本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授權從 Amazon Quick Sight 到 AWS 資料存放區的連線
<a name="enabling-access"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

若要讓 Amazon Quick Sight 存取您的 AWS 資源，您必須為其建立安全群組，以授權來自 Amazon Quick Sight 伺服器所用 IP 地址範圍的連線。您必須擁有 AWS 登入資料，以允許您存取這些 AWS 資源來修改其安全群組。

使用下列各節中的程序來啟用 Amazon Quick Sight 連線。

**Topics**
+ [授權從 Amazon Quick Sight 到 Amazon RDS 資料庫執行個體的連線](enabling-access-rds.md)
+ [授權從 Amazon Quick Sight 到 Amazon Redshift 叢集的連線](enabling-access-redshift.md)
+ [授權從 Amazon Quick 到 Amazon EC2 執行個體的連線](enabling-access-ec2.md)
+ [透過 授權連線 AWS Lake Formation](lake-formation.md)
+ [授權連線到 Amazon OpenSearch Service](opensearch.md)
+ [授權連線到 Amazon Athena](athena.md)
+ [資料存取整合](data-access-integrations.md)

# 授權從 Amazon Quick Sight 到 Amazon RDS 資料庫執行個體的連線
<a name="enabling-access-rds"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

若要讓 Amazon Quick Sight 連線到 Amazon RDS 資料庫執行個體，您必須為該資料庫執行個體建立新的安全群組。此安全群組包含傳入規則，授權該 中 Quick 伺服器從適當的 IP 地址範圍進行存取 AWS 區域。若要進一步了解授權快速連線，請參閱[手動啟用存取 VPC 中的 Amazon RDS 執行個體，](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html)或[手動啟用存取不在 VPC 中的 Amazon RDS 執行個體](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html)。

若要進一步了解手動授權 Amazon Quick Sight 連線，請參閱[手動啟用對 VPC 中 Amazon RDS 執行個體的存取](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html)，或[手動啟用對不在 Amazon VPC 中的 Amazon RDS 執行個體的存取](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html)。

若要建立並指派 Amazon RDS 資料庫執行個體的安全群組，您必須有允許存取該資料庫執行個體的 AWS 憑證。

啟用從 Amazon Quick 伺服器到執行個體的連線只是根據 AWS 資料庫資料來源建立資料集的幾個先決條件之一。如需必要項目的詳細資訊，請參閱[從資料庫建立資料集](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html)。

**Topics**
+ [在 VPC 中手動啟用 Amazon Quick Sight 存取 Amazon RDS 執行個體](#rds-vpc-access)
+ [手動啟用從 Amazon Quick Sight 存取不在 VPC 中的 Amazon RDS 執行個體](#rds-classic-access)

## 在 VPC 中手動啟用 Amazon Quick Sight 存取 Amazon RDS 執行個體
<a name="rds-vpc-access"></a>

使用下列程序來啟用 Amazon Quick Sight 存取 VPC 中的 Amazon RDS 資料庫執行個體。如果您的 Amazon RDS 資料庫執行個體位於私有 （與 Amazon Quick 相關） 或已連接網際網路閘道的子網路中，請參閱[使用 Amazon Quick 連線至 VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。

**啟用 Amazon Quick Sight 存取 VPC 中的 Amazon RDS 資料庫執行個體**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)：// 開啟 Amazon RDS 主控台。

1. 選擇 **Databases (資料庫)**，找到資料庫執行個體，檢視其詳細資訊。若要執行此作業，您可以直接按一下其名稱 (**DB identifier (資料庫識別符)** 欄位中的超連結)。

1. 找出 **Port (連接埠)** 並記下 **Port (連接埠)** 值。這可以是數字或範圍。

1. 找出 **VPC** 並記下 **VPC** 值。

1. 選擇 **VPC** 值來開啟 VPC 主控台。在 Amazon VPC 管理主控台中，選擇導覽窗格中的**安全群組**。

1. 選擇**建立安全群組**。

1. 在 **Create Security Group (建立安全群組)** 頁面，輸入安全群組資訊，如下所示：
   + 在 **Name tag (名稱標籤)** 和 **Group name (群組名稱)** 中，輸入 **Amazon-QuickSight-access**。
   + 對於 **Description (說明)**，輸入 **Amazon-QuickSight-access**。
   + 對於 **VPC**，選擇您的執行個體的 VPC。這就是具有您之前記下 **VPC ID** 的 VPC。

1. 選擇**建立**。記下確認頁面中的 **Security Group ID (安全群組 ID)**。選擇 **Close (關閉)** 離開此畫面。

1. 從清單中選擇新的安全群組，然後從下方的標籤清單中選擇 **Inbound Rules (傳入規則)**。

1. 選擇 **Edit rules (編輯規則)** 建立新的規則。

1. 在 **Edit inbound rules (編輯傳入規則)** 頁面中，選擇 **Add rule (新增規則)** 建立新的規則。

   使用下列的值：
   + 針對 **Type (類型)**，選擇 **Custom TCP Rule (自訂 TCP 規則)**。
   + 針對 **Protocol (通訊協定)**，選擇 **TCP**。
   + 針對**連接埠範圍**，輸入 Amazon RDS 叢集的連接埠號碼或範圍。這是您先前記下的連接埠號碼 (或範圍)。
   + 針對 **Source (來源)**，從清單中選擇 **Custom (自訂)**。在「自訂」一詞旁，輸入您計劃使用 Amazon Quick AWS 區域 之 的 CIDR 地址區塊。

     例如，對於歐洲 (愛爾蘭)，您可以輸入歐洲 (愛爾蘭) 的 CIDR 地址區塊：`52.210.255.224/27`。如需支援的 Amazon Quick IP 地址範圍的詳細資訊 AWS 區域，請參閱[AWS 區域、網站、IP 地址範圍和端點](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)。
**注意**  
如果您已在多個 中啟用 Amazon Quick AWS 區域，您可以為每個 Amazon Quick 端點 CIDR 建立傳入規則。這樣做可讓 Amazon Quick 從傳入規則中定義的任何 AWS 區域存取 Amazon RDS 資料庫執行個體。  
在多個 中使用 Amazon Quick 的任何人 AWS 區域 都會被視為單一使用者。換句話說，即使您在每個 中使用 Amazon Quick AWS 區域，您的 Amazon Quick 訂閱 （有時稱為「帳戶」) 和您的使用者都是全域的。

1. 針對**描述**，輸入有用的描述，例如 "*Europe (Ireland) QuickSight*"。

1. 選擇 **Save rules (儲存規則)** 以儲存新的傳入規則。然後，選擇 **Close (關閉)**。

1. 返回資料庫執行個體的詳細檢視。返回 Amazon RDS 主控台 ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/))，然後選擇**資料庫**。

1. 選擇相關 RDS 執行個體的資料庫識別符。選擇 **Modify** (修改)。無論從資料庫畫面或資料庫執行個體畫面中選擇 Modify (修改)，都會顯示相同的畫面：**Modify DB Instance (修改資料庫執行個體)**。

1. 找到 **Network & Security (網路與安全)** 區段 (從上往下數的第三個區段)。

   **Security Group (安全群組)** 已選擇目前指派的一或多個安全群組。除非您確定，否則請勿移除任何現有的群組。

   請改選擇新的安全群組，將它新增至已選取的其他群組。如果您依照先前建議的命名規則操作，此群組的名稱可能會類似 **Amazon-QuickSight-access**。

1. 捲動到畫面底部。選擇 **Continue (繼續)**，然後選擇 **Modify DB Instance (修改資料庫執行個體)**。

1. 選擇 **Apply during the next scheduled maintenance (在下一次排定的維護期間套用)** (畫面會指出發生此情況的時間)。

