授權連線到 Amazon Athena - Amazon QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權連線到 Amazon Athena

如果您需要 QuickSight 搭配 Amazon Athena 或 Amazon Athena 聯合查詢使用 Amazon,您首先需要授權與 Athena 和 Amazon Simple Storage Service (Amazon S3) 中關聯儲存貯體的連線。Amazon Athena 是一種互動式查詢服務,可讓您使用標準 直接在 Amazon S3 中分析資料SQL。Athena 聯合查詢透過使用 提供對更多類型資料的存取 AWS Lambda。使用從 QuickSight 到 Athena 的連線,您可以撰寫SQL查詢,以查詢儲存在關聯性、非關聯性、物件和自訂資料來源中的資料。如需詳細資訊,請參閱《Amazon Athena 使用者指南》中的使用 Athena 聯合查詢

從 設定 Athena 存取權時,請檢閱下列考量事項 QuickSight:

  • Athena 將來自 的查詢結果存放在儲存貯 QuickSight 體中。依預設,此儲存貯體的名稱會類似 aws-athena-query-results-AWSREGION-AWSACCOUNTID,例如 aws-athena-query-results-us-east-2-111111111111。因此,請務必確定 QuickSight 具有存取 Athena 目前正在使用的儲存貯體的許可。

  • 如果您的資料檔案使用 AWS KMS 金鑰加密,請將許可授予 Amazon QuickSight IAM 角色以解密金鑰。執行此動作最簡單的方法是使用 AWS CLI。

    您可以在 中執行 KMS create-grant API操作 AWS CLI 以執行此操作。

    aws kms create-grant --key-id <KMS_KEY_ARN> /
--grantee-principal <QS_ROLE_ARN> --operations Decrypt

    Amazon QuickSight 角色的 Amazon Resource Name (ARN) 具有 格式,arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>可以從IAM主控台存取。若要尋找您的KMS金鑰 ARN,請使用 S3 主控台。移至包含您的資料檔案的儲存貯體,然後選擇 Overview (概觀) 索引標籤。金鑰位於KMS金鑰 ID 附近。

  • 對於 Amazon Athena 、Amazon S3 和 Athena Query Federation 連線, 預設 QuickSight 會使用下列IAM角色:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0

    如果 aws-quicksight-s3-consumers-role-v0 不存在,則 QuickSight 會使用:

    arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0

  • 如果您已將範圍縮減政策指派給使用者,請確定這些政策包含 lambda:InvokeFunction 許可。如果沒有此許可,您的使用者將無法存取 Athena 聯合查詢。如需在 中將IAM政策指派給使用者的詳細資訊 QuickSight,請參閱 透過 設定 AWS 服務的精細存取 IAM。如需 lambda:InvokeFunction permission 的詳細資訊,請參閱 IAM 使用者指南 中的 的動作、資源和條件索引鍵 AWS Lambda

授權 QuickSight 連線至 Athena 或 Athena 聯合資料來源

  1. (選用) 如果您 AWS Lake Formation 搭配 Athena 使用 ,則還需要啟用 Lake Formation。如需詳細資訊,請參閱透過 授權連線 AWS Lake Formation

  2. 開啟右上角的設定檔選單,然後選擇管理 QuickSight。您必須是 QuickSight 管理員才能執行此操作。如果您在設定檔功能表中看不到管理 QuickSight,表示您沒有足夠的許可。

  3. 選擇安全和許可新增或移除

  4. 選擇 Amazon Athena 旁邊的方塊,下一步

    如果已啟用,您可能必須按兩下。即使 Amazon Athena 已經啟用,也可以執行此操作,以便您可以檢視設定。在此程序結束時,選擇更新之前,不會儲存任何變更。

  5. 啟用您要存取的 S3 儲存貯體。

  6. (選用) 若要啟用 Athena 聯合查詢,請選取您要使用的 Lambda 函數。

    注意

    您只能在 的相同區域中查看 Athena 目錄的 Lambda 函數 QuickSight。

  7. 若要確認變更,請選擇完成

    若要取消,請選擇 Cancel (取消)

  8. 若要儲存對安全和許可的變更,請選擇更新

若要測試連線授權設定

  1. 從 QuickSight 開始頁面中,選擇資料集 新資料集

  2. 選擇 Athena 卡。

  3. 按照螢幕提示,使用您需要連線的資源建立新的 Athena 資料來源。選擇驗證連線,以測試連線。

  4. 如果連線驗證,表示您已成功設定 Athena 或 Athena 聯合查詢連線。

    如果您沒有足夠的許可來連線至 Athena 資料集或執行 Athena 查詢,則會顯示錯誤,指示您聯絡 QuickSight 管理員。此錯誤表示,需要重新檢查您的連線授權設定,才能找出差異。

  5. 成功連線後,您或您的 QuickSight 作者可以建立資料來源連線,並與其他 QuickSight 作者共用。然後作者可以從連線建立多個資料集,以便在 QuickSight 儀表板中使用。

    如需有關 Athena 的疑難排解資訊,請參閱 搭配 Amazon 使用 Amazon Athena 時的連線問題 QuickSight