Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Autorisieren von Verbindungen von Amazon Quick Sight zu AWS Datenspeichern Daten verwenden in AWS | | | --- | |    Gilt für: Enterprise Edition und Standard Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Damit Amazon Quick Sight auf Ihre AWS Ressourcen zugreifen kann, müssen Sie Sicherheitsgruppen für sie erstellen, die Verbindungen aus den IP-Adressbereichen autorisieren, die von Amazon Quick Sight-Servern verwendet werden. Sie benötigen AWS Anmeldeinformationen, die Ihnen den Zugriff auf diese AWS Ressourcen ermöglichen, um deren Sicherheitsgruppen zu ändern. Verwenden Sie die Verfahren in den folgenden Abschnitten, um Amazon Quick Sight-Verbindungen zu aktivieren. **Topics** + [ # Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon RDS-DB-Instances ](enabling-access-rds.md) + [ # Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon Redshift Redshift-Clustern ](enabling-access-redshift.md) + [ # Autorisieren von Verbindungen von Amazon Quick zu Amazon EC2 EC2-Instances ](enabling-access-ec2.md) + [ # Autorisieren von Verbindungen über AWS Lake Formation ](lake-formation.md) + [ # Autorisieren von Verbindungen zu Amazon Service OpenSearch ](opensearch.md) + [ # Autorisieren von Verbindungen zu Amazon Athena ](athena.md) + [ # Integrationen für den Datenzugriff ](data-access-integrations.md) # Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon RDS-DB-Instances Amazon RDS | | | --- | |    Gilt für: Enterprise Edition und Standard Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Damit Amazon Quick Sight eine Verbindung zu einer Amazon RDS-DB-Instance herstellen kann, müssen Sie eine neue Sicherheitsgruppe für diese DB-Instance erstellen. Diese Sicherheitsgruppe enthält eine Regel für eingehenden Datenverkehr, die den Zugriff aus dem entsprechenden IP-Adressbereich für die darin enthaltenen Quick-Server autorisiert. AWS-Region Weitere Informationen zur Autorisierung von Schnellverbindungen finden Sie unter [Manuelles Aktivieren des Zugriffs auf eine Amazon RDS-Instance in einer VPC](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html) oder [Manuelles Aktivieren des Zugriffs auf eine Amazon RDS-Instance, die sich nicht in einer VPC befindet](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html). Weitere Informationen zur manuellen Autorisierung von Amazon Quick Sight-Verbindungen finden Sie unter [Manuelles Aktivieren des Zugriffs auf eine Amazon RDS-Instance in einer VPC](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html) oder [Manuelles Aktivieren des Zugriffs auf eine Amazon RDS-Instance, die sich nicht in einer Amazon VPC befindet](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html). Um für eine Amazon-RDS-DB-Instance eine Sicherheitsgruppe zu erstellen und zuzuweisen, müssen Sie über AWS -Anmeldeinformationen verfügen, die den Zugriff auf die DB-Instance erlauben. Die Aktivierung der Verbindung von Amazon Quick-Servern zu Ihrer Instance ist nur eine von mehreren Voraussetzungen für die Erstellung eines Datensatzes auf der Grundlage einer AWS Datenbankdatenquelle. Weitere Informationen dazu, was erforderlich ist, finden Sie unter [Erstellen eines Datensatzes aus einer Datenbank](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html). **Topics** + [ ## Manuelles Aktivieren des Amazon Quick Sight-Zugriffs auf eine Amazon RDS-Instance in einer VPC ](#rds-vpc-access) + [ ## Manuelles Aktivieren des Zugriffs von Amazon Quick Sight auf eine Amazon RDS-Instance, die sich nicht in einer VPC befindet ](#rds-classic-access) ## Manuelles Aktivieren des Amazon Quick Sight-Zugriffs auf eine Amazon RDS-Instance in einer VPC Amazon RDS mit einer VPC Gehen Sie wie folgt vor, um Amazon Quick Sight den Zugriff auf eine Amazon RDS-DB-Instance in einer VPC zu aktivieren. Wenn sich Ihre Amazon RDS-DB-Instance in einem Subnetz befindet, das privat ist (im Verhältnis zu Amazon Quick) oder an das Internet-Gateways angeschlossen sind, finden Sie weitere Informationen unter [Herstellen einer Verbindung zu einer VPC mit](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html) Amazon Quick. **So aktivieren Sie den Amazon Quick Sight-Zugriff auf eine Amazon RDS-DB-Instance in einer VPC** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/). 1. Wählen Sie **Databases (Datenbanken)**, suchen Sie die DB-Instance und zeigen Sie deren Details an. Dazu klicken Sie direkt auf seinen Namen (ein Hyperlink in der Spalte **DB identifier (DB-ID)**). 1. Suchen Sie **Port** und notieren Sie sich den Wert **Port**. Dies kann eine Zahl oder ein Bereich sein. 1. Suchen Sie **VPC** und notieren Sie den Wert **VPC**. 1. Wählen Sie den **VPC**-Wert aus, um die VPC-Konsole zu öffnen. Wählen Sie in der Amazon-VPC-Managementkonsole im Navigationsbereich **Sicherheitsgruppen**. 1. Wählen Sie **Sicherheitsgruppen erstellen** aus. 1. Geben Sie auf der Seite **Create Security Group (Sicherheitsgruppe erstellen)** die Informationen zur Sicherheitsgruppe wie folgt ein: + Geben Sie für **Name tag (Namens-Tag)** und **Group name (Gruppenname)** den Wert **Amazon-QuickSight-access** ein. + Geben Sie für **Beschreibung** den Text **Amazon-QuickSight-access** ein. + Wählen Sie für **VPC** die VPC für die Instance aus. Diese VPC ist die mit der **VPC-ID**, die Sie zuvor notiert haben. 1. Wählen Sie **Erstellen** aus. Notieren Sie sich auf der Bestätigungsseite die **Security grou id (Sicherheitsgruppen-ID)**. Wählen Sie **Close (Schließen)**, um diesen Bildschirm zu verlassen. 1. Wählen Sie Ihre neue Sicherheitsgruppe aus der Liste aus und wählen Sie dann **Inbound Rules (Eingangsregeln)** aus der Registerkartenliste unten. 1. Wählen Sie **Edit rules (Regeln bearbeiten)**, um eine neue Regel zu erstellen. 1. Wählen Sie auf der Seite **Edit inbound rules (Eingangsregeln bearbeiten)** **Add rule (Regel hinzufügen)**, um eine neue Regel zu erstellen. Verwenden Sie die folgenden Werte: + Wählen Sie für **Type** **Custom TCP Rule** aus. + Wählen Sie für **Protocol** **TCP** aus. + Geben Sie für **Portbereich** die Portnummer oder den Portbereich des Amazon-RDS-Clusters ein. Diese Portnummer (oder der Bereich) ist diejenige, die Sie zuvor notiert haben. + Wählen Sie für **Source (Quelle)** **Custom (Benutzerdefiniert)** aus der Liste. Geben Sie neben dem Wort „Benutzerdefiniert“ den CIDR-Adressblock für den AWS-Region Ort ein, an dem Sie Amazon Quick verwenden möchten. Für Europa (Irland) würden Sie beispielsweise den CIDR-Adressblock Europa (Irland) eingeben: `52.210.255.224/27`. Weitere Informationen zu den unterstützten AWS-Regionen IP-Adressbereichen für Amazon Quick finden Sie unter [AWS Regionen, Websites, IP-Adressbereiche und Endpunkte](https://docs.aws.amazon.com/quicksight/latest/user/regions.html). **Anmerkung** Wenn Sie Amazon Quick mehrfach aktiviert haben AWS-Regionen, können Sie eingehende Regeln für jeden Amazon Quick-Endpunkt CIDR erstellen. Dadurch kann Amazon Quick von jeder AWS Region aus, die in den Eingangsregeln definiert ist, auf die Amazon RDS-DB-Instance zugreifen. Jeder, der Amazon Quick mehrfach verwendet, AWS-Regionen wird als Einzelnutzer behandelt. Mit anderen Worten, auch wenn Sie Amazon Quick in allen Bereichen verwenden AWS-Region, sind sowohl Ihr Amazon Quick-Abonnement (manchmal auch als „Konto“ bezeichnet) als auch Ihre Benutzer global. 1. Geben Sie unter **Beschreibung** eine nützliche Beschreibung ein, zum Beispiel "*Europe (Ireland) QuickSight*“. 1. Wählen Sie **Save rules (Regeln speichern)**, um Ihre neue Eingangsregel zu speichern. Wählen Sie anschließend **Close (Schließen)** aus. 1. Gehen Sie zurück zur Detailansicht der DB-Instance. Gehen Sie zurück zur Amazon-RDS-Konsole ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)) und wählen Sie **Datenbanken**. 1. Wählen Sie die DB-ID für die entsprechende RDS-Instance. Wählen Sie **Ändern** aus. Derselbe Bildschirm wird angezeigt, wenn Sie auf dem Datenbankbildschirm oder auf dem DB-Instance-Bildschirm "Modify (Ändern)" wählen: **Modify DB Instance (DB-Instance ändern)**. 1. Suchen Sie den Abschnitt **Network & Security (Netzwerk und Sicherheit)** (den dritten Abschnitt von oben). Die aktuell zugewiesene(n) Sicherheitsgruppe(n) sind bereits für **Security group (Sicherheitsgruppe)** ausgewählt. Entfernen Sie keine der vorhandenen, es sei denn, Sie sind sich sicher. Wählen Sie stattdessen Ihre neue Sicherheitsgruppe, um sie zu den anderen ausgewählten Gruppen hinzuzufügen. Wenn Sie dem zuvor vorgeschlagenen Namen gefolgt sind, hat diese Gruppe möglicherweise einen ähnlichen Namen wie **Amazon QuickSight - Access**. 1. Scrollen Sie nach unten bis zum Ende des Bildschirms. Wählen Sie **Continue (Weiter)**. und wählen Sie dann **Modify DB Instance (DB-Instance ändern)**. 1. Wählen Sie **Apply during the next scheduled maintenance (Bei der nächsten geplanten Wartungs anwenden)** (der Bildschirm zeigt an, wann dies der Fall sein wird). Wählen Sie nicht **Apply immediately (Sofort anwenden)**. Dadurch werden auch alle zusätzlichen Änderungen, die sich in der Warteschlange für ausstehende Änderungen befinden, übernommen. Einige dieser Änderungen können zu Ausfallzeiten führen. Wenn Sie den Server außerhalb des Wartungsfensters herunterfahren, kann dies für die Benutzer dieser DB-Instance zu einem Problem führen. Konsultieren Sie Ihre Systemadministratoren, bevor Sie Änderungen sofort übernehmen. 