使用 建立或更新具有秘密憑證的資料來源 QuickSight API

QuickSight 管理員授予 Secrets Manager QuickSight 唯讀存取權後，您可以使用管理員選取為憑證的秘密API，在 中建立和更新資料來源。

以下是在 中建立資料來源的範例API呼叫 QuickSight。此範例使用 create-data-sourceAPI操作。您也可以使用 update-data-source 操作。如需詳細資訊，請參閱 Amazon 參考 UpdateDataSource 中的 CreateDataSource和 。 QuickSight API

下列API呼叫範例中許可中指定的使用者，可以刪除、檢視和編輯 中指定之我的SQL資料來源的資料來源 QuickSight。他們也可以檢視和更新資料來源許可。秘密不是 QuickSight 使用者名稱和密碼，ARN而是用作資料來源的憑證。

aws quicksight create-data-source 
    --aws-account-id AWSACCOUNTID \ 
    --data-source-id DATASOURCEID \
    --name NAME \
    --type MYSQL \
    --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \
    --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \
    --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \
    --region us-west-2

在此呼叫中， 會根據API來電者IAM的政策，而不是IAM服務角色的政策， QuickSight 授權對秘密的secretsmanager:GetSecretValue存取。IAM 服務角色會在帳戶層級運作，並在使用者檢視分析或儀表板時使用。當使用者建立或更新資料來源時，它無法用於授權機密存取。

在 QuickSight UI 中編輯資料來源時，使用者可以檢視使用 AWS Secrets Manager 作為憑證類型的ARN資料來源的秘密。但是，他們無法編輯機密，也無法選取其他機密。如果使用者需要變更資料庫伺服器或連接埠，使用者首先需要選擇憑證對，並輸入其 QuickSight 帳戶使用者名稱和密碼。

在 UI 中變更資料來源時，會自動從資料來源中移除機密。若要將秘密還原至資料來源，請使用 update-data-sourceAPI操作。