在亚马逊上使用 Athena 时权限不足 QuickSight - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在亚马逊上使用 Athena 时权限不足 QuickSight

如果您收到错误消息提示权限不足,请尝试按照以下步骤来解决问题。

您需要管理员权限才能排查此问题。

解决权限不足错误

  1. 确保亚马逊 QuickSight 可以访问 Athena 使用的亚马逊 S3 存储桶:

    1. 为此,请选择您的个人资料名称(右上角)。选择 “管理”QuickSight,然后选择 “安全和权限”

    2. 选择 Add or remove (添加或删除)

    3. 在列表中找到 Athena。清除 Athena 旁边的复选框,然后再次选中以启用 Athena。

      选择连接两者

    4. 选择您要从 Amazon QuickSight 访问的存储桶。

      您在此处访问的 S3 存储桶的设置与您通过从 Amazon Web Services 列表中选择 Amazon S3 访问的设置相同。请注意,避免无意中禁用其他人使用的存储桶。

    5. 选择 Select (选择) 以保存 S3 存储桶。

    6. 选择 “更新” 以保存您的新设置以供亚马逊 QuickSight 访问Amazon Web Services。您也可以选择取消,不进行任何更改就退出。

  2. 如果您的数据文件使用Amazon KMS密钥加密,请 QuickSight 向 Amazon IAM 角色授予解密密钥的权限。执行该操作的最简单方法是使用 Amazon CLI。

    您可以在 中运行 create-grantAmazon CLI 命令来执行此操作。

    aws kms create-grant --key-id <Amazon KMS key ARN> --grantee-principal <Your Amazon QuickSight Role ARN> --operations Decrypt

    亚马逊 QuickSight 角色的亚马逊资源名称 (ARN) 的格式为arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>,可以从 IAM 控制台进行访问。要查找您的 Amazon KMS 密钥 ARN,请使用 S3 控制台。转到包含数据文件的存储桶,然后选择概述选项卡。密钥位于 KMS 密钥 ID 旁边。

对于亚马逊 Athena、Amazon S3 和 Athena Query Federation 连接 QuickSight ,默认使用以下 IAM 角色:

arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

如果aws-quicksight-s3-consumers-role-v0不存在,则 QuickSight 使用:

arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0