在亚马逊上使用 Athena 时权限不足 QuickSight - Amazon QuickSight

重要:我们已经重新设计了 Amazon QuickSight 分析工作空间。您可能会遇到无法反映 QuickSight 控制台新外观的屏幕截图或程序化文本。我们正在更新屏幕截图和过程文本。

要查找特征或项目,请使用快速搜索栏

有关新外观 QuickSight的更多信息,请参阅在 Amazon 上引入全新的分析体验 QuickSight

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在亚马逊上使用 Athena 时权限不足 QuickSight

如果您收到错误消息提示权限不足,请尝试按照以下步骤来解决问题。

您需要管理员权限才能排查此问题。

解决权限不足错误
  1. 确保亚马逊 QuickSight 可以访问 Athena 使用的亚马逊 S3 存储桶:

    1. 为此,请选择您的个人资料名称(右上角)。选择 “管理”QuickSight,然后选择 “安全和权限”

    2. 选择 Add or remove (添加或删除)

    3. 在列表中找到 Athena。清除 Athena 旁边的复选框,然后再次选中以启用 Athena。

      选择连接两者

    4. 选择您要从 Amazon QuickSight 访问的存储桶。

      您在此处访问的 S3 存储桶的设置与您通过从 AWS 服务 列表中选择 Amazon S3 访问的设置相同。请注意,避免无意中禁用其他人使用的存储桶。

    5. 选择 Select (选择) 以保存 S3 存储桶。

    6. 选择 “更新” 以保存您的新设置以供亚马逊 QuickSight 访问AWS 服务。您也可以选择取消,不进行任何更改就退出。

  2. 如果您的数据文件使用AWS KMS密钥加密,请 QuickSight 向 Amazon IAM 角色授予解密密钥的权限。执行该操作的最简单方法是使用 AWS CLI。

    您可以在 中运行 create-grantAWS CLI 命令来执行此操作。

    aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal <Your Amazon QuickSight Role ARN> --operations Decrypt

    亚马逊 QuickSight 角色的亚马逊资源名称 (ARN) 的格式为arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>,可以从 IAM 控制台进行访问。要查找您的 AWS KMS 密钥 ARN,请使用 S3 控制台。转到包含数据文件的存储桶,然后选择概述选项卡。密钥位于 KMS 密钥 ID 旁边。

对于亚马逊 Athena、Amazon S3 和 Athena Query Federation 连接 QuickSight ,默认使用以下 IAM 角色:

arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

如果aws-quicksight-s3-consumers-role-v0不存在,则 QuickSight 使用:

arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0