   不要選擇 **Apply Immediately (立即套用)**。這樣做也會套用待定修改佇列中的任何額外變更。其中一些變更可能需要停機時間。如果讓伺服器在維護時段外關機，這可能會造成此資料庫執行個體使用者的問題。套用立即變更之前，請先諮詢系統管理員。

1. 選擇 **Modify DB Instance (修改資料庫執行個體)** 以確認變更。然後，等待下一個維護時段過去。

## 手動啟用從 Amazon Quick Sight 存取不在 VPC 中的 Amazon RDS 執行個體
<a name="rds-classic-access"></a>

使用以下程序，以存取不是在 VPC 中的 Amazon RDS 資料庫執行個體。您可以使用 RDS 主控台上的**修改**、Amazon RDS API `ModifyDBInstance` 或 `modify-db-instance` AWS CLI 命令，將安全群組與資料庫執行個體建立關聯。

**注意**  
本節所包含內容適用於回溯相容性目的。

**使用主控台存取不是在 VPC 中的 Amazon RDS 資料庫執行個體**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) 的 Amazon RDS 主控台。

1. 選擇 **Databases (資料庫)**，選取資料庫執行個體，然後選擇 **Modify (修改)**。

1. 在導覽窗格中選擇 **Security Groups** (安全群組)。

1. 選擇 **Create DB Security Group** (建立資料庫安全群組)。

1. 輸入 **Amazon-QuickSight-access** 作為 **Name (名稱)** 和 **Description (描述)** 值，然後選擇 **Create (建立)**。

1. 依預設會選取新的安全群組。

   選取安全群組旁的詳細資訊圖示，如下所示。

1. 針對 **Connection Type (連線類型)**，選擇 **CIDR/IP**。

1. 針對 **CIDR/IP to Authorize (要授權的 CIDR/IP)**，輸入適當的 CIDR 地址區塊。如需支援的 Amazon Quick IP 地址範圍的詳細資訊 AWS 區域，請參閱[AWS 區域、網站、IP 地址範圍和端點](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)。

1. 選擇 **Authorize** (授權)。

1. 返回 Amazon RDS 管理主控台的**執行個體**頁面，選擇要啟用存取權的執行個體，選擇**執行個體動作**，然後選擇**修改**。

1. 在 **Network & Security (網路與安全)** 區段，**Security Group (安全群組)** 已選擇目前指派的一或多個安全群組。除了其他已選取的群組，請按 CTRL 並選擇 **Amazon-QuickSight-access**。

1. 選擇 **Continue (繼續)**，然後選擇 **Modify DB Instance (修改資料庫執行個體)**。

# 授權從 Amazon Quick Sight 到 Amazon Redshift 叢集的連線
<a name="enabling-access-redshift"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

您可以使用三種身分驗證方法授予對 Amazon Redshift 資料的存取權：受信任身分傳播、執行身分 IAM 角色或 Amazon Redshift 資料庫憑證。

透過受信任的身分傳播，使用者身分會透過由 IAM Identity Center 管理的單一登入傳遞至 Amazon Redshift。在 Amazon Quick Sight 中存取儀表板的使用者，其身分會傳播到 Amazon Redshift。在 Amazon Redshift 中，精細的資料許可會套用至資料，然後再將資料顯示在 Amazon Quick 資產中給使用者。Amazon Quick 作者也可以在沒有輸入密碼或 IAM 角色的情況下連線到 Amazon Redshift 資料來源。若使用 Amazon Redshift Spectrum，所有許可管理都會集中在 Amazon Redshift 中。當 Amazon Quick 和 Amazon Redshift 使用 IAM Identity Center 的相同組織執行個體時，支援信任的身分傳播。下列功能目前不支援受信任身分傳播。
+ SPICE 資料集
+ 資料來源上的自訂 SQL
+ Alerts (提醒)
+ 以電子郵件傳送報告
+ Amazon Quick Q
+ CSV、Excel 和 PDF 匯出
+ 異常偵測

若要讓 Amazon Quick 連線到 Amazon Redshift 執行個體，您必須為該執行個體建立新的安全群組。此安全群組包含傳入規則，可授權該規則中 Amazon Quick 伺服器從適當的 IP 地址範圍進行存取 AWS 區域。若要進一步了解授權 Amazon Quick 連線，請參閱在 [VPC 中手動啟用對 Amazon Redshift 叢集的存取](https://docs.aws.amazon.com/quicksight/latest/user/redshift-vpc-access.html)。

啟用從 Amazon Quick 伺服器到叢集的連線只是根據 AWS 資料庫資料來源建立資料集的幾個先決條件之一。如需必要項目的詳細資訊，請參閱[從資料庫建立資料集](https://docs.aws.amazon.com/quicksuite/latest/userguide/create-a-database-data-set.html)。

**Topics**
+ [使用 Amazon Redshift 啟用受信任身分傳播](#redshift-trusted-identity-propagation)
+ [手動允許存取 VPC 中的 Amazon Redshift 叢集](#redshift-vpc-access)
+ [啟用對 Amazon Redshift Spectrum 的存取](#redshift-spectrum-access)

## 使用 Amazon Redshift 啟用受信任身分傳播
<a name="redshift-trusted-identity-propagation"></a>

受信任身分傳播會在最終使用者存取利用受信任身分傳播啟用資料來源的 Amazon Quick 資產時，對 Amazon Redshift 中的最終使用者進行身分驗證。當作者建立具有信任身分傳播的資料來源時，Amazon Quick Sight 中資料來源取用者的身分會傳播並記錄在 CloudTrail 中。這可讓資料庫管理員集中管理 Amazon Redshift 中的資料安全，並自動將所有資料安全規則套用至 Amazon Quick 中的資料取用者。使用其他身分驗證方法時，建立資料來源之作者的資料許可會套用至所有資料來源取用者。資料來源作者可以選擇將額外的資料列和資料欄層級安全性套用至他們在 Amazon Quick Sight 中建立的資料來源。

受信任身分傳播資料來源僅在直接查詢資料集中受支援。SPICE 資料集目前不支援受信任身分傳播。

**Topics**
+ [先決條件](#redshift-trusted-identity-propagation-prerequisites)
+ [在 Amazon Quick Sight 中啟用受信任身分傳播](#redshift-trusted-identity-propagation-enable)
+ [使用受信任身分傳播連線至 Amazon Redshift](#redshift-trusted-identity-propagation-connect)

### 先決條件
<a name="redshift-trusted-identity-propagation-prerequisites"></a>

開始之前，請確定您已滿足所有必要先決條件。
+ 只有與 IAM Identity Center 整合的 Amazon Quick 帳戶才支援信任的身分傳播。如需詳細資訊，請參閱[使用 IAM Identity Center 設定 Amazon Quick 帳戶](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)。
+ Amazon Redshift 應用程式須與 IAM Identity Center 整合。您使用的 Amazon Redshift 叢集必須與您要使用的 Amazon Quick AWS Organizations 帳戶位於 中的相同組織中。叢集也必須在 IAM Identity Center 中設定與您的 Amazon Quick 帳戶設定相同的組織執行個體。如需有關設定 Amazon Redshift 叢集的詳細資訊，請參閱 [Integrating IAM Identity Center](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-idp-connect.html)。

### 在 Amazon Quick Sight 中啟用受信任身分傳播
<a name="redshift-trusted-identity-propagation-enable"></a>

若要將 Amazon Quick Sight 設定為使用信任的身分傳播連線至 Amazon Redshift 資料來源，請將 Amazon Redshift OAuth 範圍設定為您的 Amazon Quick 帳戶。

