授予 QuickSight 对 Secrets Manager 和所选密钥的访问权限 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予 QuickSight 对 Secrets Manager 和所选密钥的访问权限

如果您是管理员并且在 Secrets Manager 中拥有密钥,则可以向亚马逊授予对所选密钥的 QuickSight 只读访问权限。

授予 QuickSight 对 Secrets Manager 和选定密钥的访问权限
  1. 在中 QuickSight,选择右上角的用户图标,然后选择管理 QuickSight

    管理 QuickSight 菜单。
  2. 选择左侧的安全和权限

  3. 在 “ Amazon 资源QuickSight 访问权限” 中选择 “管理

    管理安全和权限。
  4. 允许访问和自动发现这些资源中,依次选择 Amazon Secrets Manager选择密钥

    Amazon Secrets Manager 密钥页面打开。

  5. 选择要授予 QuickSight 只读访问权限的密钥。

    您的 QuickSight 注册区域中的密钥会自动显示。要选择您所在区域以外的密钥,请选择其他 Amazon 区域的密钥,然后输入这些密钥的 Amazon 资源名称 (ARNs)。

  6. 完成后,选择 Finish (完成)

    QuickSight aws-quicksight-secretsmanager-role-v0在您的账户中创建一个名为的IAM角色。它向账户中的用户授予对指定密钥的只读访问权限,外观类似于以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": [ "arn:aws:secretsmanager:region:accountId:secret:secret_name" ] } ] }

    当 QuickSight 用户通过使用带有机密的数据源的仪表板创建分析或查看仪表板时,将 QuickSight 担任此 Secrets Manager IAM 角色。有关密钥权限策略的更多信息,请参阅《Amazon Secrets Manager 用户指南》中的 Amazon Secrets Manager的身份验证和访问控制

    QuickSight IAM角色中指定的密钥可能还有一个拒绝访问的额外资源策略。有关更多信息,请参阅《Amazon Secrets Manager 用户指南》中的将权限策略附加到密钥

    如果您使用 Amazon 托管密 Amazon KMS 钥来加密您的密钥,则 QuickSight无需在 Secrets Manager 中设置任何其他权限。

    如果您使用客户托管密钥来加密您的密钥,请确保该 QuickSightIAM角色aws-quicksight-secretsmanager-role-v0具有kms:Decrypt权限。有关更多信息,请参阅Amazon Secrets Manager 用户指南》中的KMS密钥权限

    有关密钥管理服务中 Amazon 使用的密钥类型的更多信息,请参阅密钥管理服务指南中的Amazon 客户 Amazon 密钥和密钥