Autorisation des connexions à Amazon Athena

Si vous devez utiliser Amazon QuickSight with Amazon Athena ou Amazon Athena Federated Query, vous devez d'abord autoriser les connexions à Athena et aux compartiments associés dans Amazon Simple Storage Service (Amazon S3). Amazon Athena est un service de requête interactif qui facilite l'analyse des données dans Amazon S3 à l'aide du langage SQL standard. Athena Federated Query permet d'accéder à davantage de types de données en utilisant. AWS LambdaÀ l'aide d'une connexion depuis QuickSight vers Athena, vous pouvez écrire des requêtes SQL pour interroger des données stockées dans des sources de données relationnelles, non relationnelles, d'objets et personnalisées. Pour plus d'informations, consultez la rubrique Utilisation de la requête fédérée Athena dans le Guide de l'utilisateur Amazon Athena.

Prenez en compte les points suivants lors de la configuration de l'accès à Athena depuis : QuickSight

• Athena stocke les résultats des requêtes QuickSight dans un bucket. Par défaut, ce compartiment possède un nom similaire à aws-athena-query-results-AWSREGION-AWSACCOUNTID, par exemple aws-athena-query-results-us-east-2-111111111111. Par conséquent, il est important de s'assurer qu'elle QuickSight dispose des autorisations nécessaires pour accéder au bucket qu'Athena utilise actuellement.

• Si votre fichier de données est chiffré à l'aide d'une AWS KMS clé, autorisez le rôle Amazon QuickSight IAM à déchiffrer la clé. Pour ce faire, le moyen le plus simple est d'utiliser l' AWS CLI.

  AWS CLI Pour ce faire, vous pouvez exécuter l'opération d'API KMS create-grant.

  aws kms create-grant --key-id <KMS_KEY_ARN> /
  --grantee-principal <QS_ROLE_ARN> --operations Decrypt

  Le nom de ressource Amazon (ARN) du QuickSight rôle Amazon est au format arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number> et est accessible depuis la console IAM. Pour trouver l'ARN de votre clé KMS, utilisez la console S3. Accédez au compartiment qui contient votre fichier de données et choisissez l'onglet Overview (Présentation). La clé est située en regard de KMS key ID (ID de clé KMS).

• Pour les connexions Amazon Athena, Amazon S3 et Athena Query Federation, QuickSight utilise le rôle IAM suivant par défaut :

  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

  Si le n'aws-quicksight-s3-consumers-role-v0est pas présent, QuickSight utilise :

  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

• Si vous avez attribué des politiques délimitées à vos utilisateurs, vérifiez qu'elles contiennent l'autorisation lambda:InvokeFunction. Sans cette autorisation, vos utilisateurs ne peuvent pas accéder aux requêtes fédérées Athena. Pour plus d'informations sur l'attribution de politiques IAM à vos utilisateurs dans QuickSight, consultez. Configuration d'un accès granulaire aux AWS services via IAM Pour plus d'informations sur l'InvokeFunction autorisation lambda :, consultez la section Actions, ressources et clés de condition AWS Lambda dans le guide de l'utilisateur IAM.

Pour autoriser QuickSight la connexion à Athena ou aux sources de données fédérées Athena

1. (Facultatif) Si vous utilisez AWS Lake Formation Athena, vous devez également activer Lake Formation. Pour plus d’informations, consultez Autoriser les connexions via AWS Lake Formation.

2. Ouvrez le menu de votre profil en haut à droite et choisissez Gérer QuickSight. Pour ce faire, vous devez être QuickSight administrateur. Si l'option Gérer n'apparaît pas dans QuickSight le menu du profil, cela signifie que vous ne disposez pas des autorisations suffisantes.

3. Choisissez Sécurité et autorisations, Ajouter ou supprimer.

4. Choisissez la case à côté d'Amazon Athena, puis cliquez sur Suivant.

   Si elle était déjà activée, vous devrez peut-être double-cliquer dessus. Faites cela même si Amazon Athena est déjà activé, afin de pouvoir consulter les paramètres. Aucune modification n'est enregistrée tant que vous n'avez pas sélectionné Mettre à jour à la fin de cette procédure.

5. Activez les compartiments S3 auxquels vous souhaitez accéder.

6. (Facultatif) Pour activer les requêtes fédérées Athena, sélectionnez les fonctions Lambda que vous souhaitez utiliser.

   Note

   Vous ne pouvez voir les fonctions Lambda pour les catalogues Athena que dans la même région de. QuickSight

7. Pour confirmer vos modifications, choisissez Terminer.

   Pour annuler, choisissez Cancel (Annuler).

8. Pour enregistrer les modifications apportées à la sécurité et aux autorisations, choisissez Mettre à jour.

Test des paramètres d'autorisation de connexion

1. Sur la page d' QuickSight accueil, choisissez Ensembles de données, Nouveau jeu de données.

2. Choisissez la carte Athena.

3. Suivez les invites de l'écran pour créer une nouvelle source de données Athena en utilisant les ressources auxquelles vous devez vous connecter. Choisissez Valider la connexion pour tester la connexion.

4. Si la connexion est validée, cela signifie que vous avez réussi à configurer une connexion Athena ou une connexion de requête fédérée Athena.

   Si vous ne disposez pas des autorisations suffisantes pour vous connecter à un jeu de données Athena ou exécuter une requête Athena, un message d'erreur s'affiche pour vous demander de contacter un administrateur. QuickSight Cette erreur signifie qu'il faut revérifier les paramètres d'autorisation de connexion pour trouver l'anomalie.

5. Une fois la connexion établie, vous ou vos QuickSight auteurs pouvez créer des connexions aux sources de données et les partager avec d'autres QuickSight auteurs. Les auteurs peuvent ensuite créer plusieurs ensembles de données à partir des connexions, à utiliser dans des QuickSight tableaux de bord.

   Pour plus d'informations sur la résolution des problèmes liés à Athena, consultez la rubrique Problèmes de connectivité lors de l'utilisation d'Amazon Athena avec Amazon QuickSight.