若要新增允許 Amazon Quick 授權身分傳播到 Amazon Redshift 的範圍，請指定 Amazon Quick 帳戶的 AWS 帳戶 ID 和您要授權身分傳播的服務，在此情況下為 `'REDSHIFT'`。

指定您授權 Amazon Quick 傳播使用者身分之 Amazon Redshift 叢集的 IAM Identity Center 應用程式 ARN。可在 Amazon Redshift 主控台中找到此資訊。如果您未指定 Amazon Redshift 範圍的授權目標，Amazon Quick 會授權共用相同 IAM Identity Center 執行個體之任何 Amazon Redshift 叢集的使用者。以下範例設定 Amazon Quick 以使用信任的身分傳播連線至 Amazon Redshift 資料來源。

```
aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

下列範例會從 Amazon Quick 帳戶刪除 OAuth 範圍。

```
aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

下列範例列出目前在 Amazon Quick 帳戶上的所有 OAuth 範圍。

```
aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"
```

### 使用受信任身分傳播連線至 Amazon Redshift
<a name="redshift-trusted-identity-propagation-connect"></a>

請依下列程序，連線至 Amazon Redshift 受信任身分傳播。

**使用受信任身分傳播連線至 Amazon Redshift**

1. 在 Amazon Quick 中建立新的資料集。如需建立資料集的詳細資訊，請參閱[建立資料集](https://docs.aws.amazon.com/quicksight/latest/user/creating-data-sets.html)。

1. 選擇 Amazon Redshift 作為新資料集的資料來源。
**注意**  
現有資料來源的身分驗證類型無法變更為受信任身分傳播

1. 選擇 IAM Identity Center 作為資料來源的身分選項，然後選擇**建立資料來源**。

## 手動允許存取 VPC 中的 Amazon Redshift 叢集
<a name="redshift-vpc-access"></a>


|  | 
| --- |
|  適用於：企業版  | 

使用下列程序來啟用 Amazon Quick Sight 存取 VPC 中的 Amazon Redshift 叢集。

**啟用 Amazon Quick Sight 存取 VPC 中的 Amazon Redshift 叢集**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)：// 開啟 Amazon Redshift 主控台。

1. 導覽至您要在 Amazon Quick 中提供使用的叢集。

1. 在**叢集屬性**區段中，尋找**連接埠**。請記下 **Port (連接埠)** 值。

1. 在**叢集屬性**區段中，尋找 **VPC ID** 並記下 **VPC ID** 值。選擇 **VPC ID** 以開啟 Amazon VPC 主控台。

1. 在 Amazon VPC 主控台的導覽窗格中，選擇**安全群組**。

1. 選擇**建立安全群組**。

1. 在 **Create Security Group (建立安全群組)** 頁面，輸入安全群組資訊，如下所示：
   + 針對 **Security group name (安全群組名稱)**，輸入 **redshift-security-group**。
   + 對於 **Description (說明)**，輸入 **redshift-security-group**。
   + 對於 **VPC**，請為 Amazon Redshift 叢集選擇 VPC。這個 VPC 具有您記下的 VPC ID。

1. 選擇**建立安全群組**。

   您的新安全群組應該會出現在螢幕上。

1. 建立第二個安全群組，其屬性如下。
   + 針對 **Security group name (安全群組名稱)**，輸入 **quicksight-security-group**。
   + 對於 **Description (說明)**，輸入 **quicksight-security-group**。
   + 對於 **VPC**，請為 Amazon Redshift 叢集選擇 VPC。這個 VPC 具有您記下的 VPC ID。

1. 選擇**建立安全群組**。

1. 建立新的安全群組後，為新群組建立傳入規則。

   選擇新的 `redshift-security-group` 安全群組，然後輸入下列值。
   + 對於**類型**，選擇 **Amazon Redshift**。
   + 針對 **Protocol (通訊協定)**，選擇 **TCP**。
   + 針對**連接埠範圍**，輸入您要允許存取的 Amazon Redshift 叢集的連接埠號碼。這是您在稍早步驟中記下的連接埠號碼。
   + 對於**來源**，請輸入 `quicksight-security-group` 的安全群組 ID。

1. 選擇 **Save rules (儲存規則)** 以儲存新的傳入規則。

1. 為 `quicksight-security-group` 重複上一步驟，然後輸入下列值。
   + 針對**類型**，選擇**所有流量**。
   + 對於**通訊協定**，請選擇**全部**。
   + 對於**連接埠範圍**，請選擇**全部**。
   + 對於**來源**，請輸入 `redshift-security-group` 的安全群組 ID。

1. 選擇 **Save rules (儲存規則)** 以儲存新的傳入規則。

1. 在 Amazon Quick 中，導覽至**管理 Amazon Quick** 功能表。

1. 選擇**管理 VPC 連線**，然後選擇**新增 VPC 連線**。

1. 使用下列值設定新的 VPC 連線。
   + 對於 **VPC 連線名稱**，請為 VPC 連線選擇一個有意義的名稱。
   + 對於 **VPC ID**，選擇 Amazon Redshift 叢集所在的 VPC。
   + 對於**子網路 ID**，選擇用於 Amazon Redshift 的可用區域 (AZ) 子網路。
   + 對於**安全群組 ID**，複製並貼上 `quicksight-security-group` 的安全群組 ID。

1. 選擇**建立**。新的 VPC 可能需要幾分鐘時間才能產生。

1. 在 Amazon Redshift 主控台中，導覽至設定為 `redshift-security-group` 的 Amazon Redshift 叢集。選擇**屬性**，在**網路和安全性設定**下，輸入安全群組的名稱。

1. 在 Amazon Quick 中，選擇**資料集**，然後選擇**新增資料集**。使用下列值建立新資料集。
   + 對於**資料來源**，選擇**自動探索的 Amazon Redshift**。
   + 為資料來源指定一個有意義的名稱。
   + 執行個體 ID 應該會自動填入您在 Amazon Quick 中建立的 VPC 連線。如果執行個體 ID 欄位未自動填入，請從下拉式清單中選擇所建立的 VPC。
   + 輸入資料庫憑證。如果您的 Amazon Quick 帳戶使用信任的身分傳播，請選擇**單一登入**。

1. 驗證連線，然後選擇**建立資料來源**。

若要進一步限制預設傳出規則，請將 `quicksight-security-group` 傳出規則更新為僅允許 Amazon Redshift 流量傳送至 `redshift-security-group`。您也可以刪除位於 `redshift-security-group` 中的傳出規則。

## 啟用對 Amazon Redshift Spectrum 的存取
<a name="redshift-spectrum-access"></a>

使用 Amazon Redshift Spectrum，您可以使用 Amazon Redshift 將 Amazon Quick 連接到外部目錄。例如，您可以存取 Amazon Athena 目錄。然後，您可以使用 Amazon Redshift 叢集而不是 Athena 查詢引擎，查詢 Amazon S3 資料湖上的非結構化資料。

您也可以結合資料集，包括存放在 Amazon Redshift 和 S3 中的資料。然後，您可以在 Amazon Redshift 中使用 SQL 語法來存取它們。

註冊資料目錄 （適用於 Athena) 或外部結構描述 （適用於 [Hive 中繼存放區](https://aws.amazon.com/blogs/big-data/migrate-external-table-definitions-from-a-hive-metastore-to-amazon-athena/)) 之後，您可以使用 Amazon Quick 選擇外部結構描述和 Amazon Redshift Spectrum 資料表。此程序適用於叢集中的任何其他 Amazon Redshift 資料表。您不需要載入或轉換您的資料。

