Não consigo me conectar ao Amazon Athena - Amazon QuickSight

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Não consigo me conectar ao Amazon Athena

   Público-alvo: QuickSight administradores da Amazon 

Use esta seção para ajudar com a solução de problemas de conexão com o Athena.

Se não conseguir se conectar ao Amazon Athena, você poderá receber um erro de permissões insuficientes ao executar uma consulta, mostrando que as permissões não estão configuradas. Para verificar se você pode conectar QuickSight a Amazon ao Athena, verifique as seguintes configurações:

  • AWS permissões de recursos dentro da Amazon QuickSight

  • AWS Identity and Access Management (IAM) políticas

  • Local do Amazon S3

  • Localização dos resultados de consulta

  • AWS KMS política de chaves (somente para conjuntos de dados criptografados)

Para detalhes, veja o seguinte. Para obter informações sobre como solucionar outros problemas do Athena, consulte Problemas de conectividade ao usar o Amazon Athena com a Amazon QuickSight.

Certifique-se de que você autorizou a Amazon QuickSight a usar o Athena

   Público-alvo: QuickSight administradores da Amazon 

Use o procedimento a seguir para garantir que você autorizou com sucesso QuickSight a Amazon a usar o Athena. As permissões para AWS recursos se aplicam a todos os QuickSight usuários da Amazon.

Para realizar essa ação, você deve ser um QuickSight administrador da Amazon. Para verificar se você tem acesso, verifique se você vê a QuickSight opção Gerenciar ao abrir o menu do seu perfil no canto superior direito.

Para autorizar a Amazon a QuickSight acessar o Athena
  1. Escolha o nome do seu perfil (no canto superior direito). Escolha Gerenciar e QuickSight, em seguida, escolha Segurança e permissões.

  2. Em QuickSight Acesso a Serviços da AWS, escolha Adicionar ou remover.

  3. Encontre o Athena na lista. Desmarque a caixa correspondente ao Athena e, em seguida, selecione-a novamente para habilitá-lo.

    Depois, escolha Connect both (Conectar ambos).

  4. Escolha os buckets que você deseja acessar da Amazon QuickSight.

    As configurações dos buckets S3 que você acessa aqui são as mesmas que você acessa escolhendo Amazon S3 na lista de. Serviços da AWS Tenha cuidado para não desabilitar acidentalmente um bucket usado por outra pessoa.

  5. Escolha Concluir para confirmar sua seleção. Como alternativa, escolha Cancelar para sair sem salvar.

  6. Escolha Atualizar para salvar suas novas configurações para QuickSight acesso à Amazon Serviços da AWS. Como alternativa, escolha Cancelar para sair sem fazer alterações.

  7. Certifique-se de estar usando o correto Região da AWS ao terminar.

    Se você precisou alterar o seu Região da AWS como parte da primeira etapa desse processo, altere-o novamente para o Região da AWS que estava usando antes.

Certifique-se de que suas IAM políticas concedam as permissões corretas

   Público-alvo: administradores de sistemas 

Suas políticas AWS Identity and Access Management (IAM) devem conceder permissões para ações específicas. Seu IAM usuário ou função deve ser capaz de ler e gravar tanto a entrada quanto a saída dos buckets do S3 que o Athena usa para sua consulta.

Se o conjunto de dados for criptografado, o IAM usuário precisará ser um usuário-chave na política da AWS KMS chave especificada.

Para verificar se suas IAM políticas têm permissão para usar buckets do S3 para sua consulta
  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Localize o IAM usuário ou a função que você está usando. Escolha o nome do usuário ou da função para ver as políticas associadas.

  3. Verifique se a política tem as permissões adequadas. Escolha uma política que você deseja verificar e, em seguida, selecione Editar política. Use o editor visual, que é aberto por padrão. Se você tiver o JSON editor aberto em vez disso, escolha a guia Editor visual.

  4. Escolha a entrada do S3 na lista para ver o conteúdo. A política precisa conceder permissões para indicar, ler e gravar. Se o S3 não estiver na lista ou não tiver as permissões corretas, é possível adicioná-las aqui.

Para exemplos de IAM políticas que funcionam com a Amazon QuickSight, consulteIAMexemplos de políticas para a Amazon QuickSight.

Certifique-se de que o IAM usuário tenha acesso de leitura/gravação à sua localização do S3

   Público-alvo: QuickSight administradores da Amazon 

Para acessar os dados do Athena da Amazon QuickSight, primeiro certifique-se de que o Athena e sua localização no S3 estejam autorizados na tela Gerenciar. QuickSight Para ter mais informações, consulte Certifique-se de que você autorizou a Amazon QuickSight a usar o Athena.

Em seguida, verifique as IAM permissões relevantes. O IAM usuário da sua conexão com o Athena precisa de acesso de leitura/gravação ao local para onde seus resultados vão no S3. Comece verificando se o IAM usuário tem uma política anexada que permite acesso ao Athena, como. AmazonAthenaFullAccess Deixe o Athena criar o bucket usando o nome que ele exige e, em seguida, adicione esse bucket à lista de buckets que QuickSight podem ser acessados. Se você alterar o local padrão do bucket de resultados (aws-athena-query-results-*), certifique-se de que o IAM usuário tenha permissão para ler e gravar no novo local.