1. Wählen Sie **Modify DB Instance (DB-Instance ändern)**, um Ihre Änderungen zu bestätigen. Warten Sie dann, bis das nächste Wartungsfenster zu Ende ist. ## Manuelles Aktivieren des Zugriffs von Amazon Quick Sight auf eine Amazon RDS-Instance, die sich nicht in einer VPC befindet Amazon RDS ohne eine VPC Führen Sie die folgenden Schritte aus, um auf eine Amazon-RDS-DB-Instance zuzugreifen, die sich nicht in einer VPC befindet. Sie können einer DB-Instance eine Sicherheitsgruppe zuordnen, indem Sie **Modify** auf der RDS-Konsole, die `ModifyDBInstance` Amazon RDS-API oder den `modify-db-instance` AWS CLI Befehl verwenden. **Anmerkung** Dieser Abschnitt enthält Informationen zur Abwärtskompatibilität. **So verwenden Sie die Konsole, um auf eine Amazon-RDS-DB-Instance zuzugreifen, die sich nicht in einer VPC befindet** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/). 1. Wählen Sie **Databases (Datenbanken)**, wählen Sie die DB-Instance und wählen Sie **Modify (Ändern)**. 1. Wählen Sie im Navigationsbereich **Security Groups** aus. 1. Wählen Sie **Create DB Security Group** aus. 1. Geben Sie **Amazon-QuickSight-access** für die Werte **Name** und **Beschreibung** ein, und wählen Sie dann **Erstellen**. 1. Die neue Sicherheitsgruppe wird standardmäßig ausgewählt. Wählen Sie das Symbol für die Details neben der Sicherheitsgruppe aus, wie unten angezeigt. 1. Wählen Sie für **Connection Type (Verbindungstyp)** den Eintrag **CIDR/IP** aus. 1. Geben Sie für **CIDR/IP to Authorize (Erlaubnis für CIDR/IP)** den entsprechenden CIDR-Adressblock ein. Weitere Informationen zu den unterstützten AWS-Regionen IP-Adressbereichen für Amazon Quick finden Sie unter [AWS Regionen, Websites, IP-Adressbereiche und Endpunkte](https://docs.aws.amazon.com/quicksight/latest/user/regions.html). 1. Klicken Sie auf **Authorize**. 1. Kehren Sie zur Seite **Instances** in der Amazon RDS Management Console zurück, wählen Sie die Instance aus, die Sie aktivieren möchten, klicken Sie auf **Instance-Aktionen** und wählen Sie dann **Ändern** aus. 1. Im Bereich**Network & Security** sind die zugewiesene Sicherheitsgruppe oder die Gruppen bereits für **Security Group** ausgewählt. Drücken Sie STRG und wählen Sie zusätzlich zu den anderen ausgewählten Gruppen **Amazon- QuickSight -Access** aus. 1. Wählen Sie **Continue** und dann **Modify DB Instance**. # Autorisieren von Verbindungen von Amazon Quick Sight zu Amazon Redshift Redshift-Clustern Amazon Redshift | | | --- | |    Gilt für: Enterprise Edition und Standard Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Sie können mithilfe von drei Authentifizierungsmethoden Zugriff auf Amazon Redshift-Daten gewähren: Weitergabe vertrauenswürdiger Identitäten, Ausführung als IAM-Rolle oder Amazon Redshift-Datenbankanmeldeinformationen. Bei Trusted Identity Propagation wird die Identität eines Benutzers mit Single Sign-On, das vom IAM Identity Center verwaltet wird, an Amazon Redshift weitergegeben. Die Identität eines Benutzers, der auf ein Dashboard in Amazon Quick Sight zugreift, wird an Amazon Redshift weitergegeben. In Amazon Redshift werden detaillierte Datenberechtigungen auf die Daten angewendet, bevor die Daten dem Benutzer in einem Amazon Quick-Asset präsentiert werden. Amazon Quick-Autoren können sich auch ohne Passworteingabe oder IAM-Rolle mit Amazon Redshift Redshift-Datenquellen verbinden. Wenn Amazon Redshift Spectrum verwendet wird, ist die gesamte Berechtigungsverwaltung in Amazon Redshift zentralisiert. Die Weitergabe vertrauenswürdiger Identitäten wird unterstützt, wenn Amazon Quick und Amazon Redshift dieselbe Organisationsinstanz von IAM Identity Center verwenden. Die Weitergabe von vertrauenswürdigen Identitäten wird derzeit für die folgenden Features nicht unterstützt. + SPICE-Datensätze + Benutzerdefiniertes SQL für Datenquellen + Benachrichtigungen + E-Mail-Berichte + Amazon Quick Q + CSV-, Excel- und PDF-Exporte + Anomalie-Erkennung Damit Amazon Quick eine Verbindung zu einer Amazon Redshift Redshift-Instance herstellen kann, müssen Sie eine neue Sicherheitsgruppe für diese Instance erstellen. Diese Sicherheitsgruppe enthält eine eingehende Regel, die den Zugriff aus dem entsprechenden IP-Adressbereich für die darin enthaltenen Amazon Quick-Server autorisiert. AWS-Region Weitere Informationen zur Autorisierung von Amazon Quick-Verbindungen finden Sie unter [Manuelles Aktivieren des Zugriffs auf einen Amazon Redshift Redshift-Cluster in einer VPC](https://docs.aws.amazon.com/quicksight/latest/user/redshift-vpc-access.html). Die Aktivierung der Verbindung von Amazon Quick-Servern zu Ihrem Cluster ist nur eine von mehreren Voraussetzungen für die Erstellung eines Datensatzes auf der Grundlage einer AWS Datenbankdatenquelle. Weitere Informationen dazu, was erforderlich ist, finden Sie unter [Erstellen eines Datensatzes aus einer Datenbank](https://docs.aws.amazon.com/quicksuite/latest/userguide/create-a-database-data-set.html). **Topics** + [ ## Aktivierung der Weitergabe vertrauenswürdiger Identitäten mit Amazon Redshift ](#redshift-trusted-identity-propagation) + [ ## Manuelles Aktivieren des Zugriffs auf einen Amazon-Redshift-Cluster in einer VPC ](#redshift-vpc-access) + [ ## Aktivieren des Zugriffs auf Amazon Redshift Spectrum ](#redshift-spectrum-access) ## Aktivierung der Weitergabe vertrauenswürdiger Identitäten mit Amazon Redshift Die Verbreitung vertrauenswürdiger Identitäten aktivieren Trusted Identity Propagation authentifiziert den Endbenutzer in Amazon Redshift, wenn er auf Amazon Quick-Assets zugreift, die eine vertrauenswürdige Identitätsverbreitung aktivierte Datenquelle nutzen. Wenn ein Autor eine Datenquelle mit vertrauenswürdiger Identitätsweitergabe erstellt, wird die Identität der Datenquellennutzer in Amazon Quick Sight weitergegeben und angemeldet. CloudTrail Auf diese Weise können Datenbankadministratoren die Datensicherheit in Amazon Redshift zentral verwalten und automatisch alle Datensicherheitsregeln auf Datenverbraucher in Amazon Quick anwenden. Bei anderen Authentifizierungsmethoden gelten die Datenberechtigungen des Autors, der die Datenquelle erstellt hat, für alle Nutzer der Datenquelle. Der Autor der Datenquelle kann sich dafür entscheiden, zusätzliche Sicherheit auf Zeilen- und Spaltenebene auf die Datenquellen anzuwenden, die er in Amazon Quick Sight erstellt. Datenquellen zur Weitergabe vertrauenswürdiger Identitäten werden nur in Direct Query-Datensätzen unterstützt. SPICE-Datensätze unterstützen derzeit keine Weitergabe vertrauenswürdiger Identitäten. **Topics** + [ ### Voraussetzungen ](#redshift-trusted-identity-propagation-prerequisites) + [ ### Aktivierung der Verbreitung vertrauenswürdiger Identitäten in Amazon Quick Sight ](#redshift-trusted-identity-propagation-enable) + [ ### Verbinden mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten ](#redshift-trusted-identity-propagation-connect) ### Voraussetzungen Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie alle erforderlichen Voraussetzungen erfüllen. + Die Weitergabe vertrauenswürdiger Identitäten wird nur für Amazon Quick-Konten unterstützt, die in IAM Identity Center integriert sind. Weitere Informationen finden [Sie unter Konfigurieren Ihres Amazon Quick-Kontos mit IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html). + Eine Amazon Redshift-Anwendung, die in IAM Identity Center integriert ist. Der Amazon Redshift Redshift-Cluster, den Sie verwenden, muss sich in derselben Organisation AWS Organizations befinden wie das Amazon Quick-Konto, das Sie verwenden möchten. Der Cluster muss auch mit derselben Organisationsinstanz in IAM Identity Center konfiguriert sein, für die Ihr Amazon Quick-Konto konfiguriert ist. Weitere Informationen zur Konfiguration eines Amazon Redshift-Clusters finden Sie unter [Integrieren von IAM Identity Center](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-idp-connect.html). ### Aktivierung der Verbreitung vertrauenswürdiger Identitäten in Amazon Quick Sight Um Amazon Quick Sight für die Verbindung zu Amazon Redshift Redshift-Datenquellen mit vertrauenswürdiger Identitätsverbreitung zu konfigurieren, konfigurieren Sie Amazon Redshift OAuth Redshift-Bereiche für Ihr Amazon Quick-Konto. Um einen Bereich hinzuzufügen, der es Amazon Quick ermöglicht, die Weitergabe von Identitäten an Amazon Redshift zu autorisieren, geben Sie in diesem Fall die AWS-Konto ID des Amazon Quick-Kontos und den Service an, mit dem Sie die Identitätsweitergabe autorisieren möchten. `'REDSHIFT'` Geben Sie den ARN der IAM Identity Center-Anwendung des Amazon Redshift Redshift-Clusters an, für den Sie Amazon Quick autorisieren, Benutzeridentitäten weiterzugeben. Diese Informationen finden Sie in der Amazon Redshift-Konsole. Wenn Sie keine autorisierten Ziele für den Amazon Redshift Redshift-Bereich angeben, autorisiert Amazon Quick Benutzer aus jedem Amazon Redshift Redshift-Cluster, die dieselbe IAM Identity Center-Instance teilen. Im folgenden Beispiel wird Amazon Quick so konfiguriert, dass es eine Verbindung zu Amazon Redshift Redshift-Datenquellen mit vertrauenswürdiger Identitätsverbreitung herstellt. ``` aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" ``` Im folgenden Beispiel werden OAuth Bereiche aus einem Amazon Quick-Konto gelöscht. ``` aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" ``` Das folgende Beispiel listet alle OAuth Bereiche auf, die sich derzeit in einem Amazon Quick-Konto befinden. ``` aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID" ``` ### Verbinden mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten Gehen Sie wie folgt vor, um eine Verbindung mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten herzustellen. **So stellen Sie eine Verbindung mit Amazon Redshift mit Weitergabe vertrauenswürdiger Identitäten her** 1. Erstellen Sie einen neuen Datensatz in Amazon Quick. Weitere Informationen zum Erstellen eines Datensatzes finden Sie unter [Datensätze erstellen](https://docs.aws.amazon.com/quicksight/latest/user/creating-data-sets.html). 