如需有關使用 Amazon Redshift Spectrum 的詳細資訊，請參閱《Amazon Redshift 資料庫開發人員指南》中的[使用 Amazon Redshift Spectrum 以查詢外部資料](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html)。**

若要使用 Redshift Spectrum 進行連線，請執行下列動作：
+ 建立或識別與 Amazon Redshift 叢集關聯的 IAM 角色。
+ 將 IAM 政策 `AmazonS3ReadOnlyAccess` 和 `AmazonAthenaFullAccess` 新增至 IAM 角色。
+ 針對您打算使用的表格，註冊外部結構描述或資料目錄。

Redshift Spectrum 可讓將儲存和運算分離，以分開擴展。您只需就所執行的查詢付費。

若要連線至 Redshift Spectrum 資料表，您不需要授予 Amazon Quick 對 Amazon S3 或 Athena 的存取權。Amazon Quick 只需要存取 Amazon Redshift 叢集。如需有關設定 Redshift Spectrum 的完整詳細資訊，請參閱《Amazon Redshift 資料庫開發人員指南》中的[開始使用 Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html)。**

# 授權從 Amazon Quick 到 Amazon EC2 執行個體的連線
<a name="enabling-access-ec2"></a>


|  | 
| --- |
|    適用對象：企業版和標準版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

若要讓 Amazon Quick Sight 連線到 Amazon EC2 執行個體，您必須為該執行個體建立新的安全群組。此安全群組包含傳入規則，授權從該安全群組中 Quick 伺服器的適當 IP 地址範圍進行存取 AWS 區域。

若要修改這些 Amazon EC2 執行個體的安全群組，您必須有允許您存取執行個體的 AWS 憑證。

啟用從 Quick 伺服器到執行個體的連線，只是根據 AWS 資料庫資料來源建立資料集的幾個先決條件之一。如需必要項目的詳細資訊，請參閱[從資料庫建立資料集](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html)。

**啟用 Amazon Quick 存取 Amazon EC2 執行個體**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)：// 開啟 Amazon EC2 主控台。

1. 如果您的 EC2 執行個體是在 VPC 中，請選取執行個體來檢視執行個體詳細資訊窗格。尋找其 VPC ID 和記下該 ID 以供日後使用。

1. 在導覽窗格的**網路與安全**區段中，選擇**安全群組**。然後，選擇 **Create Security Group (建立安全群組)**，如下所示。

1. 進入安全群組資訊，如下所示：
   + 針對 **Security group name (安全群組名稱)**，輸入 **Amazon-QuickSight-access**。
   + 對於 **Description (說明)**，輸入 **Amazon-QuickSight-access**。
   + 針對 **VPC**，選擇您在步驟 2 中記下的 VPC ID (如果您的 Amazon EC2 執行個體是在 VPC 中)。否則，請選擇 **No VPC (無 VPC)**。

1. 在 **Inbound (傳入)** 標籤上，選擇 **Add Rule (新增規則)**。

1. 使用下列的值建立新規則：
   + 針對 **Type (類型)**，選擇 **Custom TCP Rule (自訂 TCP 規則)**。
   + 針對 **Protocol (通訊協定)**，選擇 **TCP**。
   + (選用) 針對**連接埠範圍**，輸入您要允許存取的這個 Amazon EC2 執行個體上，執行個體所使用的連接埠號碼。
   + 針對**來源**，輸入您計劃使用 Amazon Quick AWS 區域 之 的 CIDR 地址區塊。例如，這是歐洲 (愛爾蘭) 的 CIDR 地址區塊：`52.210.255.224/27`。如需支援 AWS 區域中 Amazon Quick IP 地址範圍的詳細資訊，請參閱[AWS 區域、網站、IP 地址範圍和端點](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)。
**注意**  
如果您已在多個 中啟用 Amazon Quick AWS 區域，您可以為每個 Amazon Quick 端點 CIDR 建立傳入規則。這樣做可讓 Amazon Quick 從傳入規則中 AWS 區域 定義的任何 存取 Amazon RDS 資料庫執行個體。  
在多個 AWS 區域中使用 Amazon Quick 的 Amazon Quick 使用者或管理員會被視為單一使用者。換句話說，即使您在每個 中使用 Amazon Quick AWS 區域，Amazon Quick 帳戶和使用者都是全域的。

1. 選擇**建立**。

1. 在導覽窗格的**執行個體**區段中，選擇**執行個體**，然後選擇您要允許存取的執行個體。

1. 依序選擇 **Actions (動作)**、**Networking (聯網)** 及 **Change Security Groups (變更安全群組)**。

1. 在 **Change Security Groups (變更安全群組)** 中，選取 **Amazon-QuickSight-access** 安全群組。

   然後，選擇 **Assign Security Groups (指派安全群組)**，如下所示。

# 透過 授權連線 AWS Lake Formation
<a name="lake-formation"></a>


|  | 
| --- |
|  適用對象：企業版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

如果您使用 查詢資料 Amazon Athena，您可以使用 AWS Lake Formation 來簡化從 Amazon Quick Sight 保護和連線至資料的方式。Lake Formation 透過提供套用至分析和機器學習服務的專屬許可模型，將 新增至 AWS Identity and Access Management AWS (IAM) 許可模型。這個集中定義的許可模型可透過簡單的授予和撤銷機制，以細微層級控制資料存取。您可使用 Lake Formation 來取代或補充使用 IAM 的範圍縮減政策。

設定 Lake Formation 時，您可註冊資料來源，以允許資料來源將資料移至 Amazon S3 中的新資料湖。Lake Formation 和 Athena 都可以與 AWS Glue Data Catalog無縫整合，因此可以輕鬆地一起使用。Athena 資料庫和資料表是中繼資料容器。這些容器描述資料的基礎結構描述、資料定義語言 (DDL) 陳述式，以及 Amazon S3 中資料的位置。

下圖顯示所涉及 AWS 服務的關係。

![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/quick/latest/userguide/images/lake-formation-architecture-drawing-1.png)


設定 Lake Formation 之後，您可以使用 Amazon Quick 依名稱或透過 SQL 查詢存取資料庫和資料表。Amazon Quick 提供功能完整的編輯器，您可以在其中撰寫 SQL 查詢。或者，您可以使用 Athena 主控台 AWS CLI、 或您偏好的查詢編輯器。如需詳細資訊，請參閱《Amazon Athena 使用者指南》中的 [存取 Athena](https://docs.aws.amazon.com/athena/latest/ug/accessing-ate.html)。**

使用以下主題，透過 Lake Formation 或 Amazon Quick 設定 Lake Formation 連線。

**Topics**
+ [啟用來自 Lake Formation 的連線](#lake-formation-lf-steps)
+ [從 Amazon Quick 啟用連線](#lake-formation-qs-steps)

## 啟用來自 Lake Formation 的連線
<a name="lake-formation-lf-steps"></a>

開始使用此解決方案搭配 Quick 之前，請確定您可以使用 Athena 搭配 Lake Formation 來存取資料。確認連線是透過 Athena 運作之後，您只需要驗證 Amazon Quick 是否可以連線至 Athena。這樣做意味著您不必一次對所有三種產品的連線進行疑難排解。測試連線的其中一個簡單方法是使用 [Athena 查詢主控台](https://console.aws.amazon.com/athena/)執行簡單的 SQL 命令，例如 `SELECT 1 FROM table`。

若要設定 Lake Formation，使用其的人員或團隊需要建立新的 IAM 角色和 Lake Formation 的存取權。他們也需要下列清單中顯示的資訊。如需詳細資訊，請參閱《AWS Lake Formation 開發人員指南》中的[設定 Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html)。**
+ 收集需要存取 Lake Formation 中資料的快速使用者和群組的 Amazon Resource Name (ARNs)。這些使用者應該是 Amazon Quick 作者或管理員。

