Autorización de las conexiones a Amazon Athena - Amazon QuickSight

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorización de las conexiones a Amazon Athena

Si necesitas usar Amazon QuickSight con Amazon Athena o Amazon Athena Federated Query, primero debes autorizar las conexiones a Athena y los buckets asociados en Amazon Simple Storage Service (Amazon S3). Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos directamente en Amazon S3 con SQL estándar. Athena Federated Query proporciona acceso a más tipos de datos mediante el uso de. AWS Lambda Mediante una conexión desde QuickSight a Athena, puede escribir consultas SQL para interrogar los datos almacenados en fuentes de datos relacionales, no relacionales, de objetos y personalizadas. Para obtener más información, consulte Uso de consulta federada de Amazon Athena en la Guía del usuario de Amazon Athena.

Tenga en cuenta las siguientes consideraciones al configurar el acceso a Athena desde: QuickSight

  • Athena almacena los resultados de las consultas QuickSight en un depósito. De forma predeterminada, este bucket tiene un nombre similar a aws-athena-query-results-AWSREGION-AWSACCOUNTID, por ejemplo, aws-athena-query-results-us-east-2-111111111111. Por lo tanto, es importante asegurarse de que QuickSight tiene permisos para acceder al depósito que Athena está utilizando actualmente.

  • Si el archivo de datos está cifrado con una AWS KMS clave, conceda permisos al rol de Amazon QuickSight IAM para descifrar la clave. La manera más sencilla de hacerlo es usar la AWS CLI.

    Para ello, puede ejecutar la operación de API de creación y concesión de KMS. AWS CLI 

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    El nombre de recurso de Amazon (ARN) del QuickSight rol de Amazon tiene el formato arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> y se puede acceder a él desde la consola de IAM. Para buscar el ARN de clave de KMS, utilice la consola de S3. Vaya al bucket que contiene el archivo de datos y elija la pestaña Información general. La clave se encuentra cerca del ID de clave de KMS.

  • Para las conexiones de Amazon Athena, Amazon S3 y Athena Query Federation, QuickSight utiliza la siguiente función de IAM de forma predeterminada: 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    Si no aws-quicksight-s3-consumers-role-v0 está presente, utiliza: QuickSight 

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • Si ha asignado políticas restringidas a sus usuarios, compruebe que las políticas contengan el permiso lambda:InvokeFunction. Sin este permiso, sus usuarios no pueden acceder a Athena Federated Queries. Para obtener más información sobre la asignación de políticas de IAM a sus usuarios QuickSight, consulte. Establecer un acceso granular a los AWS servicios a través de IAM Para obtener más información sobre el InvokeFunction permiso lambda:, consulte Acciones, recursos y claves de condición AWS Lambda en la Guía del usuario de IAM.

Para autorizar la conexión QuickSight a Athena o a las fuentes de datos federadas de Athena

  1. (Opcional) Si lo usas AWS Lake Formation con Athena, también necesitas activar Lake Formation. Para obtener más información, consulte Autorizar las conexiones a través de AWS Lake Formation.

  2. Abre el menú de tu perfil en la parte superior derecha y selecciona Administrar QuickSight. Para ello, debe ser QuickSight administrador. Si no ves la opción Administrar QuickSight en el menú del perfil, significa que no tienes permisos suficientes.

  3. En Seguridad y permisos, seleccione Añadir o eliminar.

  4. Elige la casilla cerca de Amazon Athena, Siguiente.

    Si ya se ha habilitado, puede que tenga que hacer doble clic en ella. Haga esto incluso si Amazon Athena ya se ha habilitado para poder ver la configuración. No se guardará ningún cambio hasta que seleccione Actualizar al final de este procedimiento.

  5. Habilite los buckets de S3 a los que desee acceder.

  6. (Opcional) Para habilitar las consultas federadas de Athena, seleccione las funciones de Lambda que desee utilizar.

    nota

    Solo puede ver las funciones Lambda de los catálogos de Athena en la misma región de. QuickSight

  7. Para guardar los cambios, elija Finalizar.

    Para cancelar, elija Cancelar.

  8. Para guardar los cambios en la seguridad y los permisos, seleccione Actualizar.

Comprobación de la configuración de autorización de conexión

  1. En la página de QuickSight inicio, elija Conjuntos de datos, Nuevo conjunto de datos.

  2. Elija la tarjeta de Athena.

  3. Siga las instrucciones de la pantalla para crear un nuevo origen de datos de Athena con los recursos a los que necesita conectarse. Elija Validar conexión para probar la conexión.

  4. Si la conexión se valida, ha configurado correctamente una conexión a Athena o Athena Federated Query.

    Si no tiene permisos suficientes para conectarse a un conjunto de datos de Athena o ejecutar una consulta de Athena, aparece un error que le indica que se ponga en contacto con un administrador. QuickSight Este error significa que debe volver a comprobar la configuración de autorización de la conexión para encontrar la discrepancia.

  5. Una vez que se haya conectado correctamente, usted o sus QuickSight autores podrán crear conexiones de fuentes de datos y compartirlas con otros QuickSight autores. A continuación, los autores pueden crear varios conjuntos de datos a partir de las conexiones para usarlos en los QuickSight paneles.

    Para obtener más información sobre Athena, consulte Problemas de conectividad al usar Amazon Athena con Amazon QuickSight.