1. Wählen Sie Amazon Redshift als Datenquelle für den neuen Datensatz. **Anmerkung** Der Authentifizierungstyp einer vorhandenen Datenquelle kann nicht in der Weitergabe vertrauenswürdiger Identitäten geändert werden 1. Wählen Sie IAM Identity Center als Identitätsoption für die Datenquelle und wählen Sie dann **Datenquelle erstellen** aus. ## Manuelles Aktivieren des Zugriffs auf einen Amazon-Redshift-Cluster in einer VPC Aktivieren des Zugriffs auf einen Amazon Redshift Redshift-Cluster in einer VPC | | | --- | |  Gilt für: Enterprise Edition  | Gehen Sie wie folgt vor, um Amazon Quick Sight den Zugriff auf einen Amazon Redshift Redshift-Cluster in einer VPC zu aktivieren. **So aktivieren Sie Amazon Quick Sight den Zugriff auf einen Amazon Redshift Redshift-Cluster in einer VPC** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon Redshift Redshift-Konsole unter [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/). 1. Navigieren Sie zu dem Cluster, den Sie in Amazon Quick verfügbar machen möchten. 1. Suchen Sie im Bereich **Clusterdatenbankeigenschaften** das Objekt **Port**. Notieren Sie den Wert für **Port**. 1. Suchen Sie **VPC ID** im Bereich **Cluster Properties (Cluster-Eigenschaften)** und notieren Sie den Wert für **VPC ID**. Wählen Sie die **VPC-ID** aus, um die Amazon VPC-Konsole zu öffnen. 1. Wählen Sie im Navigationsbereich der Amazon VPC-Konsole **Sicherheitsgruppen**. 1. Wählen Sie **Sicherheitsgruppen erstellen** aus. 1. Geben Sie auf der Seite **Create Security Group (Sicherheitsgruppe erstellen)** die Informationen zur Sicherheitsgruppe wie folgt ein: + Geben Sie für **Security group name** (Name der Sicherheitsgruppe) **redshift-security-group** ein. + Geben Sie für **Beschreibung** den Text **redshift-security-group** ein. + (Optional) Wählen Sie bei **VPC** die VPC für Ihren Amazon Redshift-Cluster aus. Es ist die VPC mit der VPC-ID, die Sie notiert haben. 1. Wählen Sie **Sicherheitsgruppe erstellen** aus. Ihre neue Sicherheitsgruppe sollte auf dem Bildschirm angezeigt werden. 1. Erstellen Sie eine zweite Sicherheitsgruppe mit den folgenden Eigenschaften: + Geben Sie für **Security group name** (Name der Sicherheitsgruppe) **quicksight-security-group** ein. + Geben Sie für **Beschreibung** den Text **quicksight-security-group** ein. + (Optional) Wählen Sie bei **VPC** die VPC für Ihren Amazon Redshift-Cluster aus. Es ist die VPC mit der VPC-ID, die Sie notiert haben. 1. Wählen Sie **Sicherheitsgruppe erstellen** aus. 1. Nachdem Sie die neuen Sicherheitsgruppen erstellt haben, erstellen Sie Regeln für eingehenden Datenverkehr für die neuen Gruppen. Wählen Sie die neue `redshift-security-group`-Sicherheitsgruppe aus und geben Sie die folgenden Werte ein. + Wählen Sie als **Typ** **Amazon Redshift** aus. + Wählen Sie für **Protocol** **TCP** aus. + Geben Sie für **Port-Bereich** die Portnummer für den Amazon-Redshift-Cluster ein, dem Sie den Zugriff gewähren. Dies ist die Portnummer, die Sie in einem der gerade vorangehenden Schritte notiert haben. + Geben Sie bei **Quelle** die ID der Sicherheitsgruppe von `quicksight-security-group` ein. 1. Wählen Sie **Save rules (Regeln speichern)**, um Ihre neue Eingangsregel zu speichern. 1. Wiederholen Sie den vorherigen Schritt für `quicksight-security-group` und geben Sie die folgenden Werte ein. + Wählen Sie für **Type (Typ)** die Option **All traffic (Gesamter Datenverkehr)** aus. + Wählen Sie unter **Protokoll** die Option **Alle** aus. + Wählen Sie für **Portbereich** die Option **Alle** aus. + Geben Sie bei **Quelle** die ID der Sicherheitsgruppe von `redshift-security-group` ein. 1. Wählen Sie **Save rules (Regeln speichern)**, um Ihre neue Eingangsregel zu speichern. 1. Navigieren Sie in Amazon Quick zum Menü **Amazon Quick verwalten**. 1. Wählen Sie **VPC-Verbindungen verwalten** und dann **VPC-Verbindung hinzufügen**. 1. Konfigurieren Sie ein benutzerdefiniertes Berechtigungsprofil mit den folgenden Werten: + Wählen Sie als **VPC-Verbindungsname** einen aussagekräftigen Namen für die VPC-Verbindung. + Wählen Sie für **VPC-ID** die VPC aus, in der der Amazon Redshift-Cluster vorhanden ist. + Wählen Sie für **Subnetz-ID** das Subnetz für die Availability Zone (AZ) aus, die für Amazon Redshift verwendet wird. + Kopieren Sie für die **Sicherheitsgruppen-ID** die Sicherheitsgruppen-ID für `quicksight-security-group` und fügen Sie sie ein. 1. Wählen Sie **Erstellen** aus. Möglicherweise dauert es ein paar Minuten, bis die neue VPC generiert ist. 1. Navigieren Sie in der Amazon Redshift-Konsole zu dem Amazon Redshift-Cluster, für den `redshift-security-group` konfiguriert ist. Wählen Sie **Eigenschaften**. Geben Sie unter **Netzwerk- und Sicherheitseinstellungen** den Namen der Sicherheitsgruppe ein. 1. Wählen Sie in Amazon Quick **Datensätze** und dann **Neuer Datensatz** aus. Erstellen Sie einen neuen Datensatz mit folgenden Werten. + Wählen Sie als **Datenquelle** **Amazon Redshift automatisch erkannt** aus. + Geben Sie der Datenquelle einen aussagekräftigen Namen. + Die Instance-ID sollte auto mit der VPC-Verbindung aufgefüllt werden, die Sie in Amazon Quick erstellt haben. Wenn die Instance-ID nicht automatisch aufgefüllt wird, wählen Sie die VPC, die Sie erstellt haben, aus der Dropdownliste aus. + Geben Sie die Datenbankanmeldeinformationen ein. Wenn Ihr Amazon Quick-Konto die Weitergabe vertrauenswürdiger Identitäten verwendet, wählen Sie **Single Sign-On**. 1. Wurde die Verbindung überprüft, wählen Sie **Datenquelle erstellen** aus. Wenn Sie die Standardregeln für ausgehenden Datenverkehr weiter einschränken möchten, aktualisieren Sie die Regel von `quicksight-security-group` für ausgehenden Datenverkehr, sodass nur Amazon Redshift-Datenverkehr an `redshift-security-group` zugelassen wird. Sie können auch die Regel für ausgehenden Datenverkehr löschen, die sich in der `redshift-security-group` befindet. ## Aktivieren des Zugriffs auf Amazon Redshift Spectrum Zugriff auf Redshift Spectrum aktivieren Mit Amazon Redshift Spectrum können Sie Amazon Quick mit Amazon Redshift mit einem externen Katalog verbinden. Sie können beispielsweise auf den Amazon-Athena-Katalog zugreifen. Anschließend können Sie unstrukturierte Daten auf Ihrem Amazon-S3-Data-Lake mithilfe eines Amazon-Redshift-Clusters anstelle der Athena-Abfrage-Engine abfragen. Sie können auch Datensätze kombinieren, die in Amazon Redshift und in S3 gespeicherte Daten umfassen. Anschließend können Sie darauf mithilfe der SQL-Syntax in Amazon Redshift zugreifen. Nachdem Sie Ihren Datenkatalog (für Athena) oder Ihr externes Schema (für einen [Hive-Metastore](https://aws.amazon.com/blogs/big-data/migrate-external-table-definitions-from-a-hive-metastore-to-amazon-athena/)) registriert haben, können Sie Amazon Quick verwenden, um das externe Schema und die Amazon Redshift Spectrum-Tabellen auszuwählen. Dieser Vorgang funktioniert genauso wie für andere Amazon-Redshift-Tabellen in Ihrem Cluster. Sie müssen Ihre Daten nicht laden oder transformieren. Weitere Informationen zur Verwendung von Amazon Redshift Spectrum finden Sie unter [Verwenden von Amazon Redshift Spectrum zum Abfragen externer Daten](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) im *Datenbank-Entwicklerhandbuch für Amazon Redshift.