**尋找 Amazon Quick 使用者和群組 ARNs**

  1. 使用 尋找 Amazon Quick 作者和管理員 AWS CLI 的使用者 ARNs。為此，請在終端 (Linux 或 Mac) 或命令提示 (Windows) 中執行以下 `list-users` 命令。

     ```
     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     回應會傳回每個使用者的資訊。我們會在以下範例中用粗體顯示 Amazon Resource Name (ARN)。

     ```
     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar
     ```

     若要避免使用 AWS CLI，您可以手動建構每個使用者的 ARNs。

  1. （選用） 在終端機 (Linux 或 Mac) 或命令提示字元 (Windows) 中執行下列`list-group`命令 AWS CLI ，以使用 尋找 Amazon Quick 群組ARNs。

     ```
     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     回應會傳回每個群組的資訊。在下列範例中，ARN 會以粗體顯示。

     ```
     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200
     ```

     如果您沒有任何 Amazon Quick 群組，請使用 新增群組 AWS CLI 以執行 `create-group`命令。目前沒有從 Amazon Quick 主控台執行此操作的選項。如需詳細資訊，請參閱在 [Amazon Quick 中建立和管理群組](https://docs.aws.amazon.com/quicksight/latest/user/creating-quicksight-groups.html)。

     若要避免使用 AWS CLI，您可以手動建構每個群組ARNs。

## 從 Amazon Quick 啟用連線
<a name="lake-formation-qs-steps"></a>

若要使用 Lake Formation 和 Athena，請確定您已在 Amazon Quick 中設定 AWS 資源許可：
+ 啟用對 Amazon Athena 的存取。
+ 啟用對 Amazon S3 中正確的儲存貯體的存取。通常情況下，當您啟用 Athena 時即會啟用 S3 存取。不過，由於您可以在該程序以外變更 S3 許可，因此最好分別進行確認。

如需有關如何在快速中驗證或變更 AWS 資源許可的資訊，請參閱[允許 AWS 資源的自動探索](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html)和[存取資料來源](https://docs.aws.amazon.com/quicksight/latest/user/access-to-aws-resources.html)。

# 授權連線到 Amazon OpenSearch Service
<a name="opensearch"></a>


|  | 
| --- |
|  適用對象：企業版  | 


|  | 
| --- |
|    目標對象：系統管理員  | 

在 Amazon Quick Sight 資料集中使用 OpenSearch 之前，快速管理員必須先完成一些任務，才能與有權存取 OpenSearch 主控台的人員合作。

若要開始使用，請確定您要連線到的每個 OpenSearch 域。然後，為每個域收集下列資訊：
+ OpenSearch 域的名稱。
+ 此域使用的 OpenSearch 版本。
+ OpenSearch 域的 Amazon Resource Name (ARN)。
+ HTTPS 端點。
+ 如果您使用 Dashboards，則為 OpenSearch Dashboards URL。您可以將 "`/dashboards/`" 附加至端點，以推斷 Dashboards URL。
+ 如果域具有 VPC 端點，則請在 OpenSearch Service 主控台的 VPC 標籤上收集所有相關資訊：
  + VPC ID
  + VPC 安全群組
  + 關聯的 IAM 角色
  + 關聯的可用區域
  + 關聯的子網路
+ 如果域具有一般端點 (不是 VPC 端點)，則請注意其會使用公有網路。
+ 每日自動快照的開始時間 (如果您的使用者想知道)。

在繼續之前，Amazon Quick 管理員會啟用從 Amazon Quick 到 OpenSearch Service 的授權連線。您從 Amazon Quick 連線的每個 AWS 服務都需要此程序。對於您用作資料來源的每個 AWS 服務，您只需要 AWS 帳戶 執行一次此操作。

對於 OpenSearch Service，授權程序會將 AWS 受管政策新增至`AWSQuickSightOpenSearchPolicy`您的 AWS 帳戶。

**重要**  
請確定您的 OpenSearch 域的 IAM 政策不會與 `AWSQuickSightOpenSearchPolicy` 中的許可衝突。您可以在 OpenSearch Service 主控台中尋找域存取政策。如需詳細資訊，請參閱《Amazon OpenSearch Service 開發人員指南》中的[設定存取政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating)。

**若要開啟或關閉從 Amazon Quick 到 OpenSearch Service 的連線**

1. 在 Amazon Quick 中，選擇**管理員**和管理 **Amazon Quick**。

1. 選擇**安全和許可**、**新增或移除**。

1. 若要啟用連線，請選取 **Amazon OpenSearch Service** 核取方塊。

   若要停用連線，請清除 **Amazon OpenSearch Service** 核取方塊。

1. 選擇**更新**，以確認您的選擇。

如有需要，請使用下列主題來設定 Amazon Quick 存取 OpenSearch 的 OpenSearch VPC 連線和許可。

**Topics**
+ [使用 VPC 連線](#opensearch-and-vpc-connection)
+ [使用 OpenSearch 許可](#opensearch-permissions)

## 使用 VPC 連線
<a name="opensearch-and-vpc-connection"></a>

在某些情況下，您的 OpenSearch 域位於以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 中。若是如此，請務必判斷 Amazon Quick 是否已連線到 OpenSearch 網域使用的 VPC ID。您可以重複使用現有的 VPC 連線。如果您不確定其是否會正常運作，您可以進行測試。如需詳細資訊，請參閱[測試 Amazon VPC 資料來源的連線](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)。

如果尚未針對您要使用的 VPC 在 Amazon Quick 中定義連線，您可以建立一個連線。此任務是一個多步驟程序，您需要先完成該程序才能繼續進行。若要了解如何將 Amazon Quick 新增至 VPC 並將連線從 Amazon Quick 新增至 VPC，請參閱[使用 Amazon Quick 連線至 Amazon VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)。

## 使用 OpenSearch 許可
<a name="opensearch-permissions"></a>

將 Amazon Quick 設定為連線至 OpenSearch Service 之後，您可能需要在 OpenSearch 中啟用許可。針對該部分的設定程序，您可以為每個 OpenSearch 域使用 OpenSearch Dashboards 連結。使用下列清單，以協助判斷您需要的許可：

1. 對於使用精細存取控制的域，以角色的形式設定許可。此程序類似於在 Amazon Quick 中使用縮小範圍政策。

1. 針對您為其建立角色的每個域，新增角色映射。

如需詳細資訊，請參閱下方。

如果您的 OpenSearch 網域已啟用[精細存取控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)，則可以設定一些許可，以便從 Amazon Quick 存取網域。針對您想要使用的每個域，執行這些步驟。

下列程序會使用 OpenSearch Dashboards，這是可與 OpenSearch 搭配使用的開放原始碼工具。您可以在 OpenSearch Service 主控台的域儀表板上找到 Dashboards 的連結。

**將許可新增至網域以允許從 Amazon Quick 存取**

1. 開啟 OpenSearch Dashboards，找到您要使用的 OpenSearch 域。URL 是 `opensearch-domain-endpoint/dashboards/`。

1. 從導覽窗格中，選擇**安全**。

   如果看不到導覽窗格，請使用左上角的選單圖示將其開啟。若要保持選單開啟，請選擇左下角的 **Dock 導覽**。

1. 選擇 **Roles (角色)**、**Create role (建立角色)**。

1. 將角色命名為 **quicksight\$1role**。

   您可以選擇不同的名稱，但建議您使用這個名稱，因為我們會在文件中用到它，因此更易於支援。

1. 在**叢集許可**下，新增下列許可：
   + `cluster:monitor/main`
   + `cluster:monitor/health`
   + `cluster:monitor/state`
   + `indices:data/read/scroll`
   + `indices:data/read/scroll/clear`,

