本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用秘密凭据创建或更新数据源 QuickSight API
QuickSight 管理员授予对 Sec API rets Manager 的 QuickSight 只读访问权限后,您可以使用管理员选择作为凭据的密钥在中创建和更新数据源。
以下是在中创建数据源的API调用示例 QuickSight。此示例使用该create-data-sourceAPI操作。您还可以使用 update-data-source 操作。有关更多信息,请参阅 Amazon QuickSight API 参考UpdateDataSource中的CreateDataSource和。
在以下API调用示例的权限中指定的用户可以删除、查看和编辑中指定 “我的SQL数据源” 的数据源 QuickSight。他们还可以查看和更新数据来源的权限。使用密钥ARN作为数据源的凭据,而不是 QuickSight 用户名和密码。
aws quicksight create-data-source --aws-account-idAWSACCOUNTID\ --data-source-idDATASOURCEID\ --nameNAME\ --typeMYSQL\ --permissions '[{"Principal": "arn:aws:quicksight:region:accountID:user/namespace/username", "Actions": ["quicksight:DeleteDataSource", "quicksight:DescribeDataSource", "quicksight:DescribeDataSourcePermissions", "quicksight:PassDataSource", "quicksight:UpdateDataSource", "quicksight:UpdateDataSourcePermissions"]}]' \ --data-source-parameters='{"MySQLParameters":{"Database": "database", "Host":"hostURL", "Port":"port"}}' \ --credentials='{"SecretArn":"arn:aws:secretsmanager:region:accountID:secret:secretname"}' \ --regionus-west-2
在此调用中,根据API调用者的策略而不是IAM服务角色的IAM策略来 QuickSight 授权secretsmanager:GetSecretValue访问密钥。IAM服务角色在账户级别起作用,在用户查看分析或仪表板时使用。当用户创建或更新数据来源时,它不能用于授权密钥访问。
在用户 QuickSight 界面中编辑数据源时,用户可以查看 Amazon Secrets Manager 用作凭据类型的数据源的密钥ARN。但是,他们无法编辑密钥,也无法选择其他密钥。如果需要进行更改,例如更改数据库服务器或端口,则用户首先需要选择凭据对并输入其 QuickSight 帐户用户名和密码。
在用户界面中更改数据来源时,密钥会自动从数据来源中删除。要将密钥恢复到数据源,请使用update-data-sourceAPI操作。