* Um eine Verbindung unter Verwendung von Redshift Spectrum herzustellen, gehen Sie wie folgt vor: + Erstellen oder identifizieren Sie eine IAM-Rolle, die dem Amazon-Redshift-Cluster zugeordnet ist. + Fügen Sie die IAM-Richtlinien `AmazonS3ReadOnlyAccess` und `AmazonAthenaFullAccess` der IAM-Rolle hinzu. + Registrieren Sie ein externes Schema oder einen Datenkatalog für die Tabellen, die Sie verwenden möchten. Mit Redshift Spectrum können Sie den Speicher von der Datenverarbeitung trennen, sodass Sie diese separat skalieren können. Berechnet werden Ihnen nur die Abfragen, die Sie tätigen. Um eine Verbindung zu Redshift Spectrum-Tabellen herzustellen, müssen Sie Amazon Quick Access auf Amazon S3 oder Athena nicht gewähren. Amazon Quick benötigt nur Zugriff auf den Amazon Redshift Redshift-Cluster. Vollständige Informationen zur Konfiguration von Redshift Spectrum finden Sie unter [Erste Schritte mit Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html) im *Datenbank-Entwicklerhandbuch für Amazon Redshift*. # Autorisieren von Verbindungen von Amazon Quick zu Amazon EC2 EC2-Instances Amazon EC2 | | | --- | |    Gilt für: Enterprise Edition und Standard Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Damit Amazon Quick Sight eine Verbindung zu einer Amazon EC2 EC2-Instance herstellen kann, müssen Sie eine neue Sicherheitsgruppe für diese Instance erstellen. Diese Sicherheitsgruppe enthält eine Regel für eingehenden Datenverkehr, die den Zugriff aus dem entsprechenden IP-Adressbereich für die darin enthaltenen Quick-Server autorisiert. AWS-Region Sie müssen über AWS -Anmeldeinformationen verfügen, um Zugriff auf die Amazon-EC2-Instances zu haben und deren Sicherheitsgruppen ändern zu können. Die Aktivierung der Verbindung von Quick-Servern zu Ihrer Instanz ist nur eine von mehreren Voraussetzungen für die Erstellung eines Datensatzes auf der Grundlage einer AWS Datenbankdatenquelle. Weitere Informationen dazu, was erforderlich ist, finden Sie unter [Erstellen eines Datensatzes aus einer Datenbank](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html). **Um Amazon Quick Access auf eine Amazon EC2 EC2-Instance zu aktivieren** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon EC2 EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Wenn sich Ihre EC2-Instance in einer VPC befindet, wählen Sie die Instance aus, um den Instance-Detailbereich anzuzeigen. Suchen Sie die VPC-ID und notieren Sie diese ID zur späteren Verwendung. 1. Wählen Sie **Security Groups** im Bereich **NETWORK & SECURITY** auf der linken Seite im Navigationsbereich aus. Wählen Sie dann **Create Security Group** aus, wie hier gezeigt. 1. Geben Sie die Informationen der Sicherheitsgruppe wie folgt ein: + Geben Sie für **Security group name** (Name der Sicherheitsgruppe) **Amazon-QuickSight-access** ein. + Geben Sie für **Beschreibung** den Text **Amazon-QuickSight-access** ein. + Wählen Sie für **VPC** die VPC-ID aus, die Sie in Schritt 2 notiert haben, wenn sich Ihre Amazon-EC2-Instance in einer VPC befindet. Wählen Sie andernfalls **No VPC (Keine VPC)** aus. 1. Wählen Sie auf der Registerkarte **Inbound** **Add Rule** aus. 1. Erstellen Sie eine neue Regel mit folgenden Werten: + Wählen Sie für **Type** **Custom TCP Rule** aus. + Wählen Sie für **Protocol** **TCP** aus. + (Optional) Geben Sie für **Port-Bereich** die Portnummer ein, die von der Instance auf dieser Amazon-EC2-Instance (für die Sie Zugriff erteilen möchten) ausgeführt wird. + Geben Sie **unter Quelle** den CIDR-Adressblock für den Bereich ein AWS-Region , in dem Sie Amazon Quick verwenden möchten. Dies ist beispielsweise der CIDR-Adressblock für Europa (Irland): `52.210.255.224/27`. Weitere Informationen zu den IP-Adressbereichen für Amazon Quick in unterstützten AWS Regionen finden Sie unter [AWS Regionen, Websites, IP-Adressbereiche und Endpunkte](https://docs.aws.amazon.com/quicksight/latest/user/regions.html). **Anmerkung** Wenn Sie Amazon Quick mehrfach aktiviert haben AWS-Regionen, können Sie eingehende Regeln für jeden Amazon Quick-Endpunkt CIDR erstellen. Dadurch erhält Amazon Quick Zugriff auf die Amazon RDS-DB-Instance von allen in den eingehenden Regeln AWS-Region definierten Werten aus. Ein Amazon Quick-Benutzer oder -Administrator, der Amazon Quick in mehreren AWS Regionen verwendet, wird als einzelner Benutzer behandelt. Mit anderen Worten, auch wenn Sie Amazon Quick in allen verwenden AWS-Region, sind sowohl Ihr Amazon Quick-Konto als auch Ihre Benutzer global. 1. Wählen Sie **Erstellen** aus. 1. Wählen Sie im Navigationsbereich **INSTANCES** **Instances** aus und wählen Sie die Instance aus, auf die Sie den Zugriff gewähren möchten. 1. Wählen Sie **Actions**, **Networking** und dann **Change Security Groups** aus. 1. Wählen Sie **unter Sicherheitsgruppen ändern** die **Amazon- QuickSight -Access-Sicherheitsgruppe** aus. Wählen Sie dann **Assign Security Groups** aus, wie hier gezeigt. # Autorisieren von Verbindungen über AWS Lake Formation Lake Formation | | | --- | |  Gilt für: Enterprise Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Wenn Sie Daten mit abfragen, können Sie AWS Lake Formation damit vereinfachen Amazon Athena, wie Sie Ihre Daten von Amazon Quick Sight sichern und eine Verbindung zu ihnen herstellen. Lake Formation erweitert das AWS Identity and Access Management (IAM) -Berechtigungsmodell durch die Bereitstellung eines eigenen Berechtigungsmodells, das auf AWS Analyse- und Machine-Learning-Dienste angewendet wird. Dieses zentral definierte Berechtigungsmodell steuert den Datenzugriff auf granularer Ebene durch einen einfachen Mechanismus für die Erteilung und den Widerruf von Berechtigungen. Sie können Lake Formation anstelle von oder zusätzlich zu Richtlinien mit eingeschränktem Geltungsbereich mit IAM verwenden. Wenn Sie Lake Formation einrichten, registrieren Sie Ihre Datenquellen, damit das Programm die Daten in einen neuen Data Lake in Amazon S3 verschieben kann. Lake Formation und Athena arbeiten beide nahtlos mit AWS Glue Data Catalog zusammen, so dass sie leicht zusammen verwendet werden können. Athena-Datenbanken und -Tabellen sind Metadaten-Container. Diese Container beschreiben das zugrundeliegende Schema der Daten, die DDL-Anweisungen (Data Definition Language) und den Speicherort der Daten in Amazon S3. Das folgende Diagramm zeigt die Beziehungen der beteiligten AWS Dienste. ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/quick/latest/userguide/images/lake-formation-architecture-drawing-1.png) Nach der Konfiguration von Lake Formation können Sie Amazon Quick verwenden, um anhand des Namens oder über SQL-Abfragen auf Datenbanken und Tabellen zuzugreifen. Amazon Quick bietet einen Editor mit vollem Funktionsumfang, in dem Sie SQL-Abfragen schreiben können. Oder Sie können die Athena-Konsole AWS CLI, den oder Ihren bevorzugten Abfrage-Editor verwenden. Weitere Informationen finden Sie unter [Zugriff auf Athena](https://docs.aws.amazon.com/athena/latest/ug/accessing-ate.html) im *Benutzerhandbuch zu Amazon Athena*. Verwenden Sie die folgenden Themen, um eine Lake Formation-Verbindung über Lake Formation oder Amazon Quick zu konfigurieren. **Topics** + [ ## Aktivieren der Verbindung von Lake Formation ](#lake-formation-lf-steps) + [ ## Verbindung von Amazon Quick aktivieren ](#lake-formation-qs-steps) ## Aktivieren der Verbindung von Lake Formation Bevor Sie diese Lösung mit Quick verwenden, stellen Sie sicher, dass Sie mit Athena mit Lake Formation auf Ihre Daten zugreifen können. Nachdem Sie sich vergewissert haben, dass die Verbindung über Athena funktioniert, müssen Sie nur noch überprüfen, ob Amazon Quick eine Verbindung zu Athena herstellen kann. Auf diese Weise müssen Sie die Verbindungsprobleme nicht bei allen drei Produkten gleichzeitig beheben. Eine einfache Möglichkeit, die Verbindung zu testen, ist die Verwendung der [Athena-Abfragekonsole](https://console.aws.amazon.com/athena/) zur Ausführung eines einfachen SQL-Befehls, z. B. `SELECT 1 FROM table`. Um Lake Formation einzurichten, muss die Person oder das Team, das daran arbeitet, Zugang zur Erstellung einer neuen IAM-Rolle und zu Lake Formation haben. Sie benötigen auch die in der folgenden Liste aufgeführten Informationen. Weitere Informationen finden Sie unter [Einrichten von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html) im *AWS Lake Formation -Entwicklerhandbuch.* + Erfassen Sie die Amazon-Ressourcennamen (ARNs) der Quick-Benutzer und -Gruppen, die auf die Daten in Lake Formation zugreifen müssen. Diese Benutzer sollten Amazon Quick-Autoren oder -Administratoren sein. **Um Amazon Quick-Benutzer und Gruppen zu finden ARNs** 1. Verwenden Sie den AWS CLI , um Benutzer ARNs für Amazon Quick-Autoren und -Administratoren zu finden. Führen Sie dazu den folgenden `list-users`-Befehl in Ihrem Terminal (Linux oder Mac) oder in der Befehlszeile (Windows) aus. ``` aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1 ``` Die Antwort gibt Informationen für jeden Benutzer zurück. Im folgenden Beispiel zeigen wir den Amazon-Ressourcenname (ARN) fett gedruckt. ``` RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468 Status: 200 UserList: - Active: true Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar Email: SaanviSarkar@example.com PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA Role: ADMIN UserName: SaanviSarkar ``` Um die Verwendung von zu vermeiden AWS CLI, können Sie das ARNs für jeden Benutzer manuell erstellen. 