1. 在**索引許可**下，指定 **\$1** 作為索引模式。

1. 在**索引許可**下，新增下列許可：
   + `indices:admin/get`
   + `indices:admin/mappings/get`
   + `indices:admin/mappings/fields/get*`
   + `indices:data/read/search*`
   + `indices:monitor/settings/get`

1. 選擇**建立**。

1. 為您規劃使用的每個 OpenSearch 域，重複這個程序。

使用下列程序，針對您在先前程序中新增的許可新增角色映射。您可能會發現將許可和角色映射新增為單一程序的一部分會更有效率。為了清晰起見，這些指示是分開的。

**為您新增的 IAM 角色建立角色映射**

1. 開啟 OpenSearch Dashboards，找到您要使用的 OpenSearch 域。URL 是 `opensearch-domain-endpoint/dashboards/`。

1. 從導覽窗格中，選擇**安全**。

1. 從清單中搜尋並開啟 **quicksight\$1role**。

1. 在**已映射的使用者**標籤上，選擇**管理映射**。

1. 在**後端角色**區段中，輸入 Amazon Quick 受 AWS管 IAM 角色的 ARN。以下是範例。

   ```
   arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
   ```

1. 選擇**映射**。

1. 為您想要使用的每個 OpenSearch 域，重複這個程序。

# 授權連線到 Amazon Athena
<a name="athena"></a>

如果您需要將 Amazon Quick Sight 與 Amazon Athena 或 Amazon Athena 聯合查詢搭配使用，您必須先在 Amazon Simple Storage Service (Amazon S3) 中授權與 Athena 和相關聯儲存貯體的連線。Amazon Athena 是一種互動式查詢服務，可讓您使用標準 SQL 直接輕鬆分析 Amazon S3 中的資料。Athena 聯合查詢可讓您使用 存取更多類型的資料 AWS Lambda。使用從 Quick 到 Athena 的連線，您可以撰寫 SQL 查詢來查詢儲存在關聯式、非關聯式、物件和自訂資料來源中的資料。如需詳細資訊，請參閱《Amazon Athena 使用者指南》中的[使用 Athena 聯合查詢](https://docs.aws.amazon.com/athena/latest/ug/connect-to-a-data-source.html)。

從 Quick 設定對 Athena 的存取時，請檢閱下列考量事項：
+ Athena 會將來自 Amazon Quick Sight 的查詢結果儲存在儲存貯體中。依預設，此儲存貯體的名稱會類似 `aws-athena-query-results-AWSREGION-AWSACCOUNTID`，例如 `aws-athena-query-results-us-east-2-111111111111`。因此，請務必確保 Amazon Quick Sight 具有存取 Athena 目前正在使用的儲存貯體的許可。
+ 如果您的資料檔案使用 AWS KMS 金鑰加密，請將解密金鑰的許可授予 Amazon Quick Sight IAM 角色。執行此動作最簡單的方法是使用 AWS CLI。

  您可以在 中執行 KMS [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) API 操作 AWS CLI 來執行此操作。

  ```
  aws kms create-grant --key-id <KMS_KEY_ARN> /
  --grantee-principal <QS_ROLE_ARN> --operations Decrypt
  ```

  Amazon Quick 角色的 Amazon Resource Name (ARN) 具有 格式，`arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>`可以從 IAM 主控台存取。若要尋找您的 KMS 金鑰 ARN，請使用 S3 主控台。移至包含您的資料檔案的儲存貯體，然後選擇 **Overview (概觀)** 索引標籤。該金鑰位於 **KMS key ID (KMS 金鑰 ID)** 附近。
+ 對於 Amazon Athena、Amazon S3 和 Athena 查詢聯合連線，Amazon Quick 預設會使用下列 IAM 角色：

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
  ```

  如果 `aws-quicksight-s3-consumers-role-v0` 不存在，則 Amazon Quick 會使用：

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
  ```
+ 如果您已將範圍縮減政策指派給使用者，請確定這些政策包含 `lambda:InvokeFunction` 許可。如果沒有此許可，您的使用者將無法存取 Athena 聯合查詢。如需在 Amazon Quick 中將 IAM 政策指派給使用者的詳細資訊，請參閱[透過 IAM 設定 AWS 服務的精細存取權](https://docs.aws.amazon.com/quicksight/latest/user/scoping-policies-iam-interface.html)。如需有關 lambda:InvokeFunction 許可的詳細資訊，請參閱《IAM 使用者指南》中的 [AWS Lambda的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslambda.html)。**

**授權 Amazon Quick 連線至 Athena 或 Athena 聯合資料來源**

1. （選用） 如果您使用 AWS Lake Formation 搭配 Athena，您也需要啟用 Lake Formation。如需詳細資訊，請參閱[透過 授權連線 AWS Lake Formation](https://docs.aws.amazon.com/quicksight/latest/user/lake-formation.html)。

1. 開啟右上角的設定檔選單，然後選擇**管理 QuickSight**。您必須是 Amazon Quick 管理員才能執行此操作。如果您沒有在設定檔選單上看到**管理 QuickSight**，則表示您沒有足夠的許可。

1. 選擇**安全和許可**、**新增或移除**。

1. 選擇 Amazon Athena 旁邊的方塊，**下一步**。

   如果已啟用，您可能必須按兩下。即使 Amazon Athena 已經啟用，也可以執行此操作，以便您可以檢視設定。在此程序結束時，選擇**更新**之前，不會儲存任何變更。

1.  啟用您要存取的 S3 儲存貯體。

1. (選用) 若要啟用 Athena 聯合查詢，請選取您要使用的 Lambda 函數。
**注意**  
您只能在 Amazon Quick 的相同區域中查看 Athena 目錄的 Lambda 函數。

1. 若要確認變更，請選擇**完成**。

   若要取消，請選擇 **Cancel (取消)**。

1. 若要儲存對安全和許可的變更，請選擇**更新**。

**若要測試連線授權設定**

1. 在 Amazon Quick Start 頁面中，選擇**資料集**、**新資料集**。

1. 選擇 Athena 卡。

1. 按照螢幕提示，使用您需要連線的資源建立新的 Athena 資料來源。選擇**驗證連線**，以測試連線。

1. 如果連線驗證，表示您已成功設定 Athena 或 Athena 聯合查詢連線。

   如果您沒有足夠的許可來連線至 Athena 資料集或執行 Athena 查詢，則會顯示錯誤，指示您聯絡 Amazon Quick 管理員。此錯誤表示需要重新檢查您的連線授權設定，才能尋找差異。

1. 成功連線後，您或您的 Amazon Quick 作者可以建立資料來源連線，並與其他 Amazon Quick 作者共用。然後，作者可以從連線建立多個資料集，以便在 Amazon Quick 儀表板中使用。

   如需 Athena 的疑難排解資訊，請參閱[搭配 Amazon Quick 使用 Athena 時的連線問題](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-athena.html)。

## 搭配 Athena 使用受信任身分傳播
<a name="athena-trusted-identity-propagation"></a>

信任的身分傳播可讓 AWS 服務根據使用者的身分內容存取 AWS 資源，並安全地與其他 AWS 服務共用此使用者的身分。這些功能可更輕鬆地定義、授予和記錄使用者存取。

當管理員 AWS Lake Formation 使用 IAM Identity Center 設定 Quick、Athena、Amazon S3 Access Grants 和 時，他們現在可以在這些服務中啟用受信任的身分傳播，並允許使用者的身分在服務之間傳播。當 IAM Identity Center 使用者從 Quick 存取資料時，Athena 或 Lake Formation 可以使用組織身分提供者為其使用者或群組成員資格定義的許可進行授權決策。

