本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon QuickSight 使用 Athena 時的許可不足
如果您收到表示「許可不足」的錯誤訊息,請嘗試以下步驟來解決您的問題:
您需要管理員許可才能對此問題進行疑難排解。
若要解決許可不足錯誤
-
確保 Amazon QuickSight 可以存取 Athena 使用的 Amazon S3 儲存貯體:
-
為此,請選擇您的描述檔名稱 (右上角)。選擇 Manage QuickSight (管理 QuickSight),然後選擇 Security & permissions (安全與許可)。
-
選擇 Add or remove (新增或移除)。
-
在清單中找出 Athena。清除 Athena 旁邊的核取方塊,然後再次選取以啟用 Athena。
後選擇連接兩者。
-
選擇您要從 Amazon QuickSight 存取的儲存貯體。
您在此處存取的 S3 儲存貯體設定與您從 清單中選擇 Amazon S3 存取的設定相同 AWS 服務。請小心不要意外停用其他人使用的儲存貯體。
-
選擇選取儲存您的 S3 儲存貯體。
-
選擇更新儲存 Amazon QuickSight 存取 AWS 服務的新設定。或者,選擇取消離開,但不建立任何變更。
-
-
如果您的資料檔案使用 AWS KMS 金鑰加密,請授予 Amazon QuickSight IAM 角色解密金鑰的許可。執行此動作最簡單的方法是使用 AWS CLI。
您可以在 中執行 create-grant 命令 AWS CLI 來執行此操作。
aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal<Your Amazon QuickSight Role ARN>--operations DecryptAmazon QuickSight 角色的 Amazon Resource Name (ARN) 具有格式
arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>,並且可以從 IAM 主控台存取。若要尋找您的 AWS KMS 金鑰 ARN,請使用 S3 主控台。移至包含您的資料檔案的儲存貯體,然後選擇 Overview (概觀) 索引標籤。該金鑰位於 KMS key ID (KMS 金鑰 ID) 附近。
對於 Amazon Athena、Amazon S3 和 Athena Query Federation 連線,QuickSight 預設會使用下列 IAM 角色:
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
如果 aws-quicksight-s3-consumers-role-v0 不存在,則 QuickSight 會使用:
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
