No puedo conectarme a Amazon Athena - Amazon QuickSight
Asegúrate de haber autorizado a Amazon QuickSight a usar AthenaAsegúrese de que sus políticas de IAM conceden los permisos correctos.Asegúrese de que el usuario de IAM tiene acceso de lectura/escritura a su ubicación de S3.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

No puedo conectarme a Amazon Athena

   Público objetivo: QuickSight administradores de Amazon 

Utilice esta sección para solucionar problemas de conexión a Athena.

Si no puede conectarse a Amazon Athena, es posible que obtenga un error de permisos insuficientes al ejecutar una consulta, lo que indica que los permisos no están configurados. Para comprobar que puedes conectar Amazon QuickSight a Athena, comprueba los siguientes ajustes:

  • AWSpermisos de recursos dentro de Amazon QuickSight

  • Políticas de AWS Identity and Access Management (IAM)

  • Ubicación de Amazon S3

  • Ubicación de los resultados de consulta

  • Política de claves de AWS KMS (solo para conjuntos de datos cifrados)

Para más detalles, consulte seguidamente. Para información sobre la solución de otros problemas de Athena, consulte Problemas de conectividad al usar Amazon Athena con Amazon QuickSight.

Asegúrate de haber autorizado a Amazon QuickSight a usar Athena

   Público objetivo: QuickSight administradores de Amazon 

Usa el siguiente procedimiento para asegurarte de que has autorizado correctamente QuickSight a Amazon a usar Athena. Los permisos de AWS los recursos se aplican a todos los QuickSight usuarios de Amazon.

Para realizar esta acción, debes ser QuickSight administrador de Amazon. Para comprobar si tiene acceso, compruebe que ve la QuickSight opción Administrar al abrir el menú de su perfil en la parte superior derecha.

Para autorizar a Amazon QuickSight a acceder a Athena

  1. Elija su nombre de perfil (arriba a la derecha). Selecciona Administrar y QuickSight, a continuación, selecciona Seguridad y permisos.

  2. En QuickSight Acceso a Servicios de AWS, selecciona Añadir o eliminar.

  3. Busque Athena en la lista. Desactive la casilla junto a Athena y vuelva a seleccionarla para habilitar Athena.

    A continuación, elija Conectar ambos.

  4. Elige los cubos a los que quieres acceder desde Amazon QuickSight.

    Los ajustes para los buckets de S3 a los que accede aquí son los mismos a los que accede eligiendo Amazon S3 de la lista de Servicios de AWS. Tenga cuidado de no desactivar inadvertidamente un bucket que utilice otra persona.

  5. Elija Terminar para confirmar su selección. O bien, elija Cancelar para salir sin guardar.

  6. Selecciona Actualizar para guardar la nueva configuración y poder QuickSight acceder a ella por AmazonServicios de AWS. O bien, elija Cancelar para salir sin realizar ningún cambio.

  7. Cuando termine, asegúrese de que utiliza la Región de AWS correcta.

    Si tuvo que cambiar su Región de AWS como parte del primer paso de este proceso, vuelva a cambiarla a la Región de AWS que estaba utilizando antes.

Asegúrese de que sus políticas de IAM conceden los permisos correctos.

   Público al que va dirigido: administradores de sistemas 

Las políticas de AWS Identity and Access Management (IAM) deben conceder permisos a acciones específicas. Su usuario o rol de IAM debe poder leer y escribir tanto la entrada como la salida de los buckets de S3 que Athena utiliza para su consulta.

Si el conjunto de datos está cifrado, el usuario de IAM debe ser un usuario clave en la política de la clave de AWS KMS especificada.

Para comprobar que las políticas de IAM tienen permiso para utilizar buckets de S3 para su consulta

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Localice el usuario o rol de IAM que utiliza. Elija el nombre de usuario o rol para ver las políticas asociadas.

  3. Verifique que su política tenga los permisos correctos. Elija una política que quiera verificar y, a continuación, seleccione Editar política. Utilice el editor visual, que se abre de forma predeterminada. Si tiene abierto el editor de JSON, elija la pestaña Editor visual.

  4. Elija la entrada de S3 en la lista para ver su contenido. La política debe conceder permisos para enumerar, leer y escribir. Si S3 no está en la lista o no tiene los permisos correctos, puede añadirlos aquí.

Para ver ejemplos de políticas de IAM que funcionan con Amazon QuickSight, consulteEjemplos de políticas de IAM para Amazon QuickSight.

Asegúrese de que el usuario de IAM tiene acceso de lectura/escritura a su ubicación de S3.

   Público objetivo: QuickSight administradores de Amazon 

Para acceder a los datos de Athena desde Amazon QuickSight, primero asegúrate de que Athena y su ubicación en S3 estén autorizados en la pantalla Administrar. QuickSight Para obtener más información, consulte Asegúrate de haber autorizado a Amazon QuickSight a usar Athena.

