Je ne peux pas me connecter à Amazon Athena - Amazon QuickSight
Assurez-vous d'avoir autorisé Amazon QuickSight à utiliser AthenaAssurez-vous que vos IAM politiques accordent les autorisations appropriéesAssurez-vous que l'IAMutilisateur dispose d'un accès en lecture/écriture à votre emplacement S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Je ne peux pas me connecter à Amazon Athena

   Public cible : QuickSight administrateurs Amazon 

Cette section vous permet de résoudre les problèmes de connexion à Athena.

Si vous ne parvenez pas à vous connecter à Amazon Athena, il se peut que vous obteniez une erreur d'autorisation insuffisante lorsque vous exécutez une requête, indiquant que les autorisations ne sont pas configurées. Pour vérifier que vous pouvez connecter Amazon QuickSight à Athena, vérifiez les paramètres suivants :

  • AWS autorisations de ressources au sein d'Amazon QuickSight

  • AWS Identity and Access Management (IAM) politiques

  • Emplacement Amazon S3

  • Emplacement des résultats d'une requête

  • AWS KMS politique en matière de clés (pour les ensembles de données chiffrés uniquement)

Pour plus d'informations, consultez les rubriques suivantes. Pour plus d'informations sur le dépannage des problèmes Athena, consultez la rubrique Problèmes de connectivité lors de l'utilisation d'Amazon Athena avec Amazon QuickSight.

Assurez-vous d'avoir autorisé Amazon QuickSight à utiliser Athena

   Public cible : QuickSight administrateurs Amazon 

Suivez la procédure ci-dessous pour vous assurer que vous avez bien autorisé Amazon QuickSight à utiliser Athena. Les autorisations d'accès aux AWS ressources s'appliquent à tous les QuickSight utilisateurs d'Amazon.

Pour effectuer cette action, vous devez être un QuickSight administrateur Amazon. Pour vérifier si vous y avez accès, vérifiez que l' QuickSightoption Gérer s'affiche lorsque vous ouvrez le menu depuis votre profil en haut à droite.

Pour autoriser Amazon QuickSight à accéder à Athena

  1. Choisissez votre nom de profil (en haut à droite). Choisissez Gérer QuickSight, puis sélectionnez Sécurité et autorisations.

  2. Sous QuickSight Accès à AWS services, choisissez Ajouter ou supprimer.

  3. Recherchez Athena dans la liste. Décochez la case Athena, puis sélectionnez-la à nouveau pour activer Athena.

    Choisissez ensuite Connect both (Connecter les deux).

  4. Choisissez les compartiments auxquels vous souhaitez accéder depuis Amazon QuickSight.

    Les paramètres des compartiments S3 auxquels vous accédez ici sont les mêmes que ceux auxquels vous accédez en choisissant Amazon S3 dans la liste des AWS services. Veillez à ne pas désactiver par inadvertance un compartiment utilisé par quelqu'un d'autre.

  5. Choisissez Terminer pour confirmer votre sélection. Ou choisissez Annuler pour quitter sans sauvegarder.

  6. Choisissez Mettre à jour pour enregistrer vos nouveaux paramètres d' QuickSight accès à Amazon AWS services. Vous pouvez également choisir Annuler pour quitter sans effectuer de modifications.

  7. Assurez-vous d'utiliser le bon Région AWS lorsque vous avez terminé.

    Si vous deviez modifier votre dans le Région AWS cadre de la première étape de ce processus, remplacez-le par celui Région AWS que vous utilisiez auparavant.

Assurez-vous que vos IAM politiques accordent les autorisations appropriées

   Public cible : administrateurs système 

Vos AWS Identity and Access Management (IAM) politiques doivent accorder des autorisations pour des actions spécifiques. Votre IAM utilisateur ou votre rôle doit être capable de lire et d'écrire à la fois l'entrée et la sortie des compartiments S3 qu'Athena utilise pour votre requête.

Si l'ensemble de données est crypté, l'IAMutilisateur doit être un utilisateur clé dans la politique de AWS KMS clé spécifiée.

Pour vérifier que vos IAM politiques sont autorisées à utiliser des compartiments S3 pour votre requête

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Localisez l'IAMutilisateur ou le rôle que vous utilisez. Choisissez le nom de l'utilisateur ou du rôle pour afficher les stratégies associées.

  3. Vérifiez que votre politique comporte les autorisations appropriées. Choisissez une politique que vous souhaitez vérifier, puis choisissez Modifier la politique. Utilisez l'éditeur visuel, qui s'ouvre par défaut. Si l'JSONéditeur est ouvert à la place, choisissez l'onglet Éditeur visuel.

  4. Choisissez l'entrée S3 dans la liste pour afficher son contenu. La stratégie doit accorder les autorisations de répertorier, de lire et d'écrire. Si S3 ne figure pas dans la liste ou n'a pas les autorisations appropriées, vous pouvez les ajouter ici.

Pour des exemples de IAM politiques qui fonctionnent avec Amazon QuickSight, consultezIAMexemples de politiques pour Amazon QuickSight.

Assurez-vous que l'IAMutilisateur dispose d'un accès en lecture/écriture à votre emplacement S3

   Public cible : QuickSight administrateurs Amazon 

Pour accéder aux données d'Athena depuis Amazon QuickSight, assurez-vous d'abord qu'Athena et son emplacement S3 sont autorisés dans l'écran Gérer. QuickSight Pour plus d’informations, consultez Assurez-vous d'avoir autorisé Amazon QuickSight à utiliser Athena.

