翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Athena または Amazon Athena フェデレーティッドクエリで Amazon QuickSight を使用する必要がある場合は、まず Amazon Simple Storage Service (Amazon S3) で Athena および関連するバケットへの接続を許可する必要があります。Amazon Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータをスタンダード SQL を使用して直接、簡単に分析します。Athena フェデレーティッドクエリは、 を使用してより多くのタイプのデータにアクセスできます AWS Lambda。QuickSight から Athena への接続を使用して、リレーショナル、非リレーショナル、オブジェクト、カスタムの各データソースに保存されているデータを調査する SQL クエリを書き込めます。詳細については、「Amazon Athena ユーザーガイド」の「Amazon Athena 横串検索の使用」を参照してください。
QuickSight から Athena へのアクセスを設定するときは、次の考慮事項を確認してください。
-
Athena は、QuickSight からのクエリ結果をバケットに格納します。デフォルトでは、このバケットには
aws-athena-query-results-us-east-2-111111111111のようなaws-athena-query-results-AWSREGION-AWSACCOUNTIDに似た名前が付いています。そのため、QuickSight に、Athena が現在使用しているバケットにアクセスする権限があることを確認することが重要です。 データファイルが AWS KMS キーで暗号化されている場合は、Amazon QuickSight IAM ロールにキーを復号するアクセス許可を付与します。そのための最も簡単な方法は、 AWS CLIを使用することです。
これを行う AWS CLI には、 で KMS create-grant API オペレーションを実行できます。
aws kms create-grant --key-id <KMS_KEY_ARN> / --grantee-principal<QS_ROLE_ARN>--operations DecryptAmazon QuickSight ロールの Amazon リソースネーム (ARN) は
arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>形式であり、IAM コンソールからアクセスできます。KMS キー ARN を見つけるには、S3 コンソールを使用します。データファイルが格納されているバケットに移動し、[Overview (概要)] タブを選択します。キーは [KMS key ID (KMS キー ID)] の近くにあります。-
Amazon Athena、Amazon S3、および Athena クエリフェデレーション接続の場合、QuickSight はデフォルトで次の IAM ロールを使用します。
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0そのファイルに
aws-quicksight-s3-consumers-role-v0が存在しない場合、QuickSight は以下を使用します。arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 -
ユーザーにスコープダウンポリシーを割り当てた場合は、ポリシーに
lambda:InvokeFunctionアクセス許可。この権限がないと、ユーザーは Athena フェデレーションクエリにアクセスできません。QuickSight で IAM ポリシーをユーザーに割り当てる方法の詳細については、IAM による AWS サービスへのきめ細かなアクセスの設定 をご参照ください。Lambda: InvokeFunction アクセス許可の詳細については、アクション、リソース、条件キー AWS LambdaIAM ユーザーガイドでご参照ください。
QuickSight による Athena または Athena フェデレーティッドデータソースへの接続を認可する
-
(オプション) Athena AWS Lake Formation で を使用している場合は、Lake Formation も有効にする必要があります。詳細については、「を介した接続の認可 AWS Lake Formation」を参照してください。
-
右上のプロファイルメニュー を開いて、[Manage QuickSight (QuickSight の管理)] を選択します。これを行うには、QuickSight 管理者である必要があります。表示されない場合は、プロファイルメニューのManage QuickSight (QuickSight の管理) へアクセスするのに十分なアクセス許可がありません。
-
[Security & Permissions (セキュリティとアクセス許可)] で、[Add or remove (追加または削除)] を選択します。
-
Amazon Athena の近くのボックスで、[Next (次へ)] を選択します。
既に有効になっている場合は、ダブルクリックする必要があります。Amazon Athena がすでに有効になっている場合でもこれを実行し、設定を表示できるようにしてください。この手順の最後にある [Update (更新)] を選択するまで、変更は保存されません。
-
アクセスする S3 バケットを有効にします。
-
(オプション) Athena 横串検索を有効にするには、使用する Lambda 関数を選択します。
注記
QuickSight の同じリージョンにある Athena カタログの Lambda 関数のみを表示できます。
-
[Finish (完了)] を選択し、変更を保存します。
キャンセルするには、[Cancel (キャンセル)] を選択します。
-
セキュリティおよびアクセス許可の変更を保存するには、[Update (更新)] を選択します。
接続認可設定をテストするには
-
QuickSight の開始ページで、[Datasets (データセット)]、[New dataset (新規データセット)] を選択します。
-
Athena カードを選択する。
-
画面のプロンプトに従って、接続する必要のあるリソースを使用して新しい Athena データソースを作成します。[Validate connection (接続を検証)] を選択して、接続を検証します。
-
接続が検証されると、Athena または Athena 横串検索の接続が設定されます。
Athena データセットへの接続や Athena クエリの実行に必要なアクセス許可がない場合はエラーが表示され、QuickSight 管理者に連絡するように指示されます。このエラーは、不一致を見つけるために、接続認可設定を再確認する必要があることを意味します。
-
正常に接続できたら、ユーザーまたは QuickSight の作成者はデータソース接続を作成し、他の QuickSight の作成者と共有できます。作成者は、接続から複数のデータセットを作成し、QuickSight ダッシュボードで使用できます。
Athena のトラブルシューティングの詳細については、「Amazon QuickSight で Amazon Athena を使用しているときの接続に関する問題」を参照してください。