1. (Optional) Verwenden Sie die AWS CLI , um nach Amazon Quick-Gruppen zu ARNs suchen, indem Sie den folgenden `list-group` Befehl in Ihrem Terminal (Linux oder Mac) oder an Ihrer Eingabeaufforderung (Windows) ausführen. ``` aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1 ``` Die Antwort gibt Informationen für jede Gruppe zurück. Der ARN wird im folgenden Beispiel fett gedruckt. ``` GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard Description: Data Lake for CXO Balanced Scorecard GroupName: DataLake-Scorecard PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db RequestId: c1000198-18fa-4277-a1e2-02163288caf6 Status: 200 ``` Wenn Sie keine Amazon Quick-Gruppen haben, fügen Sie eine Gruppe hinzu, indem AWS CLI Sie den `create-group` Befehl ausführen. Derzeit gibt es keine Option, dies von der Amazon Quick-Konsole aus zu tun. Weitere Informationen finden Sie unter [Gruppen in Amazon Quick erstellen und verwalten](https://docs.aws.amazon.com/quicksight/latest/user/creating-quicksight-groups.html). Um die Verwendung von zu vermeiden AWS CLI, können Sie das ARNs für jede Gruppe manuell erstellen. ## Verbindung von Amazon Quick aktivieren Um mit Lake Formation und Athena zu arbeiten, stellen Sie sicher, dass Sie die AWS Ressourcenberechtigungen in Amazon Quick konfiguriert haben: + Aktivieren Sie den Zugriff auf Amazon Athena. + Aktivieren Sie den Zugriff auf die richtigen Buckets in Amazon S3. Normalerweise wird S3-Zugriff bei Aktivierung von Athena aktiviert. Da Sie S3-Berechtigungen jedoch außerhalb dieses Prozesses ändern können, ist es eine gute Idee, sie separat zu überprüfen. Informationen zum Überprüfen oder Ändern von AWS Ressourcenberechtigungen in Quick finden Sie unter [Automatische Erkennung von AWS Ressourcen zulassen](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) und [Zugreifen auf Datenquellen](https://docs.aws.amazon.com/quicksight/latest/user/access-to-aws-resources.html). # Autorisieren von Verbindungen zu Amazon Service OpenSearch OpenSearch | | | --- | |  Gilt für: Enterprise Edition  | | | | --- | |    Zielgruppe: Systemadministratoren  | Bevor Sie es OpenSearch in einem Amazon Quick Sight-Datensatz verwenden können, muss der Quick-Administrator in Zusammenarbeit mit einer Person, die Zugriff auf die OpenSearch Konsole hat, einige Aufgaben erledigen. Identifizieren Sie zunächst jede OpenSearch Domain, zu der Sie eine Verbindung herstellen möchten. Sammeln Sie dann die folgenden Informationen für jede Domain: + Der Name der OpenSearch Domain. + Die von dieser Domain verwendete OpenSearch Version. + Der Amazon-Ressourcenname (ARN) der OpenSearch Domain. + Der HTTPS-Endpunkt. + Die OpenSearch Dashboard-URL, wenn Sie Dashboards verwenden. Sie können die Dashboard-URL extrapolieren, indem Sie „`/dashboards/`“ an einen Endpunkt anhängen. + Wenn die Domain über einen VPC-Endpunkt verfügt, sammeln Sie alle zugehörigen Informationen auf der Registerkarte VPC der OpenSearch Servicekonsole: + Die VPC-ID + Die VPC-Sicherheitsgruppen + Die assoziierte IAM-Rolle oder Rollen + Die assoziierten Availability Zones + Die assoziierten Subnetze + Wenn die Domain einen regulären Endpunkt hat (keinen VPC-Endpunkt), beachten Sie, dass sie das öffentliche Netzwerk verwendet. + Die Startzeit für den täglichen automatisierten Snapshot (falls Ihre Benutzer das wissen möchten). Bevor Sie fortfahren, aktiviert der Amazon Quick-Administrator autorisierte Verbindungen von Amazon Quick to OpenSearch Service. Dieser Vorgang ist für jeden AWS Service erforderlich, zu dem Sie von Amazon Quick aus eine Verbindung herstellen. Sie müssen dies AWS-Konto für jeden AWS Service, den Sie als Datenquelle verwenden, nur einmal tun. Für OpenSearch Service fügt der Autorisierungsprozess die AWS verwaltete Richtlinie `AWSQuickSightOpenSearchPolicy` zu Ihrer hinzu AWS-Konto. **Wichtig** Stellen Sie sicher, dass die IAM-Richtlinie für Ihre OpenSearch Domain nicht mit den Berechtigungen in in `AWSQuickSightOpenSearchPolicy` kollidiert. Sie finden die Domänenzugriffsrichtlinie in der OpenSearch Servicekonsole. Weitere Informationen finden Sie unter [Konfiguration von Zugriffsrichtlinien](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating) im *Amazon OpenSearch Service Developer Guide*. **So schalten Sie Verbindungen von Amazon Quick to OpenSearch Service ein oder aus** 1. Wählen Sie in Amazon Quick **Administrator** und **Amazon Quick verwalten** aus. 1. Wählen Sie **Sicherheit & Berechtigungen**, **Hinzufügen oder Entfernen** aus. 1. Um Verbindungen zu aktivieren, aktivieren Sie das Kontrollkästchen **Amazon OpenSearch Service**. Um Verbindungen zu deaktivieren, deaktivieren Sie das **Amazon OpenSearch Service-Kontrollkästchen**. 1. Wählen Sie **Aktualisieren**, um Ihre Auswahl zu bestätigen. Verwenden Sie bei Bedarf die folgenden Themen, um eine OpenSearch VPC-Verbindung und Berechtigungen für Amazon Quick to Access OpenSearch zu konfigurieren. **Topics** + [ ## Verwenden einer VPC-Verbindung ](#opensearch-and-vpc-connection) + [ ## Berechtigungen verwenden OpenSearch ](#opensearch-permissions) ## Verwenden einer VPC-Verbindung In einigen Fällen befindet sich Ihre OpenSearch Domain in einer Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert. Falls ja, stellen Sie sicher, dass Amazon Quick bereits mit der VPC-ID verbunden ist, die die OpenSearch Domain verwendet. Sie können eine bestehende VPC-Verbindung wiederverwenden. Wenn Sie nicht sicher sind, ob es funktioniert, können Sie es testen. Weitere Informationen finden Sie unter [Testen der Verbindung zu Ihrer Amazon VPC-Datenquelle](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html). Wenn in Amazon Quick für die VPC, die Sie verwenden möchten, noch keine Verbindung definiert ist, können Sie eine erstellen. Bei dieser Aufgabe handelt es sich um einen mehrstufigen Prozess, den Sie abschließen müssen, bevor Sie fortfahren können. Informationen zum Hinzufügen von Amazon Quick zu einer VPC und zum Hinzufügen einer Verbindung von Amazon Quick zur VPC finden Sie unter Herstellen einer [Verbindung zu einer Amazon VPC mit Amazon](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html) Quick. ## Berechtigungen verwenden OpenSearch Nachdem Sie Amazon Quick für die Verbindung mit OpenSearch Service konfiguriert haben, müssen Sie möglicherweise Berechtigungen in aktivieren OpenSearch. Für diesen Teil des Einrichtungsprozesses können Sie den Link OpenSearch Dashboards für jede OpenSearch Domain verwenden. Anhand der folgenden Liste können Sie ermitteln, welche Berechtigungen Sie benötigen: 1. Konfigurieren Sie Berechtigungen für Domains, die eine differenzierte Zugriffskontrolle verwenden, in Form einer Rolle. Dieser Vorgang ähnelt der Verwendung von Richtlinien mit eingeschränktem Geltungsbereich in Amazon Quick. 1. Fügen Sie für jede Domain, für die Sie eine Rolle erstellen, eine Rollenzuordnung hinzu. Weitere Informationen finden Sie unter . Wenn für Ihre OpenSearch Domain eine [detaillierte Zugriffskontrolle](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) aktiviert ist, müssen einige Berechtigungen konfiguriert werden, damit auf die Domain von Amazon Quick aus zugegriffen werden kann. Führen Sie diese Schritte für jede Domain aus, die Sie verwenden möchten. Das folgende Verfahren verwendet OpenSearch Dashboards, ein Open-Source-Tool, das mit funktioniert. OpenSearch Den Link zu Dashboards finden Sie im Domain-Dashboard in der Servicekonsole. OpenSearch **So fügen Sie einer Domain Berechtigungen hinzu, um den Zugriff von Amazon Quick aus zu ermöglichen** 1. Öffnen Sie die OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Der URL ist `opensearch-domain-endpoint/dashboards/`. 1. Wählen Sie im Navigationsbereich **Sicherheit** aus. Wenn Sie den Navigationsbereich nicht sehen, öffnen Sie ihn mit dem Menüsymbol oben links. Um das Menü geöffnet zu lassen, wählen Sie **Dock-Navigation** unten links. 1. Wählen Sie **Roles (Rollen)**, **Create role (Rolle erstellen)** aus. 1. Benennen Sie die Rolle **quicksight\$1role**. Sie können einen anderen Namen wählen, aber wir empfehlen diesen, da wir ihn in unserer Dokumentation verwenden und er daher einfacher zu unterstützen ist. 1. Fügen Sie unter **Cluster-Berechtigungen** die folgenden Berechtigungen hinzu: + `cluster:monitor/main` + `cluster:monitor/health` + `cluster:monitor/state` + `indices:data/read/scroll` + `indices:data/read/scroll/clear`, 1. Wählen Sie **Indexberechtigungen** hinzufügen und geben Sie dann **\$1** für das Indexmuster an. 1. Fügen Sie für **Cluster-Berechtigungen** die folgenden Berechtigungen hinzu: + `indices:admin/get` + `indices:admin/mappings/get` + `indices:admin/mappings/fields/get*` + `indices:data/read/search*` + `indices:monitor/settings/get` 1. Wählen Sie **Erstellen** aus. 1. Wiederholen Sie dieses Verfahren für jede OpenSearch Domain, die Sie verwenden möchten. Verwenden Sie das folgende Verfahren, um eine Rollenzuordnung für die Berechtigungen hinzuzufügen, die Sie im vorherigen Verfahren hinzugefügt haben. Möglicherweise finden Sie es effizienter, die Berechtigungen und die Rollenzuordnung als Teil eines einzigen Vorgangs hinzuzufügen. Diese Anweisungen sind aus Gründen der Übersichtlichkeit getrennt. **So erstellen Sie eine Rollenzuordnung für die von Ihnen hinzugefügte IAM-Rolle** 1. Öffnen Sie die OpenSearch Dashboards für die OpenSearch Domain, mit der Sie arbeiten möchten. Der URL ist `opensearch-domain-endpoint/dashboards/`. 