本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權連線到 Amazon Athena
如果您需要將 Amazon QuickSight 與 Amazon Athena 或 Amazon Athena 聯合查詢搭配使用,則首先需要授權與 Athena 和亞馬遜簡單儲存服務 (Amazon S3) 中關聯儲存貯體的連線。Amazon Athena 是一種互動式查詢服務,可讓您使用標準 SQL 直接輕鬆分析 Amazon S3 中的資料。Athena 聯合查詢可透過使用存取更多類型的資料 AWS Lambda。使用與 Athena 的 QuickSight 連線,您可以撰寫 SQL 查詢來查詢儲存在關聯式、非關聯式、物件和自訂資料來源中的資料。如需詳細資訊,請參閱《Amazon Athena 使用者指南》中的使用 Athena 聯合查詢。
在設定 Athena 的存取權時,請檢閱下列考量事項 QuickSight:
-
Athena 會將查詢結果儲存 QuickSight 在值區中。依預設,此儲存貯體的名稱會類似
aws-athena-query-results-AWSREGION-AWSACCOUNTID
,例如aws-athena-query-results-us-east-2-111111111111
。因此,請務必確定 QuickSight 具有存取 Athena 目前正在使用的值區的權限。 如果您的資料檔案使用 AWS KMS 金鑰加密,請授與 Amazon QuickSight IAM 角色的許可以解密金鑰。執行此動作最簡單的方法是使用 AWS CLI。
您可以在中執行 KMS 建立授權 API 作業 AWS CLI 來執行此作業。
aws kms create-grant --key-id <KMS_KEY_ARN> / --grantee-principal
<QS_ROLE_ARN>
--operations DecryptAmazon QuickSight 角色的 Amazon 資源名稱 (ARN) 具有格式
arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>
,可以從 IAM 主控台存取。若要尋找您的 KMS 金鑰 ARN,請使用 S3 主控台。移至包含您的資料檔案的儲存貯體,然後選擇 Overview (概觀) 索引標籤。該金鑰位於 KMS key ID (KMS 金鑰 ID) 附近。-
對於 Amazon Athena、Amazon S3 和 Athena 查詢同盟連線,預設會 QuickSight 使用下列 IAM 角色:
arn:aws:iam::
AWS-ACCOUNT-ID
:role/service-role/aws-quicksight-s3-consumers-role-v0如果
aws-quicksight-s3-consumers-role-v0
不存在,則 QuickSight 使用:arn:aws:iam::
AWS-ACCOUNT-ID
:role/service-role/aws-quicksight-service-role-v0 -
如果您已將範圍縮減政策指派給使用者,請確定這些政策包含
lambda:InvokeFunction
許可。如果沒有此許可,您的使用者將無法存取 Athena 聯合查詢。如需有關將 IAM 政策指派給使用者的詳細資訊 QuickSight,請參閱透過 IAM 設定對 AWS 服務的細微存取。如需 lambda: InvokeFunction 權限的詳細資訊,請參閱 IAM 使用者指南 AWS Lambda中的動作、資源和條件金鑰。
授權連線 QuickSight 至 Athena 或 Athena 聯合資料來源
-
(選擇性) 如果您 AWS Lake Formation 與 Athena 一起使用,您還需要啟用 Lake Formation。如需詳細資訊,請參閱 透過授權連線 AWS Lake Formation。
-
打開右上角的個人資料菜單,然後選擇管理 QuickSight。您必須是 QuickSight 管理員才能執行此操作。如果您沒有在設定檔功能表 QuickSight上看到 [管理],表示您沒有足夠的權限。
-
選擇安全和許可、新增或移除。
-
選擇 Amazon Athena 旁邊的方塊,下一步。
如果已啟用,您可能必須按兩下。即使 Amazon Athena 已經啟用,也可以執行此操作,以便您可以檢視設定。在此程序結束時,選擇更新之前,不會儲存任何變更。
-
啟用您要存取的 S3 儲存貯體。
-
(選用) 若要啟用 Athena 聯合查詢,請選取您要使用的 Lambda 函數。
注意
您只能在的相同區域中查看 Athena 目錄的 Lambda 函數 QuickSight。
-
若要確認變更,請選擇完成。
若要取消,請選擇 Cancel (取消)。
-
若要儲存對安全和許可的變更,請選擇更新。
若要測試連線授權設定
-
在 QuickSight 開始頁面中,選擇 [資料集]、[新增資料集]。
-
選擇 Athena 卡。
-
按照螢幕提示,使用您需要連線的資源建立新的 Athena 資料來源。選擇驗證連線,以測試連線。
-
如果連線驗證,表示您已成功設定 Athena 或 Athena 聯合查詢連線。
如果您沒有足夠的權限連線至 Athena 資料集或執行 Athena 查詢,則會顯示錯誤,指示您與 QuickSight 管理員聯絡。此錯誤表示,需要重新檢查您的連線授權設定,才能找出差異。
-
成功連線之後,您或您的 QuickSight 作者可以建立資料來源連線,並與其他 QuickSight 作者共用。然後,作者可以從連線建立多個資料集,以便在 QuickSight 儀表板中使用。
如需有關 Athena 的疑難排解資訊,請參閱 將 Amazon 雅典娜與亞馬遜搭配使用時出 QuickSight。