Amazon Athena への接続の認可 - Amazon QuickSight

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Athena への接続の認可

Amazon QuickSight を Amazon Athena または Amazon Athena フェデレーティッドクエリで使用する必要がある場合は、まず Amazon Simple Storage Service (Amazon S3) の Athena および関連するバケットへの接続を承認する必要があります。Amazon Athena は、標準の を使用して Amazon S3 でデータを直接分析することを容易にするインタラクティブなクエリサービスですSQL。Athena フェデレーティッドクエリは、 を使用してより多くのタイプのデータへのアクセスを提供します AWS Lambda。から Athena QuickSight への接続を使用して、リレーショナルデータソース、非リレーショナルデータソース、オブジェクトデータソース、カスタムデータソースに保存されているデータを調査するためのSQLクエリを記述できます。詳細については、「Amazon Athena ユーザーガイド」の「Amazon Athena 横串検索の使用」を参照してください。

から Athena へのアクセスを設定するときは、次の考慮事項を確認してください QuickSight。

  • Athena は からのクエリ結果をバケット QuickSight に保存します。デフォルトでは、このバケットには aws-athena-query-results-us-east-2-111111111111 のような aws-athena-query-results-AWSREGION-AWSACCOUNTID に似た名前が付いています。したがって、Athena が現在使用しているバケットへのアクセス許可 QuickSight があることを確認することが重要です。

  • データファイルが AWS KMS キーで暗号化されている場合は、キーを復号するためのアクセス許可を Amazon QuickSight IAM ロールに付与します。そのための最も簡単な方法は、 AWS CLIを使用することです。

    で KMS create-grant APIオペレーションを実行して AWS CLI これを行うことができます。

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Amazon QuickSight ロールの Amazon リソースネーム (ARN) には 形式arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>があり、IAMコンソールからアクセスできます。KMS キー を検索するにはARN、S3 コンソールを使用します。データファイルが格納されているバケットに移動し、[Overview (概要)] タブを選択します。キーはKMSキー ID の近くにあります。

  • Amazon Athena 、Amazon S3、および Athena クエリフェデレーション接続の場合、 はデフォルトで次のIAMロール QuickSight を使用します。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    が存在しない場合、 aws-quicksight-s3-consumers-role-v0は以下 QuickSight を使用します。

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • ユーザーにスコープダウンポリシーを割り当てた場合は、ポリシーにlambda:InvokeFunctionアクセス許可。この権限がないと、ユーザーは Athena フェデレーションクエリにアクセスできません。でユーザーにIAMポリシーを割り当てる方法の詳細については QuickSight、「」を参照してくださいによる AWS サービスへのきめ細かなアクセスの設定 IAM。lambda:InvokeFunction permission の詳細については、 ユーザーガイドの「 のアクション、リソース、および条件キー AWS Lambda」を参照してください。 IAM

Athena または Athena フェデレーティッドデータソースへの接続 QuickSight を許可するには

  1. (オプション) Athena AWS Lake Formation で を使用している場合は、Lake Formation も有効にする必要があります。詳細については、「を介した接続の認可 AWS Lake Formation」を参照してください。

  2. 右上のプロファイルメニューを開き、 の管理 QuickSightを選択します。これを行うには、 QuickSight 管理者である必要があります。プロファイルメニューで管理 QuickSightが表示されない場合は、十分なアクセス許可がありません。

  3. [Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。

  4. Amazon Athena の近くのボックスで、[Next (次へ)] を選択します。

    既に有効になっている場合は、ダブルクリックする必要があります。Amazon Athena がすでに有効になっている場合でもこれを実行し、設定を表示できるようにしてください。この手順の最後にある [Update (更新)] を選択するまで、変更は保存されません。

  5. アクセスする S3 バケットを有効にします。

  6. (オプション) Athena 横串検索を有効にするには、使用する Lambda 関数を選択します。

    注記

    Athena カタログの Lambda 関数は、 の同じリージョンでのみ表示できます QuickSight。

  7. [Finish (完了)] を選択し、変更を保存します。

    キャンセルするには、[Cancel (キャンセル)] を選択します。

  8. セキュリティおよびアクセス許可の変更を保存するには、[Update (更新)] を選択します。

接続認可設定をテストするには

  1. QuickSight 開始ページから、データセット 新しいデータセット を選択します。

  2. Athena カードを選択する。

  3. 画面のプロンプトに従って、接続する必要のあるリソースを使用して新しい Athena データソースを作成します。[Validate connection (接続を検証)] を選択して、接続を検証します。

  4. 接続が検証されると、Athena または Athena 横串検索の接続が設定されます。

    Athena データセットに接続したり、Athena クエリを実行したりするのに十分なアクセス許可がない場合は、 QuickSight 管理者に連絡するように指示するエラーが表示されます。このエラーは、不一致を見つけるために、接続認可設定を再確認する必要があることを意味します。

  5. 正常に接続できたら、ユーザーまたは QuickSight 作成者はデータソース接続を作成し、他の QuickSight 作成者と共有できます。その後、作成者は接続から複数のデータセットを作成して、 QuickSight ダッシュボードで使用できます。

    Athena のトラブルシューティングの詳細については、「Amazon Athena を Amazon で使用する際の接続の問題 QuickSight」を参照してください。