僅在透過 Lake Formation 管理許可時，才能使用 Athena 進行受信任身分傳播。使用者的資料許可位於 Lake Formation 中。

### 先決條件
<a name="athena-trusted-identity-propagation-prerequisites"></a>

開始之前，請確定已滿足下列必要先決條件。

**重要**  
當您完成下列先決條件時，請注意，您的 IAM Identity Center 執行個體、Athena 工作群組、Lake Formation 和 Amazon S3 Access Grants 必須全部部署在相同的 AWS 區域中。
+ 使用 IAM Identity Center 設定您的快速帳戶。只有與 IAM Identity Center 整合的快速帳戶才支援信任的身分傳播。如需詳細資訊，請參閱[使用 IAM Identity Center 設定 Amazon Quick 帳戶](setting-up-sso.md#sec-identity-management-identity-center)。
**注意**  
若要建立 Athena 資料來源，您必須是使用 IAM Identity Center 的快速帳戶中的 IAM Identity Center 使用者 （作者）。
+ 已啟用 IAM Identity Center 的 Athena 工作群組。您使用的 Athena 工作群組必須使用與快速帳戶相同的 IAM Identity Center 執行個體。如需有關設定 Athena 工作群組的詳細資訊，請參閱 *Amazon Athena User Guide* 中的 [Creating an IAM Identity Center enabled Athena workgroup](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。
+ 使用 Amazon S3 存取授權管理對 Athena 查詢結果儲存貯體的存取權。如需詳細資訊，請參閱 *Amazon S3 User Guide* 中的 [Managing access with Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)。如果您的查詢結果使用 AWS KMS 金鑰加密，Amazon S3 Access Grant IAM 角色和 Athena 工作群組角色都需要 的許可 AWS KMS。
  + 如需詳細資訊，請參閱 Amazon S3 User Guide 中的 [Amazon S3 Access Grants and corporate directory identities](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)。
  + Amazon S3 存取授權角色應在其信任政策中包含 `STS:SetContext` 動作，以實現身分傳播。若要查看範例，請參閱 Amazon S3 User Guide 中的 [Register a location](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html)。
+ 必須使用 Lake Formation 管理資料許可，並使用與 Quick 和 Athena 工作群組相同的 IAM Identity Center 執行個體設定 Lake Formation。如需組態資訊，請參閱《AWS Lake Formation 開發人員指南》**中的[整合 IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)。
+ 資料湖管理員需要在 Lake Formation 中向 IAM Identity Center 使用者和群組授予權限。如需詳細資訊，請參閱 *AWS Lake Formation Developer Guide* 中的 [Granting permissions to users and groups](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html)。
+ 快速管理員需要授權與 Athena 的連線。如需詳細資訊，請參閱[授權連線到 Amazon Athena](#athena)。請注意，透過信任的身分傳播，您不需要提供 Amazon S3 儲存貯體的快速角色許可或 AWS KMS 許可。您需要確保在 Athena 中對工作群組擁有許可的使用者和群組，與透過 Amazon S3 存取授權許可存放查詢結果的 Amazon S3 儲存貯體保持同步，以便使用者能夠在使用受信任身分傳播時，成功執行查詢並在 Amazon S3 儲存貯體中擷取查詢結果。

### 設定具有必要許可的 IAM 角色
<a name="athena-trusted-identity-propagation-configure-role"></a>

若要搭配 Athena 使用受信任的身分傳播，您的 Quick 帳戶必須具有存取 資源所需的許可。若要提供這些許可，您必須將 Quick 帳戶設定為使用具有 許可的 IAM 角色。

如果您的快速帳戶已使用自訂 IAM 角色，您可以修改該角色。如果沒有現有的 IAM 角色，請依照 *IAM User Guide* 中的 [Create a role for an IAM user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) 指示建立一個。

建立或修改的 IAM 角色必須包含下列信任政策和許可。

#### 所需的信任政策
<a name="athena-trusted-identity-propagation-configure-role-trust-policy"></a>

如需有關更新 IAM 角色信任政策的資訊，請參閱 [Update a role trust policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)。

#### 所需的 Athena 許可
<a name="athena-trusted-identity-propagation-configure-role-permissions"></a>

如需有關更新 IAM 角色信任政策的資訊，請參閱 [Update permissions for a role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)。

**注意**  
`Resource` 會使用 `*` 萬用字元。建議您將其更新為僅包含要與 Quick 搭配使用的 Athena 資源。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### 設定您的快速帳戶以使用 IAM 角色
<a name="athena-trusted-identity-propagation-configure-role"></a>

在上一個步驟中設定 IAM 角色後，您必須設定您的快速帳戶來使用它。如需有關如何執行作業的資訊，請參閱[在 Quick 中使用現有的 IAM 角色](security-create-iam-role.md#security-create-iam-role-use)。

### 使用 更新身分盜用組態 AWS CLI
<a name="athena-trusted-identity-propagation-update-config"></a>

若要授權 Quick 將最終使用者身分傳播到 Athena 工作群組，請從 執行下列 `update-identity-propagation-config` API AWS CLI，取代下列值：
+ 將 *us-west-2* 取代為您的 IAM Identity Center 執行個體所在的 AWS 區域。
+ 將 *111122223333* 取代為您的 AWS 帳戶 ID。

```
aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333
```

### 在 Quick 中建立 Athena 資料集
<a name="athena-trusted-identity-propagation-create-dataset"></a>

現在，使用您要連線的已啟用 IAM Identity Center 的 Athena 工作群組，在 Quick 中建立 Athena 資料集。如需有關如何建立 Athena 資料集的資訊，請參閱[使用 Amazon Athena 資料建立資料集](create-a-data-set-athena.md)。

### 關鍵標註、考量事項與限制
<a name="athena-trusted-identity-propagation-callouts-considerations"></a>

下列清單包含將受信任身分傳播與 Quick and Athena 搭配使用時的一些重要考量。
+ 使用受信任身分傳播的快速 Athena 資料來源具有針對 IAM Identity Center 最終使用者和使用者可能所屬的 IAM Identity Center 群組評估的 Lake Formation 許可。
+ 如果使用的 Athena 資料來源已啟用受信任身分傳播，建議在 Lake Formation 中進行任何微調的存取控制。不過，如果您選擇使用 Quick 縮小範圍政策功能，則會針對最終使用者評估縮小範圍政策。
+ 對於使用受信任身分傳播的資料來源和資料集，會停用下列功能：SPICE 資料集、資料來源上的自訂 SQL、閾值提醒、電子郵件報告、Q 主題、故事、案例、CSV、Excel 和 PDF 匯出、異常偵測。
+ 如果遇到高延遲或逾時，可能是由於大量 IAM Identity Center 群組、Athena 資料庫、資料表和 Lake Formation 規則的組合所致。建議您僅嘗試使用必要數量的資源。

# 資料存取整合
<a name="data-access-integrations"></a>

Amazon Quick 中的資料存取整合會建立與外部資料來源的安全連線。它們是建立知識庫的基礎。與執行動作的動作連接器不同，資料存取整合著重於從第三方應用程式和服務存取和編製內容索引。

資料存取整合只會設定身分驗證，並指向服務的專案或組織。它們無法直接用於分析或 AI 代理器。您必須建立連線的知識庫，才能存取資料。

## 資料存取整合的運作方式
<a name="data-access-integrations-overview"></a>

資料存取整合會設定身分驗證，並建立與第三方服務組織或專案的連線。您無法直接使用這些整合進行分析。您必須建立連接到資料存取整合的知識庫，以便 AI 客服人員、聊天介面和空間可存取資料。