1. Wählen Sie im Navigationsbereich **Sicherheit** aus. 1. Suchen Sie in der Liste nach **quicksight\$1role** und öffnen Sie sie. 1. Wählen Sie auf der Registerkarte **Zugeordnete Benutzer** die Option **Zuordnungen verwalten**. 1. Geben Sie im Abschnitt **Backend-Rollen** den ARN der AWS-verwalteten IAM-Rolle für Amazon Quick ein. Im Folgenden sehen Sie ein Beispiel. ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 ``` 1. Wählen Sie **Zuordnen** aus. 1. Wiederholen Sie dieses Verfahren für jede OpenSearch Domain, die Sie verwenden möchten. # Autorisieren von Verbindungen zu Amazon Athena Amazon Athena Wenn Sie Amazon Quick Sight mit Amazon Athena oder Amazon Athena Federated Query verwenden müssen, müssen Sie zunächst Verbindungen zu Athena und den zugehörigen Buckets in Amazon Simple Storage Service (Amazon S3) autorisieren. Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse von Daten in Amazon S3 mit Standard-SQL erleichtert. Athena Federated Query bietet Zugriff auf mehr Datentypen mithilfe von. AWS Lambda Mithilfe einer Verbindung von Quick zu Athena können Sie SQL-Abfragen schreiben, um Daten abzufragen, die in relationalen, nicht-relationalen, Objekt- und benutzerdefinierten Datenquellen gespeichert sind. Weitere Informationen finden Sie unter [Verwenden der Athena-Verbundabfrage](https://docs.aws.amazon.com/athena/latest/ug/connect-to-a-data-source.html) im Benutzerhandbuch von Amazon Athena. Beachten Sie die folgenden Überlegungen, wenn Sie den Zugriff auf Athena von Quick aus einrichten: + Athena speichert Abfrageergebnisse von Amazon Quick Sight in einem Bucket. Standardmäßig hat dieser Bucket einen ähnlichen Namen wie `aws-athena-query-results-AWSREGION-AWSACCOUNTID`, z. B. `aws-athena-query-results-us-east-2-111111111111`. Daher ist es wichtig sicherzustellen, dass Amazon Quick Sight über Berechtigungen für den Zugriff auf den Bucket verfügt, den Athena derzeit verwendet. + Wenn Ihre Datendatei mit einem AWS KMS Schlüssel verschlüsselt ist, gewähren Sie der Amazon Quick Sight IAM-Rolle Berechtigungen zum Entschlüsseln des Schlüssels. Am einfachsten lässt sich das über die AWS CLI durchführen. Zu diesem Zweck können Sie den KMS [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) API-Vorgang in AWS CLI ausführen. ``` aws kms create-grant --key-id / --grantee-principal --operations Decrypt ``` Der Amazon-Ressourcenname (ARN) für die Amazon Quick-Rolle hat das Format `arn:aws:iam:::role/service-role/aws-quicksight-s3-consumers-role-v` und kann von der IAM-Konsole aus aufgerufen werden. Um den ARN Ihres KMS-Schlüssels zu ermitteln, verwenden Sie die S3-Konsole. Navigieren Sie zum Bucket mit der Datendatei und öffnen Sie die Registerkarte **Overview (Übersicht)**. Der Schlüssel befindet sich in der Nähe von **KMS key ID** (KMS-Schlüssel-ID). + Für Amazon Athena-, Amazon S3- und Athena Query Federation-Verbindungen verwendet Amazon Quick standardmäßig die folgende IAM-Rolle: ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0 ``` Wenn das nicht vorhanden `aws-quicksight-s3-consumers-role-v0` ist, verwendet Amazon Quick: ``` arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0 ``` + Wenn Sie Ihren Benutzern Richtlinien mit eingeschränktem Umfang zugewiesen haben, überprüfen Sie, ob die Richtlinien die Berechtigung `lambda:InvokeFunction` enthalten. Ohne diese Berechtigung können Ihre Benutzer nicht auf Amazon-Athena-Verbundabfragen zugreifen. Weitere Informationen zum Zuweisen von IAM-Richtlinien zu Ihren Benutzern in Amazon Quick finden Sie unter [Granularzugriff auf AWS Dienste über IAM einrichten](https://docs.aws.amazon.com/quicksight/latest/user/scoping-policies-iam-interface.html). *Weitere Informationen zur lambda: InvokeFunction -Berechtigung finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslambda.html) im IAM-Benutzerhandbuch.* **So autorisieren Sie Amazon Quick, eine Verbindung zu Verbunddatenquellen von Athena oder Athena herzustellen** 1. (Optional) Wenn Sie es AWS Lake Formation mit Athena verwenden, müssen Sie auch Lake Formation aktivieren. Weitere Informationen finden Sie unter [Verbindungen autorisieren](https://docs.aws.amazon.com/quicksight/latest/user/lake-formation.html) über. AWS Lake Formation 1. Öffnen Sie Ihr Profilmenü oben rechts und wählen Sie **Verwalten QuickSight**. Sie müssen ein Amazon Quick-Administrator sein, um dies zu tun. Wenn im Profilmenü die Option **Verwalten** nicht QuickSight angezeigt wird, verfügen Sie nicht über ausreichende Berechtigungen. 1. Wählen Sie **Sicherheit & Berechtigungen**, **Hinzufügen oder Entfernen** aus. 1. Wählen Sie das Feld neben Amazon Athena, **Weiter**. Wenn es bereits aktiviert war, müssen Sie möglicherweise darauf doppelklicken. Tun Sie dies auch dann, wenn Amazon Athena bereits aktiviert ist, damit Sie die Einstellungen einsehen können. Es werden keine Änderungen gespeichert, bis Sie am Ende dieses Vorgangs auf **Aktualisieren** klicken. 1. Aktivieren Sie die S3-Buckets, auf die Sie zugreifen möchten. 1. (Optional) Um Athena-Verbundabfragen zu aktivieren, wählen Sie die Lambda-Funktionen aus, die Sie verwenden möchten. **Anmerkung** Sie können Lambda-Funktionen für die Athena-Kataloge nur in derselben Region von Amazon Quick sehen. 1. Wählen Sie **Fertigstellen**, um Ihre Änderungen zu speichern. Wenn Sie den Vorgang abbrechen möchten, klicken Sie auf **Cancel (Abbrechen)**. 1. Um die Änderungen an Sicherheit und Berechtigungen zu speichern, wählen Sie **Aktualisieren.** **So testen Sie die Einstellungen für die Verbindungsautorisierung** 1. Wählen Sie auf der Amazon-Schnellstartseite **Datensätze**, **Neuer Datensatz** aus. 1. Wählen Sie die Athene-Karte aus. 1. Folgen Sie den Bildschirmanweisungen, um eine neue Athena-Datenquelle mit den Ressourcen zu erstellen, mit denen Sie eine Verbindung herstellen möchten. Wählen Sie zum Testen der Verbindung die Option **Verbindung validieren** aus. 1. Wenn die Verbindung validiert wird, haben Sie erfolgreich eine Athena- oder Athena-Verbundabfrage-Verbindung konfiguriert. Wenn Sie nicht über ausreichende Berechtigungen verfügen, um eine Verbindung zu einem Athena-Datensatz herzustellen oder eine Athena-Abfrage auszuführen, wird eine Fehlermeldung angezeigt, in der Sie aufgefordert werden, einen Amazon Quick-Administrator zu kontaktieren. Dieser Fehler bedeutet, dass Sie Ihre Verbindungsautorisierungseinstellungen erneut überprüfen müssen, um die Diskrepanz zu finden. 1. Nachdem Sie erfolgreich eine Verbindung hergestellt haben, können Sie oder Ihre Amazon Quick-Autoren Datenquellenverbindungen erstellen und diese mit anderen Amazon Quick-Autoren teilen. Die Autoren können dann aus den Verbindungen mehrere Datensätze erstellen, um sie in Amazon Quick-Dashboards zu verwenden. Informationen zur Fehlerbehebung bei Athena finden Sie unter [Verbindungsprobleme bei der Verwendung von Athena mit Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-athena.html). ## Verwenden der Weitergabe vertrauenswürdiger Identitäten mit Athena Die Verbreitung vertrauenswürdiger Identitäten ermöglicht AWS Diensten Zugriff auf AWS Ressourcen, die auf dem Identitätskontext des Benutzers basieren, und teilt die Identität dieses Benutzers auf sichere Weise mit anderen AWS Diensten. Diese Funktionen ermöglichen es, den Benutzerzugriff einfacher zu definieren, zu gewähren und zu protokollieren. Wenn Administratoren Quick, Athena, Amazon S3 Access Grants und AWS Lake Formation mit IAM Identity Center konfigurieren, können sie jetzt die Verbreitung vertrauenswürdiger Identitäten über diese Dienste hinweg aktivieren und zulassen, dass die Identität des Benutzers dienstübergreifend weitergegeben wird. Wenn ein IAM Identity Center-Benutzer von Quick aus auf Daten zugreift, können Athena oder Lake Formation Autorisierungsentscheidungen anhand der vom Identitätsanbieter der Organisation für ihre Benutzer- oder Gruppenmitgliedschaft definierten Berechtigungen treffen. Die Weitergabe vertrauenswürdiger Identitäten mit Athena funktioniert nur, wenn die Berechtigungen über Lake Formation verwaltet werden. Benutzerberechtigungen für Daten befinden sich in Lake Formation. ### Voraussetzungen Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie alle erforderlichen Voraussetzungen erfüllen. **Wichtig** Beachten Sie beim Erfüllen der folgenden Voraussetzungen, dass Ihre IAM Identity Center-Instance, Athena-Arbeitsgruppe, Lake Formation und Amazon S3 Access Grants alle in derselben Region bereitgestellt werden müssen. AWS + Konfigurieren Sie Ihr Quick-Konto mit IAM Identity Center. Die Weitergabe vertrauenswürdiger Identitäten wird nur für Quick-Konten unterstützt, die in IAM Identity Center integriert sind. Weitere Informationen finden Sie unter [Konfigurieren Sie Ihr Amazon Quick-Konto mit IAM Identity Center](setting-up-sso.md#sec-identity-management-identity-center). **Anmerkung** Um Athena-Datenquellen zu erstellen, müssen Sie ein IAM Identity Center-Benutzer (Autor) in einem Quick-Konto sein, das IAM Identity Center verwendet. + Eine für IAM Identity Center