授權連線到 Amazon Athena - Amazon QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權連線到 Amazon Athena

如果您需要將 Amazon QuickSight 與 Amazon Athena 或 Amazon Athena 聯合查詢搭配使用,則首先需要授權與 Athena 和亞馬遜簡單儲存服務 (Amazon S3) 中關聯儲存貯體的連線。Amazon Athena 是一種互動式查詢服務,可讓您使用標準 SQL 直接輕鬆分析 Amazon S3 中的資料。Athena 聯合查詢可透過使用存取更多類型的資料 AWS Lambda。使用與 Athena 的 QuickSight 連線,您可以撰寫 SQL 查詢來查詢儲存在關聯式、非關聯式、物件和自訂資料來源中的資料。如需詳細資訊,請參閱《Amazon Athena 使用者指南》中的使用 Athena 聯合查詢

在設定 Athena 的存取權時,請檢閱下列考量事項 QuickSight:

  • Athena 會將查詢結果儲存 QuickSight 在值區中。依預設,此儲存貯體的名稱會類似 aws-athena-query-results-AWSREGION-AWSACCOUNTID,例如 aws-athena-query-results-us-east-2-111111111111。因此,請務必確定 QuickSight 具有存取 Athena 目前正在使用的值區的權限。

  • 如果您的資料檔案使用 AWS KMS 金鑰加密,請授與 Amazon QuickSight IAM 角色的許可以解密金鑰。執行此動作最簡單的方法是使用 AWS CLI。

    您可以在中執行 KMS 建立授權 API 作業 AWS CLI 來執行此作業。

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Amazon QuickSight 角色的 Amazon 資源名稱 (ARN) 具有格式arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>,可以從 IAM 主控台存取。若要尋找您的 KMS 金鑰 ARN,請使用 S3 主控台。移至包含您的資料檔案的儲存貯體,然後選擇 Overview (概觀) 索引標籤。該金鑰位於 KMS key ID (KMS 金鑰 ID) 附近。

  • 對於 Amazon Athena、Amazon S3 和 Athena 查詢同盟連線,預設會 QuickSight 使用下列 IAM 角色:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    如果aws-quicksight-s3-consumers-role-v0不存在,則 QuickSight 使用:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • 如果您已將範圍縮減政策指派給使用者,請確定這些政策包含 lambda:InvokeFunction 許可。如果沒有此許可,您的使用者將無法存取 Athena 聯合查詢。如需有關將 IAM 政策指派給使用者的詳細資訊 QuickSight,請參閱透過 IAM 設定對 AWS 服務的細微存取。如需 lambda: InvokeFunction 權限的詳細資訊,請參閱 IAM 使用者指南 AWS Lambda中的動作、資源和條件金鑰

授權連線 QuickSight 至 Athena 或 Athena 聯合資料來源

  1. (選擇性) 如果您 AWS Lake Formation 與 Athena 一起使用,您還需要啟用 Lake Formation。如需詳細資訊,請參閱 透過授權連線 AWS Lake Formation

  2. 打開右上角的個人資料菜單,然後選擇管理 QuickSight。您必須是 QuickSight 管理員才能執行此操作。如果您沒有在設定檔功能表 QuickSight上看到 [管理],表示您沒有足夠的權限。

  3. 選擇安全和許可新增或移除

  4. 選擇 Amazon Athena 旁邊的方塊,下一步

    如果已啟用,您可能必須按兩下。即使 Amazon Athena 已經啟用,也可以執行此操作,以便您可以檢視設定。在此程序結束時,選擇更新之前,不會儲存任何變更。

  5. 啟用您要存取的 S3 儲存貯體。

  6. (選用) 若要啟用 Athena 聯合查詢,請選取您要使用的 Lambda 函數。

    注意

    您只能在的相同區域中查看 Athena 目錄的 Lambda 函數 QuickSight。

  7. 若要確認變更,請選擇完成

    若要取消,請選擇 Cancel (取消)

  8. 若要儲存對安全和許可的變更,請選擇更新

若要測試連線授權設定

  1. 在 QuickSight 開始頁面中,選擇 [資料集]、[新增資料集]。

  2. 選擇 Athena 卡。

  3. 按照螢幕提示,使用您需要連線的資源建立新的 Athena 資料來源。選擇驗證連線,以測試連線。

  4. 如果連線驗證,表示您已成功設定 Athena 或 Athena 聯合查詢連線。

    如果您沒有足夠的權限連線至 Athena 資料集或執行 Athena 查詢,則會顯示錯誤,指示您與 QuickSight 管理員聯絡。此錯誤表示,需要重新檢查您的連線授權設定,才能找出差異。

  5. 成功連線之後,您或您的 QuickSight 作者可以建立資料來源連線,並與其他 QuickSight 作者共用。然後,作者可以從連線建立多個資料集,以便在 QuickSight 儀表板中使用。

    如需有關 Athena 的疑難排解資訊,請參閱 將 Amazon 雅典娜與亞馬遜搭配使用時出 QuickSight