Autorizar conexiones a través deAWS Lake Formation - Amazon QuickSight

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorizar conexiones a través deAWS Lake Formation

 Se aplica a: Enterprise Edition 
   Público objetivo: Administradores de sistemas 

Si estás consultando datos conAmazon Athena, puedes utilizarlosAWS Lake Formation para simplificar la forma en que proteges tus datos y te conectas a ellos desde Amazon QuickSight. Lake Formation se suma al modelo de permisosAWS Identity and Access Management (IAM) al proporcionar su propio modelo de permisos que se aplica a los servicios deAWS análisis y aprendizaje automático. Este modelo de permisos definido de forma centralizada controla el acceso a los datos de forma granular mediante un sencillo mecanismo de concesión y revocación. Puede usar Lake Formation en lugar de, o además, de las políticas de alcance reducido de IAM.

Al configurar Lake Formation, registra sus fuentes de datos para que pueda mover los datos a un nuevo lago de datos en Amazon S3. Tanto Lake Formation como Athena funcionan a la perfecciónAWS Glue Data Catalog, lo que facilita su uso conjunto. Las bases de datos y tablas de Athena son contenedores de metadatos. Estos contenedores describen el esquema subyacente de los datos, las instrucciones del lenguaje de definición de datos (DDL) y la ubicación de los datos en Amazon S3.

En el siguiente diagrama se muestran las relaciones de losAWS servicios involucrados.

Una vez configurado Lake Formation, puede usar Amazon QuickSight para acceder a bases de datos y tablas por nombre o mediante consultas SQL. Amazon QuickSight ofrece un editor con todas las funciones en el que puede escribir consultas SQL. También puede utilizar la consola de Athena, elAWS CLI, o su editor de consultas favorito. Para obtener más información, consulte Acceso a Athena en la Guía del usuario de Amazon Athena.

Habilitar la conexión desde Lake Formation

Antes de empezar a utilizar esta solución con Amazon QuickSight, asegúrese de poder acceder a sus datos mediante Athena con Lake Formation. Tras comprobar que la conexión funciona a través de Athena, solo debes comprobar que Amazon QuickSight puede conectarse a Athena. Esto significa que no tiene que solucionar problemas de conexión a través de los tres productos a la vez. Una forma sencilla de probar la conexión es utilizar la consola de consultas de Athena para ejecutar un comando SQL simple, por ejemploSELECT 1 FROM table.

Para configurar Lake Formation, la persona o el equipo que trabaja en ella necesita acceso para crear un nuevo rol de IAM y acceder a Lake Formation. También necesitan la información que se muestra en la siguiente lista. Para obtener más información, consulte Configuración de la formación de lagos en la Guía paraAWS Lake Formation desarrolladores de.

  • Recopile los nombres de recursos de Amazon (ARN) de los QuickSight usuarios y grupos de Amazon que necesitan acceder a los datos de Lake Formation. Estos usuarios deben ser QuickSight autores o administradores de Amazon.

    Para encontrar los ARN QuickSight de usuarios y grupos de Amazon

    1. Utilice laAWS CLI para buscar los ARN de los usuarios de QuickSight los autores y administradores de Amazon. Para ello, ejecute el siguientelist-users comando en su terminal (Linux o Mac) o en la línea de comandos (Windows).

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      La respuesta devuelve información de cada usuario. El nombre de recurso de Amazon (ARN) se muestra en negrita en el ejemplo siguiente.

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468 Status: 200 UserList: - Active: true Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar Email: SaanviSarkar@example.com PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA Role: ADMIN UserName: SaanviSarkar

      Para evitar el uso deAWS CLI, puede crear los ARN para cada usuario de forma manual.

    2. (Opcional) UtiliceAWS CLI para buscar los ARN de QuickSight los grupos de Amazon ejecutando el siguientelist-group comando en su terminal (Linux o Mac) o en la línea de comandos (Windows).

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      La respuesta devuelve información de cada grupo. En el ejemplo siguiente, el ARN aparece en negrita.

      GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard Description: Data Lake for CXO Balanced Scorecard GroupName: DataLake-Scorecard PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db RequestId: c1000198-18fa-4277-a1e2-02163288caf6 Status: 200

      Si no tiene ningún QuickSight grupo de Amazon, añada un grupo mediante el comandoAWS CLI para ejecutar elcreate-group comando. Actualmente no hay ninguna opción para hacerlo desde la QuickSight consola de Amazon. Para obtener más información, consulte Crear y administrar grupos en Amazon QuickSight.

      Para evitar el uso deAWS CLI, puede construir los ARN para cada grupo de forma manual.

Habilitar la conexión desde Amazon QuickSight

Para trabajar con Lake Formation y Athena, asegúrate de tener los permisos deAWS recursos configurados en Amazon QuickSight:

  • Habilite el acceso a Amazon Athena.

  • Habilite el acceso a los cubos correctos en Amazon S3. Por lo general, el acceso a S3 está habilitado al habilitar Athena. Sin embargo, dado que puede cambiar los permisos de S3 fuera de ese proceso, es una buena idea verificarlos por separado.

Para obtener información sobre cómo verificar o cambiar los permisosAWS de los recursos en Amazon QuickSight, consultePermitir la detección automática deAWS recursos yAcceso a orígenes de datos.