aktivierte Athena-Arbeitsgruppe. Die Athena-Arbeitsgruppe, die Sie verwenden, muss dieselbe IAM Identity Center-Instanz wie das Quick-Konto verwenden. Weitere Informationen zur Konfiguration einer Athena-Arbeitsgruppe finden Sie unter [Erstellen einer für IAM Identity Center aktivierten Athena-Arbeitsgruppe](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup) im *Amazon Athena-Benutzerhandbuch*. + Der Zugriff auf den Athena-Abfrageergebnis-Bucket wird mit Amazon S3 Access Grants verwaltet. Weitere Informationen finden Sie unter [Verwalten des Zugriffs mit Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) im *Amazon S3-Benutzerhandbuch*. Wenn Ihre Abfrageergebnisse mit einem AWS KMS Schlüssel verschlüsselt sind, benötigen sowohl die Amazon S3 Access Grant IAM-Rolle als auch die Athena-Arbeitsgruppenrolle entsprechende Berechtigungen. AWS KMS + Weitere Informationen finden Sie unter [Amazon S3 Access Grants und Identitäten im Unternehmensverzeichnis](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) im Amazon S3-Benutzerhandbuch. + Die Amazon S3 Access Grant-Rolle muss die `STS:SetContext`-Aktion in ihrer Vertrauensrichtlinie für die Weitergabe von Identitäten enthalten. Ein Beispiel finden Sie unter [Registrieren eines Standorts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) im Amazon S3-Benutzerhandbuch. + Datenberechtigungen müssen mit Lake Formation verwaltet werden und Lake Formation muss mit derselben IAM Identity Center-Instanz wie Quick und der Athena-Arbeitsgruppe konfiguriert werden. Informationen zur Konfiguration finden Sie unter [Integration von IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html) im *AWS Lake Formation -Entwicklerhandbuch*. + Der Data Lake-Administrator muss Benutzern und Gruppen von IAM Identity Center in Lake Formation Berechtigungen gewähren. Weitere Informationen finden Sie unter [Gewähren von Berechtigungen für Benutzer und Gruppen](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html) im *AWS Lake Formation -Entwicklerhandbuch*. + Der Quick-Administrator muss Verbindungen zu Athena autorisieren. Details hierzu finden Sie unter [Autorisieren von Verbindungen zu Amazon Athena](#athena). Beachten Sie, dass Sie bei der Weitergabe vertrauenswürdiger Identitäten der Schnellrolle Amazon S3 S3-Bucket keine Berechtigungen oder AWS KMS Berechtigungen erteilen müssen. Sie müssen Ihre Benutzer und Gruppen, die über Berechtigungen für die Arbeitsgruppe in Athena verfügen, mit dem Amazon S3-Bucket synchron halten, der Abfrageergebnisse mit Amazon S3 Access Grants-Berechtigungen speichert, damit Benutzer mithilfe der Weitergabe vertrauenswürdiger Identitäten erfolgreich Abfragen ausführen und Abfrageergebnisse im Amazon S3-Bucket abrufen können. ### Konfigurieren der IAM-Rolle mit den erforderlichen Berechtigungen Um Trusted Identity Propagation mit Athena verwenden zu können, muss Ihr Quick-Konto über die erforderlichen Berechtigungen für den Zugriff auf Ihre Ressourcen verfügen. Um diese Berechtigungen bereitzustellen, müssen Sie Ihr Quick-Konto so konfigurieren, dass es eine IAM-Rolle mit den entsprechenden Berechtigungen verwendet. Wenn Ihr Quick-Konto bereits eine benutzerdefinierte IAM-Rolle verwendet, können Sie diese ändern. Wenn Sie noch keine IAM-Rolle haben, erstellen Sie eine, indem Sie den Anweisungen unter [Erstellen einer Rolle für einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch* folgen. Die IAM-Rolle, die Sie erstellen oder ändern, muss die folgenden Vertrauensrichtlinien und Berechtigungen enthalten. #### Erforderliche Vertrauensrichtlinie Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter [Aktualisieren einer Vertrauensrichtlinie für Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html). #### Erforderliche Athena-Berechtigungen Informationen zum Aktualisieren der Vertrauensrichtlinie einer IAM-Rolle finden Sie unter [Aktualisieren von Berechtigungen für eine Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html). **Anmerkung** Die `Resource` verwendet den `*`-Platzhalter. Wir empfehlen Ihnen, es so zu aktualisieren, dass es nur die Athena-Ressourcen enthält, die Sie mit Quick verwenden möchten. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:CancelQueryExecution", "athena:GetCatalogs", "athena:GetExecutionEngine", "athena:GetExecutionEngines", "athena:GetNamespace", "athena:GetNamespaces", "athena:GetQueryExecution", "athena:GetQueryExecutions", "athena:GetQueryResults", "athena:GetQueryResultsStream", "athena:GetTable", "athena:GetTables", "athena:ListQueryExecutions", "athena:RunQuery", "athena:StartQueryExecution", "athena:StopQueryExecution", "athena:ListWorkGroups", "athena:ListEngineVersions", "athena:GetWorkGroup", "athena:GetDataCatalog", "athena:GetDatabase", "athena:GetTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "*" } ] } ``` ------ ### Konfigurieren Sie Ihr Quick-Konto für die Verwendung der IAM-Rolle Nachdem Sie die IAM-Rolle im vorherigen Schritt konfiguriert haben, müssen Sie Ihr Quick-Konto für die Verwendung konfigurieren. Weitere Informationen über die entsprechende Vorgehensweise finden Sie unter [Verwenden vorhandener IAM-Rollen in Quick](security-create-iam-role.md#security-create-iam-role-use). ### Aktualisieren Sie die Konfiguration für die Identitätsverbreitung mit dem AWS CLI Um Quick zu autorisieren, Endbenutzeridentitäten an Athena-Arbeitsgruppen weiterzugeben, führen Sie die folgende `update-identity-propagation-config` API von aus aus aus aus und ersetzen Sie dabei die AWS CLI folgenden Werte: + *us-west-2*Ersetzen Sie durch die AWS Region, in der sich Ihre IAM Identity Center-Instanz befindet. + Ersetzen Sie *111122223333* durch Ihre AWS -Konto-ID. ``` aws quicksight update-identity-propagation-config \ --service ATHENA \ --region us-west-2 \ --aws-account-id 111122223333 ``` ### Erstellen Sie einen Athena-Datensatz in Quick Erstellen Sie nun in Quick einen Athena-Datensatz, der mit der für IAM Identity Center aktivierten Athena-Arbeitsgruppe konfiguriert ist, zu der Sie eine Verbindung herstellen möchten. Informationen zum Erstellen eines Athena-Datensatzes finden Sie unter [Erstellen eines Datensatzes mit Amazon-Athena-Daten](create-a-data-set-athena.md). ### Wichtige Hinweise, Überlegungen und Grenzen Die folgende Liste enthält einige wichtige Überlegungen bei der Verwendung von Trusted Identity Propagation mit Quick und Athena. + Bei Quick Athena-Datenquellen, die vertrauenswürdige Identitätsverbreitung verwenden, werden Lake Formation Formation-Berechtigungen anhand des IAM Identity Center-Endbenutzers und der IAM Identity Center-Gruppen, denen der Benutzer möglicherweise angehört, bewertet. + Bei der Verwendung von Athena-Datenquellen, die die Weitergabe vertrauenswürdiger Identitäten verwenden, empfehlen wir, dass jede fein abgestimmte Zugriffskontrolle in Lake Formation durchgeführt wird. Wenn Sie sich jedoch für die Quick Scope Down-Policy-Funktion entscheiden, werden die Scope Down-Richtlinien anhand des Endbenutzers bewertet. + Die folgenden Features sind für Datenquellen und Datensätze deaktiviert, die die Weitergabe vertrauenswürdiger Identitäten verwenden: SPICE-Datensätze, benutzerdefiniertes SQL für Datenquellen, Schwellenwertwarnungen, E-Mail-Berichte, Q-Themen, Storys, Szenarien, CSV-, Excel- und PDF-Exporte, Anomalieerkennung. + Wenn Sie hohe Latenzen oder Timeouts feststellen, kann dies an einer Kombination aus einer hohen Anzahl von IAM Identity Center-Gruppen, Athena-Datenbanken, -Tabellen und Lake Formation-Regeln liegen. Wir empfehlen, nur die erforderliche Anzahl dieser Ressourcen zu verwenden. # Integrationen für den Datenzugriff Datenzugriffsintegrationen in Amazon Quick stellen sichere Verbindungen zu externen Datenquellen her. Sie dienen als Grundlage für die Erstellung von Wissensdatenbanken. Im Gegensatz zu Action Connectors, die Aktionen ausführen, konzentrieren sich Datenzugriffsintegrationen auf den Zugriff auf und die Indexierung von Inhalten aus Anwendungen und Diensten von Drittanbietern. Datenzugriffsintegrationen konfigurieren lediglich die Authentifizierung und verweisen auf das Projekt oder die Organisation des Dienstes. Sie können nicht direkt für Analysen oder von KI-Agenten verwendet werden. Sie müssen eine vernetzte Wissensdatenbank einrichten, um die Daten zugänglich zu machen. ## Wie funktionieren Datenzugriffsintegrationen Datenzugriffsintegrationen konfigurieren die Authentifizierung und stellen Verbindungen zu Serviceorganisationen oder Projekten von Drittanbietern her. Sie können diese Integrationen nicht direkt für Analysen verwenden. Sie müssen Wissensdatenbanken erstellen, die mit der Datenzugriffsintegration verbunden sind, um die Daten für KI-Agenten, Chat-Schnittstellen und Bereiche zugänglich zu machen. Die Beziehung zwischen Datenzugriffsintegrationen und Wissensdatenbanken ist one-to-many: + Eine Datenzugriffsintegration kann mehrere Wissensdatenbanken unterstützen. + Jede Wissensdatenbank wählt bestimmte Inhalte aus der verbundenen Datenquelle aus. + Wissensdatenbanken übernehmen Authentifizierungs- und Zugriffsberechtigungen von ihrer übergeordneten Datenzugriffsintegration. ## Erstellen Sie eine Datenzugriffsintegration Gehen Sie wie folgt vor, um eine Datenzugriffsintegration zu erstellen, die Authentifizierungs- und Verbindungsdetails für die Erstellung einer Wissensdatenbank festlegt. Das folgende Beispiel zeigt den Prozess zum Einrichten einer OneDrive Microsoft-Datenzugriffsintegration. Die allgemeinen Schritte gelten jedoch auch für andere Datenzugriffsintegrationen. **Um eine Datenzugriffsintegration zu erstellen** 1. Scrollen Sie auf der Seite zum Bereich Neue Integration einrichten. Suchen Sie die Anwendung, für die Sie eine Integrations- und Wissensdatenbank erstellen möchten. Wählen Sie "OneDrive“ aus. **Anmerkung** Auf der Integrationsseite wird standardmäßig die Registerkarte Wissensdatenbanken angezeigt. Möglicherweise gibt es bereits Wissensdatenbanken, die von anderen eingerichtet und gemeinsam genutzt wurden. Wenn Sie bereits eine Integration eingerichtet haben, überprüfen Sie die Registerkarte Daten und verwenden Sie das Aktionsmenü, um von dort aus eine Wissensdatenbank zu erstellen. 