A continuación, verifique los permisos de IAM pertinentes. El usuario de IAM para su conexión Athena necesita acceso de lectura/escritura a la ubicación donde van sus resultados en S3. Comience por verificar que el usuario de IAM tiene una política adjunta que permite el acceso a Athena, como AmazonAthenaFullAccess. Deje que Athena cree el depósito con el nombre que necesite y, a continuación, añada este depósito a la lista de depósitos a los que QuickSight puede acceder. Si cambia la ubicación predeterminada del bucket de resultados (aws-athena-query-results-*), asegúrese de que el usuario de IAM tiene permiso para leer y escribir en la nueva ubicación.

Compruebe que no incluye el código de Región de AWS en la URL de S3. Por ejemplo, use s3://awsexamplebucket/path y no s3://us-east-1.amazonaws.com/awsexamplebucket/path. El uso de una URL de S3 incorrecta provoca un error Access Denied.

Compruebe también que las políticas de bucket y las listas de control de acceso (ACL) a objetos permiten al usuario de IAM acceder a los objetos de los buckets. Si el usuario de IAM se encuentra en una Cuenta de AWS diferente, consulte Acceso entre cuentas en la Guía del usuario de Amazon Athena.

Si el conjunto de datos está cifrado, compruebe que el usuario de IAM es un usuario clave en la política de clave de AWS KMS especificada. Puede hacerlo en la consola de AWS KMS en https://console.aws.amazon.com/kms.

Establecimiento de permisos en la ubicación de los resultados de consulta de Athena

  1. Abra la consola de Athena en https://console.aws.amazon.com/athena/.

  2. Compruebe que seleccionó el grupo de trabajo que quiere utilizar:

    • Examine la opción Grupo de trabajo en la parte superior. Tiene el formato Grupo de trabajo: nombre-grupo. Si el nombre del grupo es el que quiere utilizar, vaya al paso siguiente.

    • Para elegir un grupo de trabajo diferente, seleccione Grupo de trabajo en la parte superior. Elija el grupo de trabajo que quiere utilizar y seleccione Cambiar grupo de trabajo.

  3. Elija Configuración en la parte superior derecha.

    (No es común) Si obtiene un error que indica que no se encuentra su grupo de trabajo, siga estos pasos para solucionarlo:

    1. Ignore el mensaje de error por ahora y busque Grupo de trabajo: nombre-del-grupo en la página Configuración. El nombre del grupo de trabajo es un hipervínculo. Ábralo.

    2. En la página Grupo de trabajo: <nombregrupo> seleccione Editar grupo de trabajo a la izquierda. Ahora cierre el mensaje de error.

    3. Cerca de Ubicación del resultado de la consulta, abra el selector de ubicación de S3 mediante el botón Seleccionar que tiene el icono de carpeta de archivos.

    4. Seleccione la flecha pequeña al final del nombre de la ubicación de S3 para Athena. El nombre debe empezar por aws-athena-query-results.

    5. (Opcional) Cifre los resultados de la consulta seleccionando la casilla Cifrar los resultados almacenados en S3.

    6. Seleccione Guardar para confirmar sus opciones.

    7. Si el error no vuelve a aparecer, vuelva a Configuración.

      De vez en cuando, el error puede volver a aparecer. Si es así, siga estos pasos:

      1. Seleccione el grupo de trabajo y, a continuación, Ver detalles.

      2. (Opcional) Para conservar la configuración, tome notas o una captura de pantalla de la configuración del grupo de trabajo.

      3. Elija Crear grupo de trabajo.

      4. Reemplace el grupo de trabajo por uno nuevo. Configure la ubicación de S3 y las opciones de cifrado correctas. Anote la ubicación de S3 porque la necesitará más adelante.

      5. Elija Guardar para continuar.

      6. Cuando ya no necesite el grupo de trabajo original, desactívelo. Asegúrese de leer atentamente la advertencia que aparece, porque le indica lo que pierde si decide desactivarlo.

  4. Si no lo obtuvo al solucionar el problema en el paso anterior, elija Configuración en la parte superior derecha y obtenga el valor de la ubicación de S3 que se muestra como Ubicación de los resultados de la consulta.

  5. Si Cifrar resultados de consulta está activado, compruebe si utiliza SSE-KMS o CSE-KMS. Anote la clave.

  6. Abra la consola de S3 en https://console.aws.amazon.com/s3/, abra el bucket correcto y elija la pestaña Permisos.

  7. Compruebe que el usuario de IAM tiene acceso mediante la Política de bucket.

    Si administra el acceso con ACL, asegúrese de que las listas de control de acceso (ACL) están configuradas consultando Lista de control de acceso.

  8. Si el conjunto de datos está cifrado (la opción Cifrar resultados de consulta se selecciona en la configuración del grupo de trabajo), asegúrese de que el usuario o rol de IAM se agrega como usuario clave en la política de esa clave de AWS KMS. Puede acceder a la configuración de AWS KMS en https://console.aws.amazon.com/kms.

Concesión de acceso al bucket de S3 utilizado por Athena

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Elija el bucket de S3 que utiliza Athena en la ubicación del resultado de la consulta.

  3. En la pestaña Permisos, verifique los permisos.

Para más información, consulte el artículo de AWS Support ¿Por qué aparece el error “Acceso denegado” cuando ejecuto una consulta en Amazon Athena?.