Autorisieren von Verbindungen zu Amazon Athena

Wenn Sie Amazon QuickSight mit Amazon Athena oder Amazon Athena Federated Query verwenden müssen, müssen Sie zunächst Verbindungen zu Athena und den zugehörigen Buckets in Amazon Simple Storage Service (Amazon S3) autorisieren. Amazon Athena ist ein interaktiver Abfrageservice, der es einfach macht, Daten mithilfe von Standard SQL direkt in Amazon S3 zu analysieren. Athena Federated Query bietet Zugriff auf mehr Datentypen mithilfe von. AWS Lambda Mithilfe einer Verbindung von QuickSight zu Athena können Sie SQL Abfragen schreiben, um Daten abzufragen, die in relationalen, nicht-relationalen, Objekt- und benutzerdefinierten Datenquellen gespeichert sind. Weitere Informationen finden Sie unter Verwenden der Athena-Verbundabfrage im Benutzerhandbuch von Amazon Athena.

Beachten Sie die folgenden Überlegungen, wenn Sie den Zugriff auf Athena von QuickSight einrichten:

• Athena speichert Abfrageergebnisse QuickSight in einem Bucket. Standardmäßig hat dieser Bucket einen ähnlichen Namen wie aws-athena-query-results-AWSREGION-AWSACCOUNTID, z. B. aws-athena-query-results-us-east-2-111111111111. Daher ist es wichtig, sicherzustellen, dass Sie QuickSight über Berechtigungen für den Zugriff auf den Bucket verfügen, den Athena derzeit verwendet.

• Wenn Ihre Datendatei mit einem AWS KMS Schlüssel verschlüsselt ist, erteilen Sie der QuickSight IAM Amazon-Rolle die Erlaubnis, den Schlüssel zu entschlüsseln. Am einfachsten lässt sich das über die AWS CLI durchführen.

  Zu diesem Zweck können Sie den API Vorgang KMS create-grant in AWS CLI ausführen.

  aws kms create-grant --key-id <KMS_KEY_ARN> /
  --grantee-principal <QS_ROLE_ARN> --operations Decrypt

  Der Amazon-Ressourcenname (ARN) für die QuickSight Amazon-Rolle hat das Format arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> und kann von der IAM Konsole aus aufgerufen werden. Verwenden Sie die S3-KonsoleARN, um Ihren KMS Schlüssel zu finden. Navigieren Sie zum Bucket mit der Datendatei und öffnen Sie die Registerkarte Overview (Übersicht). Der Schlüssel befindet sich in der Nähe der KMSSchlüssel-ID.

• QuickSight Verwendet für Amazon Athena-, Amazon S3- und Athena Query Federation-Verbindungen standardmäßig die folgende IAM Rolle:

  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

  Wenn der nicht vorhanden aws-quicksight-s3-consumers-role-v0 ist, verwendet er: QuickSight

  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

• Wenn Sie Ihren Benutzern Richtlinien mit eingeschränktem Umfang zugewiesen haben, überprüfen Sie, ob die Richtlinien die Berechtigung lambda:InvokeFunction enthalten. Ohne diese Berechtigung können Ihre Benutzer nicht auf Amazon-Athena-Verbundabfragen zugreifen. Weitere Informationen zum Zuweisen von IAM Richtlinien zu Ihren Benutzern finden Sie QuickSight unterGranularer Zugriff auf AWS Dienste einrichten über IAM. Weitere Informationen zur Lambda: InvokeFunction -Berechtigung finden Sie AWS Lambda im IAMBenutzerhandbuch unter Aktionen, Ressourcen und Bedingungsschlüssel für.

So autorisieren Sie die Verbindung QuickSight zu föderierten Datenquellen von Athena oder Athena

1. (Optional) Wenn Sie es AWS Lake Formation mit Athena verwenden, müssen Sie auch Lake Formation aktivieren. Weitere Informationen finden Sie unter Autorisieren von Verbindungen über AWS Lake Formation.

2. Öffnen Sie Ihr Profilmenü oben rechts und wählen Sie Verwalten QuickSight. Sie müssen ein QuickSight Administrator sein, um dies zu tun. Wenn im Profilmenü die Option Verwalten nicht QuickSight angezeigt wird, verfügen Sie nicht über ausreichende Berechtigungen.

3. Wählen Sie Sicherheit & Berechtigungen, Hinzufügen oder Entfernen aus.

4. Wählen Sie das Feld neben Amazon Athena, Weiter.

   Wenn es bereits aktiviert war, müssen Sie möglicherweise darauf doppelklicken. Tun Sie dies auch dann, wenn Amazon Athena bereits aktiviert ist, damit Sie die Einstellungen einsehen können. Es werden keine Änderungen gespeichert, bis Sie am Ende dieses Vorgangs auf Aktualisieren klicken.

5. Aktivieren Sie die S3-Buckets, auf die Sie zugreifen möchten.

6. (Optional) Um Athena-Verbundabfragen zu aktivieren, wählen Sie die Lambda-Funktionen aus, die Sie verwenden möchten.

   Anmerkung

   Sie können nur Lambda-Funktionen für die Athena-Kataloge in derselben Region von sehen. QuickSight

7. Wählen Sie Fertigstellen, um Ihre Änderungen zu speichern.

   Wenn Sie den Vorgang abbrechen möchten, klicken Sie auf Cancel (Abbrechen).

8. Um die Änderungen an Sicherheit und Berechtigungen zu speichern, wählen Sie Aktualisieren.

So testen Sie die Einstellungen für die Verbindungsautorisierung

1. Wählen QuickSight Sie auf der Startseite Datensätze, Neuer Datensatz aus.

2. Wählen Sie die Athene-Karte aus.

3. Folgen Sie den Bildschirmanweisungen, um eine neue Athena-Datenquelle mit den Ressourcen zu erstellen, mit denen Sie eine Verbindung herstellen möchten. Wählen Sie zum Testen der Verbindung die Option Verbindung validieren aus.

4. Wenn die Verbindung validiert wird, haben Sie erfolgreich eine Athena- oder Athena-Verbundabfrage-Verbindung konfiguriert.

   Wenn Sie nicht über ausreichende Berechtigungen verfügen, um eine Verbindung zu einem Athena-Datensatz herzustellen oder eine Athena-Abfrage auszuführen, wird eine Fehlermeldung angezeigt, in der Sie aufgefordert werden, sich an einen Administrator zu wenden. QuickSight Dieser Fehler bedeutet, dass Sie Ihre Verbindungsautorisierungseinstellungen erneut überprüfen müssen, um die Diskrepanz zu finden.

5. Nachdem Sie erfolgreich eine Verbindung hergestellt haben, können Sie oder Ihre QuickSight Autoren Datenquellenverbindungen erstellen und diese mit anderen Autoren teilen. QuickSight Die Autoren können dann aus den Verbindungen mehrere Datensätze erstellen, um sie in QuickSight Dashboards zu verwenden.

   Informationen zur Fehlerbehebung in Athena finden Sie unter Verbindungsprobleme bei der Verwendung von Amazon Athena mit Amazon QuickSight.