Verifique se você não incluiu o Região da AWS código no S3URL. Por exemplo, use s3://awsexamplebucket/path em vez de usar s3://us-east-1.amazonaws.com/awsexamplebucket/path. Usar o S3 errado URL causa um Access Denied erro.

Verifique também se as políticas do bucket e as listas de controle de acesso a objetos (ACLs) permitem que o IAM usuário acesse os objetos nos buckets. Se o IAM usuário estiver em um local diferente Conta da AWS, consulte Acesso entre contas no Guia do usuário do Amazon Athena.

Se o conjunto de dados estiver criptografado, verifique se o IAM usuário é um usuário-chave na política da AWS KMS chave especificada. Você pode fazer isso no AWS KMS console em https://console.aws.amazon.com/kms.

Definir permissões para o local dos resultados da consulta do Athena
  1. Abra o console do Athena em https://console.aws.amazon.com/athena/.

  2. Verifique se você selecionou o grupo de trabalho que deseja usar:

    • Examine a opção Grupo de trabalho na parte superior. Tem o formato Grupo de trabalho: group-name. Se o nome do grupo for o que você deseja usar, vá para a próxima etapa.

    • Para escolher um grupo de trabalho diferente, selecione Grupo de trabalho na parte superior. Escolha o grupo de trabalho que deseja usar e clique em Alternar grupo de trabalho.

  3. Escolha Configurações no canto superior direito.

    (Não é comum) Se você receber um erro informando que o grupo de trabalho não foi encontrado, siga estas etapas para corrigi-lo:

    1. Ignore a mensagem de erro por enquanto e, em vez disso, encontre o Grupo de trabalho: group-namena página Configurações. O nome do seu grupo de trabalho é um hiperlink. Abra-o.

    2. No grupo de trabalho: <groupname>página, escolha Editar grupo de trabalho à esquerda. Em seguida, feche a mensagem de erro.

    3. Próximo ao Local do resultado da consulta, abra o seletor de local do S3 ao clicar no botão Selecionar que tem o ícone da pasta de arquivos.

    4. Escolha a pequena seta no final do nome do local do S3 para o Athena. O nome deve começar com aws-athena-query-results.

    5. (Opcional) Criptografe os resultados da consulta ao selecionar a caixa de seleção Criptografar os resultados armazenados no S3.

    6. Escolha Salvar para confirmar suas escolhas.

    7. Se o erro não reaparecer, retorne para Configurações.

      Ocasionalmente, o erro pode aparecer novamente. Nesse caso, execute as seguintes etapas:

      1. Escolha o grupo de trabalho e, em seguida, selecione Visualizar detalhes.

      2. (Opcional) Para preservar suas configurações, faça anotações ou faça uma captura de tela da configuração do grupo de trabalho.

      3. Escolha Create workgroup (Criar grupo de trabalho).

      4. Substitua o grupo de trabalho por um novo. Configure o local do S3 e as opções de criptografia adequados. Anote o local do S3 porque você precisará dele posteriormente.

      5. Escolha Salvar para continuar.

      6. Quando você não precisar mais do grupo de trabalho original, desative-o. Certifique-se de ler atentamente o aviso que aparecerá, pois ele informará o que você perderá se optar por desativá-lo.

  4. Se você não conseguiu isso com a solução de problemas apresentada na etapa anterior, escolha Configurações no canto superior direito e obtenha o valor do local do S3 mostrado como Local do resultado da consulta.

  5. Se a opção Criptografar resultados da consulta estiver ativada, verifique se ela usa SSE - KMS ou CSE -KMS. Anote a chave.

  6. Abra o console do S3 em https://console.aws.amazon.com/s3/, abra o bucket correto e escolha a guia Permissões.

  7. Verifique se seu IAM usuário tem acesso visualizando a Política do Bucket.

    Se você gerenciar o acesso comACLs, verifique se as listas de controle de acesso (ACLs) estão configuradas visualizando a Lista de Controle de Acesso.

  8. Se seu conjunto de dados estiver criptografado (a opção Criptografar resultados da consulta está selecionada nas configurações do grupo de trabalho), certifique-se de que o IAM usuário ou a função seja adicionado como usuário-chave na política dessa AWS KMS chave. Você pode acessar AWS KMS as configurações em https://console.aws.amazon.com/kms.

Conceder acesso ao bucket do S3 usado pelo Athena
  1. Abra o console do Amazon S3 em. https://console.aws.amazon.com/s3/

  2. Escolha o bucket do S3 usado pelo Athena no Local do resultado da consulta.

  3. Na guia Permissions (Permissões), verifique as permissões.

Para obter mais informações, consulte o artigo do AWS Support Quando executo uma consulta do Athena, recebo o erro “Acesso negado”.