS Secrets Manager 用作凭证类型的数据源的秘密 ARN。但是,他们无法编辑密钥,也无法选择其他密钥。如果需要进行更改,例如更改数据库服务器或端口,则用户首先需要选择凭据对并输入其 QuickSight 帐户用户名和密码。
在用户界面中更改数据来源时,密钥会自动从数据来源中删除。要将密钥恢复到数据来源,请使用 update-data-source API 操作。
