透過授權連線 AWS Lake Formation - Amazon QuickSight
啟用來自 Lake Formation 的連線從 Amazon 啟用連接 QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過授權連線 AWS Lake Formation

 適用對象:企業版 
   目標對象:系統管理員 

如果您使用查詢資料 Amazon Athena,可以使 AWS Lake Formation 用簡化從 Amazon 保護和連接資料的方式 QuickSight。Lake Formation 透過提供適用於 AWS 分析和機器學習服務的自己許可模型來新增 AWS Identity and Access Management (IAM) 許可模型。這個集中定義的許可模型可透過簡單的授予和撤銷機制,以細微層級控制資料存取。您可使用 Lake Formation 來取代或補充使用 IAM 的範圍縮減政策。

設定 Lake Formation 時,您可註冊資料來源,以允許資料來源將資料移至 Amazon S3 中的新資料湖。Lake Formation 和 Athena 都可以與 AWS Glue Data Catalog無縫整合,因此可以輕鬆地一起使用。Athena 資料庫和資料表是中繼資料容器。這些容器描述資料的基礎結構描述、資料定義語言 (DDL) 陳述式,以及 Amazon S3 中資料的位置。

下圖顯示所涉及 AWS 服務的關係。

設定 Lake Formation 之後,您可以使用 Amazon QuickSight 依名稱或透過 SQL 查詢存取資料庫和資料表。Amazon QuickSight 提供了功能齊全的編輯器,您可以在其中編寫 SQL 查詢。或者,您可以使用 Athena 主控台 AWS CLI、或您最愛的查詢編輯器。如需詳細資訊,請參閱《Amazon Athena 使用者指南》中的 存取 Athena

啟用來自 Lake Formation 的連線

在您開始透過 Amazon 使用此解決方案之前 QuickSight,請確定您可以透過 Athena 與 Lake Formation 存取您的資料。在您確認連線是否透過 Athena 運作之後,您只需要驗證 Amazon 可 QuickSight 以連線到 Athena。這樣做意味著您不必一次對所有三種產品的連線進行疑難排解。測試連線的其中一個簡單方法是使用 Athena 查詢主控台執行簡單的 SQL 命令,例如 SELECT 1 FROM table

若要設定 Lake Formation,使用其的人員或團隊需要建立新的 IAM 角色和 Lake Formation 的存取權。他們也需要下列清單中顯示的資訊。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的設定 Lake Formation

  • 收集 Amazon 資源名稱 (ARN) 的 Amazon QuickSight 使用者和群組,這些使用者和群組需要存取 Lake Formation 中的資料。這些使用者應該是 Amazon QuickSight 作者或管理員。

    尋找 Amazon QuickSight 使用者和群組 ARN

    1. 使用尋找適 AWS CLI 用於 Amazon QuickSight 作者和管理員的使用者 ARN。為此,請在終端 (Linux 或 Mac) 或命令提示 (Windows) 中執行以下 list-users 命令。

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      回應會傳回每個使用者的資訊。我們會在以下範例中用粗體顯示 Amazon Resource Name (ARN)。

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      若要避免使用 AWS CLI,您可以手動為每個使用者建構 ARN。

    2. (選擇性) 透過在終端機 (Linux 或 Mac) 或在list-group命令提示字元 (Windows) 中執行下列命令,使用 AWS CLI 來尋找適用於 Amazon QuickSight 群組的 ARN。

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      回應會傳回每個群組的資訊。在下列範例中,ARN 會以粗體顯示。

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      如果您沒有任何 Amazon QuickSight 群組,請使用執行create-group命令 AWS CLI 來新增群組。目前沒有從 Amazon QuickSight 控制台執行此操作的選項。如需詳細資訊,請參閱 在 Amazon 中創建和管理組 QuickSight

      若要避免使用 AWS CLI,您可以手動建構每個群組的 ARN。

從 Amazon 啟用連接 QuickSight

若要與 Lake Formation 和 Athena 合作,請確保您已在 Amazon 中設定 AWS 資源許可 QuickSight:

  • 啟用對 Amazon Athena 的存取。

  • 啟用對 Amazon S3 中正確的儲存貯體的存取。通常情況下,當您啟用 Athena 時即會啟用 S3 存取。不過,由於您可以在該程序以外變更 S3 許可,因此最好分別進行確認。

如需如何在 Amazon 中驗證或變更 AWS 資源許可的相關資訊 QuickSight,請參閱允許自動探索 AWS 資源存取資料來源