資料存取整合與知識庫之間的關係是one-to-many：
+ 一個資料存取整合可以支援多個知識庫。
+ 每個知識庫會從連線的資料來源選取特定內容。
+ 知識庫會從其父資料存取整合繼承身分驗證和存取許可。

## 建立資料存取整合
<a name="data-access-integrations-create"></a>

使用下列程序來建立資料存取整合，以建立用於建立知識庫的身分驗證和連線詳細資訊。下列範例示範設定 Microsoft OneDrive 資料存取整合的程序，但一般步驟適用於其他資料存取整合。

**建立資料存取整合**

1. 捲動至設定頁面的新整合區域。尋找您要建立整合和知識庫的應用程式。選取「OneDrive」。
**注意**  
整合頁面預設知識庫索引標籤，而且可能有其他人已設定和共用的現有知識庫。如果您先前已設定整合，請檢查資料索引標籤，然後使用動作選單從該處建立知識庫。

1. 選取應用程式上的加號 (＋) 圖示按鈕，以建立新的整合和知識庫。

1. 選取從 Microsoft OneDrive 取得資料選項，然後按一下下一步按鈕。
**注意**  
有些應用程式整合支援資料擷取和讀取/寫入動作。設定會因每個設定而異。若要設定動作，您需要管理員提供更多資訊。

1. 完成身分驗證程序：

   1. Microsoft OneDrive 登入快顯視窗會自動出現。如果沒有，請按一下登入 Microsoft OneDrive 按鈕。

   1. 使用您的 Amazon 登入資料登入。

   1. 等到成功橫幅出現。

   1. 按一下「下一步」按鈕。

1. 使用 OneDrive 的檔案選擇器選取應擷取至知識庫的資料，然後按一下新增按鈕。

1. 在知識庫中輸入名稱和描述 （選用），然後按一下建立。

1. 將會有一個成功的提醒通知，資料擷取和同步將會開始。

1. 資料可能需要幾分鐘的時間才能同步，具體取決於正在擷取的檔案數量。狀態欄將保持同步狀態，直到就緒變更為可用為止。

1. 當知識庫準備好時，請使用聊天功能提出問題並與其互動。
**注意**  
根據預設，聊天會使用您可以存取的 '所有資料和應用程式'，以及代表您設定的 '。如果您想要與單一知識庫聊天，請在聊天資料選擇器中選取知識庫。
**注意**  
您也可以導覽至空間並新增知識庫，以將知識庫連接至空間。

成功建立後，您的資料存取整合會出現在整合清單中。您現在可以建立知識庫，使用此整合從連線的資料來源存取和索引內容。

**注意**  
如需每個資料來源特有的詳細組態步驟，請參閱 [支援的整合](supported-integrations.md)。

## 支援的資料來源
<a name="data-access-integrations-supported-sources"></a>

Amazon Quick 支援與下列應用程式和服務的資料存取整合。這些整合可讓您從外部資料來源建立知識庫：
+ **Amazon S3** - 使用 AWS 登入資料存取存放在 S3 儲存貯體中的文件和檔案。
+ **Atlassian Confluence** - 使用使用者身分驗證或服務身分驗證來索引頁面、空格和附件。
+ **Google Drive** - 使用 OAuth 2.0 身分驗證連線至個人和共用磁碟機。
+ **Microsoft OneDrive** - 使用使用者身分驗證或服務身分驗證存取商務用 OneDrive 內容。
+ **Microsoft SharePoint** - 使用 OAuth 2.0 身分驗證為 SharePoint Online 和伺服器內容編製索引。
+ **Web 爬蟲程式** - 使用基本身分驗證或表單/SAML 身分驗證，從內部和外部網站索引內容。

每個資料來源都支援不同的身分驗證方法和內容存取功能。資料存取整合與知識庫之間的關係是one-to-many - 一個整合可以支援多個知識庫，每個知識庫都會從連線的資料來源中選取特定內容。

## 資料來源類別
<a name="data-access-integrations-categories"></a>

資料存取整合會根據內容類型和存取模式組織為下列類別：

**雲端儲存和檔案系統**  
+ AWS S3 - 存取存放在 S3 儲存貯體中的文件和檔案。
+ Google Drive - 從個人和共用磁碟機為內容編製索引。
+ Microsoft OneDrive - 連線至商務用 OneDrive 內容。

**內容管理系統**  
+ Atlassian Confluence - 存取頁面、空格和附件。
+ Microsoft SharePoint - 索引 SharePoint Online 和伺服器內容。

**Web 內容**  
+ Web 爬蟲程式 - 來自內部和外部網站的索引內容。

### 身分驗證和安全性
<a name="data-access-integrations-authentication"></a>

資料存取整合使用安全身分驗證方法來保護您的資料和維護存取控制。身分驗證方法取決於特定資料來源和組織的安全需求。

**OAuth 身分驗證**  
大多數雲端型整合 (Google Drive、OneDrive、Confluence Cloud) 使用 OAuth 2.0 進行安全的字符型身分驗證。此方法可讓 Amazon Quick 存取您的資料，而不會儲存您的登入資料。

**服務帳戶身分驗證**  
企業整合可能會使用服務帳戶進行程式設計存取。此方法常見於 AWS S3 和其他以基礎設施為基礎的資料來源。

**無身分驗證**  
有些整合，例如存取公有網站的 Web 爬蟲程式，可能不需要身分驗證。不過，仍會根據您的 Amazon Quick 許可強制執行存取控制。

**注意**  
身分驗證要求和可用方法因使用者層而異。與 Authors 相比，讀者的身分驗證選項可能有限。

### 存取控制和許可
<a name="data-access-integrations-permissions"></a>

資料存取整合透過在多個層級強制執行存取控制來維護安全性。當使用者透過知識庫查詢內容時，Amazon Quick 會確保他們只能存取他們有權檢視的內容。
+ **來源層級許可** - 使用者必須在來源系統 (Google Drive、SharePoint 等） 中擁有適當的許可。
+ **整合層級許可** - 對整合本身的存取是由 Amazon Quick 許可控制。
+ **知識庫許可** - 個別知識庫可以有自己的存取控制。
+ **實體層級存取控制** - 當使用者查詢內容時，Amazon Quick 會驗證每個文件或項目的許可。

### 主要特徵和功能
<a name="data-access-integrations-features"></a>

資料存取整合提供多種功能來增強您的資料整合體驗：
+ **即時同步** - 當來源系統中發生變更時，內容會自動更新。
+ **選擇性索引** - 選擇要包含在知識庫中的特定資料夾、網站或內容類型。
+ **內容類型支援** - 為各種檔案格式編製索引，包括文件、試算表、簡報和網頁。
+ **中繼資料保留** - 維護重要的中繼資料，例如建立日期、作者和標籤。
+ **自然語言查詢** - 在您的索引內容中啟用 AI 支援的搜尋和問答功能。

### 開始之前
<a name="data-access-integrations-prerequisites"></a>

在建立資料存取整合之前，請確定您已具備下列需求：
+ **Amazon Quick 許可** - 撰寫或管理角色以建立和管理整合。
+ **來源系統存取** - 目標系統中的適當許可 （某些整合可能需要管理存取）。
+ **身分驗證憑證** - 目標系統的有效憑證或服務帳戶。
+ **網路連線** - 確保 Amazon Quick 可以存取您的資料來源。網路需求因整合類型而異：
  + **知識庫** - 不支援 VPC 連線。資料來源必須透過公有網際網路存取。
  + **動作連接器** - 支援 VPC 內資源伺服器的 VPC 連線。不過，身分驗證伺服器必須保持可公開存取。