Vérifiez ensuite les IAM autorisations pertinentes. L'IAMutilisateur de votre connexion Athena a besoin d'un accès en lecture/écriture à l'emplacement où vos résultats sont envoyés dans S3. Commencez par vérifier que l'IAMutilisateur dispose d'une politique attachée qui autorise l'accès à Athena, telle que. AmazonAthenaFullAccess Laissez Athena créer le bucket en utilisant le nom qu'il requiert, puis ajoutez ce bucket à la liste des buckets auxquels QuickSight il est possible d'accéder. Si vous modifiez l'emplacement par défaut du compartiment de résultats (aws-athena-query-results-*), assurez-vous que l'IAMutilisateur est autorisé à lire et à écrire dans le nouvel emplacement.

Vérifiez que vous n'incluez pas le Région AWS code dans le S3URL. Par exemple, utilisez s3://awsexamplebucket/path et non s3://us-east-1.amazonaws.com/awsexamplebucket/path. L'utilisation du mauvais S3 URL provoque une Access Denied erreur.

Vérifiez également que les politiques de compartiment et les listes de contrôle d'accès aux objets (ACLs) permettent à l'IAMutilisateur d'accéder aux objets contenus dans les compartiments. Si l'IAMutilisateur utilise un autre compte Compte AWS, consultez la section Accès entre comptes dans le guide de l'utilisateur d'Amazon Athena.

Si l'ensemble de données est crypté, vérifiez que l'IAMutilisateur est un utilisateur clé dans la politique de AWS KMS clé spécifiée. Vous pouvez le faire dans la AWS KMS console à l'adresse https://console.aws.amazon.com/kms.

Pour définir des autorisations pour l'emplacement de vos résultats de requête Athena

  1. Ouvrez la console à l'adresse https://console.aws.amazon.com/athena/.

  2. Vérifiez que vous avez sélectionné le groupe de travail que vous souhaitez utiliser :

    • Examinez l'option Groupe de travail en haut de l'écran. Il a le format Workgroup : group-name. Si le nom du groupe est celui que vous souhaitez utiliser, passez à l'étape suivante.

    • Pour choisir un autre groupe de travail, sélectionnez Groupe de travail en haut de l'écran.. Choisissez le groupe de travail que vous souhaitez utiliser, puis choisissez Changer de groupe de travail.

  3. Choisissez Réglages en haut à droite.

    (Peu fréquent) Si vous obtenez une erreur indiquant que votre groupe de travail est introuvable, procédez comme suit pour résoudre ce problème :

    1. Ignorez le message d'erreur pour le moment et recherchez plutôt Workgroup : group-namesur la page Paramètres. Le nom de votre groupe de travail est un lien hypertexte. Ouvre-le.

    2. À propos du groupe de travail : <groupname>page, choisissez Modifier le groupe de travail sur la gauche. Vous pouvez maintenant fermer le message d'erreur.

    3. À proximité de Emplacement des résultats de la requête, ouvrez le sélecteur d'emplacement S3 en cliquant sur le bouton Sélectionner qui comporte l'icône du dossier de fichiers.

    4. Choisissez la petite flèche à la fin du nom de l'emplacement S3 pour Athena. Le nom doit commencer par aws-athena-query-results.

    5. (Facultatif) Chiffrez les résultats des requêtes en cochant la case Chiffrer les résultats stockés dans S3.

    6. Choisissez Enregistrer pour confirmer vos choix.

    7. Si l'erreur ne réapparaît pas, revenez aux Paramètres.

      Parfois, l'erreur peut réapparaître. Si tel est le cas, effectuez les étapes suivantes :

      1. Choisissez le groupe de travail, puis choisissez Afficher les détails de l'exécution.

      2. (Facultatif) Pour conserver vos paramètres, prenez des notes ou faites une capture d'écran de la configuration du groupe de travail.

      3. Choisissez Créer un groupe de travail.

      4. Remplacez le groupe de travail par un nouveau groupe de travail. Configurez l'emplacement S3 et les options de chiffrement appropriés. Notez l'emplacement S3, car vous en aurez besoin ultérieurement.

      5. Choisissez Enregistrer pour poursuivre.

      6. Désactivez le groupe de travail d'origine lorsque vous n'en avez plus besoin. Assurez-vous de lire attentivement l'avertissement qui s'affiche, car il vous indique ce que vous perdez si vous choisissez de désactiver le groupe de travail.

  4. Si vous ne l'avez pas obtenu lors de la résolution de problème à l'étape précédente, choisissez Paramètres en haut à droite et obtenez la valeur de l'emplacement S3 affichée sous la forme Emplacement du résultat de la requête.

  5. Si l'option Chiffrer les résultats des requêtes est activée, vérifiez s'il utilise SSE - KMS ou CSE -KMS. Notez la clé.

  6. Ouvrez la console S3 à https://console.aws.amazon.com/s3/, ouvrez le compartiment approprié, puis choisissez l'onglet Permissions.

  7. Vérifiez que votre IAM utilisateur y a accès en consultant la Bucket Policy.

    Si vous gérez l'accès avecACLs, assurez-vous que les listes de contrôle d'accès (ACLs) sont configurées en consultant la liste de contrôle d'accès.

  8. Si votre ensemble de données est crypté (l'option Chiffrer les résultats des requêtes est sélectionnée dans les paramètres du groupe de travail), assurez-vous que l'IAMutilisateur ou le rôle est ajouté en tant qu'utilisateur clé dans la politique de cette AWS KMS clé. Vous pouvez accéder aux AWS KMS paramètres sur https://console.aws.amazon.com/kms.

Pour accorder l'accès au compartiment S3 utilisé par Athena

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez le compartiment S3 utilisé par Athena dans le champ Emplacement des résultats de requête.

  3. Dans l'onglet Autorisations, vérifiez les autorisations.

Pour plus d'informations, consultez l'article AWS Support Lorsque j'exécute une requête Athena, le message d'erreur « Accès refusé » s'affiche.