1. Wählen Sie in der Anwendung das Plussymbol (\$1) aus, um eine neue Integrations- und Wissensdatenbank zu erstellen. 1. Wählen Sie die OneDrive Option Daten von Microsoft holen und klicken Sie auf Weiter. **Anmerkung** Einige Anwendungsintegrationen unterstützen die Datenaufnahme und Aktionen. read/write Die Einrichtung ist von Fall zu Fall unterschiedlich. Um Aktionen einzurichten, benötigen Sie weitere Informationen von Ihrem Administrator. 1. Schließen Sie den Authentifizierungsprozess ab: 1. Ein OneDrive Microsoft-Anmelde-Popup wird automatisch angezeigt. Ist dies nicht der Fall, klicken Sie auf die OneDrive Schaltfläche Bei Microsoft anmelden. 1. Melden Sie sich mit Ihren Amazon-Zugangsdaten an. 1. Warten Sie, bis ein Erfolgsbanner erscheint. 1. Klicken Sie auf die Schaltfläche „Weiter“. 1. Wählen Sie mit der Dateiauswahl für die Daten aus, die in die Wissensdatenbank aufgenommen werden sollen, OneDrive und klicken Sie auf die Schaltfläche Hinzufügen. 1. Geben Sie in einer Wissensdatenbank einen Namen und eine Beschreibung (optional) ein und klicken Sie dann auf Erstellen. 1. Es wird eine Erfolgsmeldung angezeigt und die Datenaufnahme und -synchronisierung wird gestartet. 1. Die Synchronisierung der Daten kann je nach Anzahl der aufgenommenen Dateien mehrere Minuten dauern. Die Statusspalte behält den Status Synchronisieren, bis sie bereit ist und in Verfügbar geändert wird. 1. Wenn die Wissensdatenbank fertig ist, verwenden Sie den Chat, um Fragen zu stellen und mit ihr zu interagieren. **Anmerkung** Standardmäßig verwendet der Chat „alle Daten und Apps“, auf die Sie Zugriff haben und die in Ihrem Namen eingerichtet wurden. Wenn Sie mit einer einzigen Wissensdatenbank chatten möchten, wählen Sie die Wissensdatenbank in der Chat-Datenauswahl aus. **Anmerkung** Sie können einem Space auch eine Wissensdatenbank zuordnen, indem Sie zu dem Space navigieren und ihn hinzufügen. Nach erfolgreicher Erstellung wird Ihre Datenzugriffsintegration in der Integrationsliste angezeigt. Sie können jetzt Wissensdatenbanken erstellen, die diese Integration verwenden, um auf Inhalte aus der verbundenen Datenquelle zuzugreifen und diese zu indizieren. **Anmerkung** Detaillierte Konfigurationsschritte für die einzelnen Datenquellen finden Sie unter[Unterstützte Integrationen](supported-integrations.md). ## Unterstützte Datenquellen Amazon Quick unterstützt Datenzugriffsintegrationen mit den folgenden Anwendungen und Services. Diese Integrationen ermöglichen es Ihnen, Wissensdatenbanken aus externen Datenquellen zu erstellen: + **Amazon S3** — Greifen Sie mithilfe von AWS Anmeldeinformationen auf Dokumente und Dateien zu, die in S3-Buckets gespeichert sind. + **Atlassian Confluence** — Indexieren Sie Seiten, Bereiche und Anlagen mithilfe von Benutzerauthentifizierung oder Serviceauthentifizierung. + **Google Drive** — Stellen Sie mithilfe der OAuth 2.0-Authentifizierung eine Verbindung zu persönlichen und geteilten Ablagen her. + **Microsoft OneDrive** — Access OneDrive for Business-Inhalte mit Benutzerauthentifizierung oder Dienstauthentifizierung. + **Microsoft SharePoint** — Indexieren Sie SharePoint Online- und Serverinhalte mit OAuth 2.0-Authentifizierung. + **Web Crawler** — Indizieren Sie Inhalte von internen und externen Websites mithilfe der Standardauthentifizierung oder form/SAML Authentifizierung. Jede Datenquelle unterstützt unterschiedliche Authentifizierungsmethoden und Funktionen für den Zugriff auf Inhalte. Die Beziehung zwischen Datenzugriffsintegrationen und Wissensdatenbanken one-to-many ist: Eine Integration kann mehrere Wissensdatenbanken unterstützen, von denen jede spezifische Inhalte aus der verbundenen Datenquelle auswählt. ## Kategorien von Datenquellen Datenzugriffsintegrationen sind je nach Art des Inhalts und Zugriffsmustern in die folgenden Kategorien unterteilt: **Cloud-Speicher und Dateisysteme** + AWS S3 — Greifen Sie auf Dokumente und Dateien zu, die in S3-Buckets gespeichert sind. + Google Drive — Indizieren Sie Inhalte aus persönlichen und geteilten Ablagen. + Microsoft OneDrive — Connect zu Inhalten OneDrive für Unternehmen her. **Systeme zur Inhaltsverwaltung** + Atlassian Confluence — Greifen Sie auf Seiten, Bereiche und Anlagen zu. + Microsoft SharePoint — Index von SharePoint Online- und Serverinhalten. **Webinhalte** + Web Crawler — Indexieren Sie Inhalte von internen und externen Websites. ### Authentifizierung und Sicherheit Datenzugriffsintegrationen verwenden sichere Authentifizierungsmethoden, um Ihre Daten zu schützen und die Zugriffskontrollen aufrechtzuerhalten. Die Authentifizierungsmethode hängt von der jeweiligen Datenquelle und den Sicherheitsanforderungen Ihres Unternehmens ab. **OAuth Authentifizierung** Die meisten Cloud-basierten Integrationen (Google Drive OneDrive, Confluence Cloud) verwenden OAuth 2.0 für eine sichere, tokenbasierte Authentifizierung. Mit dieser Methode kann Amazon Quick auf Ihre Daten zugreifen, ohne Ihre Anmeldeinformationen zu speichern. **Authentifizierung des Dienstkontos** Unternehmensintegrationen können Dienstkonten für den programmatischen Zugriff verwenden. Diese Methode ist für AWS S3 und andere infrastrukturbasierte Datenquellen üblich. **Keine Authentifizierung** Für einige Integrationen, wie z. B. Webcrawler, die auf öffentliche Websites zugreifen, ist möglicherweise keine Authentifizierung erforderlich. Die Zugriffskontrollen werden jedoch weiterhin auf der Grundlage Ihrer Amazon Quick-Berechtigungen durchgesetzt. **Anmerkung** Die Authentifizierungsanforderungen und verfügbaren Methoden variieren je nach Benutzerstufe. Lesern stehen im Vergleich zu Autoren möglicherweise eingeschränkte Authentifizierungsmöglichkeiten zur Verfügung. ### Zugriffskontrolle und Berechtigungen Datenzugriffsintegrationen gewährleisten die Sicherheit, indem sie Zugriffskontrollen auf mehreren Ebenen durchsetzen. Wenn Benutzer Inhalte über Wissensdatenbanken abfragen, stellt Amazon Quick sicher, dass sie nur auf Inhalte zugreifen können, zu deren Anzeige sie berechtigt sind. + **Berechtigungen auf Quellenebene** — Benutzer müssen über die entsprechenden Berechtigungen im Quellsystem (Google Drive SharePoint usw.) verfügen. + **Berechtigungen auf Integrationsebene** — Der Zugriff auf die Integration selbst wird durch Amazon Quick Permissions gesteuert. + **Berechtigungen für die Wissensdatenbank** — Einzelne Wissensdatenbanken können ihre eigenen Zugriffskontrollen haben. + **Zugriffskontrollen auf Entitätsebene** — Wenn Benutzer Inhalte abfragen, überprüft Amazon Quick die Berechtigungen für jedes Dokument oder Element. ### Die wichtigsten Funktionen und Fähigkeiten Datenzugriffsintegrationen bieten mehrere Funktionen, um Ihre Datenintegrationserfahrung zu verbessern: + **Synchronisation in Echtzeit** — Der Inhalt wird automatisch aktualisiert, wenn Änderungen im Quellsystem auftreten. + **Selektive Indizierung** — Wählen Sie bestimmte Ordner, Websites oder Inhaltstypen aus, die Sie in Ihre Wissensdatenbanken aufnehmen möchten. + **Unterstützung von Inhaltstypen** — Indizieren Sie verschiedene Dateiformate, darunter Dokumente, Tabellen, Präsentationen und Webseiten. + **Aufbewahrung von Metadaten** — Pflegen Sie wichtige Metadaten wie Erstellungsdaten, Autoren und Tags. + **Abfragen in natürlicher Sprache — Ermöglichen** Sie die KI-gestützte Suche und Beantwortung von Fragen in Ihren indexierten Inhalten. ### Bevor Sie beginnen Stellen Sie vor der Erstellung von Datenzugriffsintegrationen sicher, dass Sie die folgenden Anforderungen erfüllen: + **Amazon Quick Permissions** — Autor- oder Administratorrolle zum Erstellen und Verwalten von Integrationen. + **Zugriff auf das Quellsystem** — Entsprechende Berechtigungen im Zielsystem (für einige Integrationen ist möglicherweise Administratorzugriff erforderlich). + **Authentifizierungsdaten** — Gültige Anmeldeinformationen oder Dienstkonten für das Zielsystem. + **Netzwerkkonnektivität** — Stellen Sie sicher, dass Amazon Quick auf Ihre Datenquellen zugreifen kann. Die Netzwerkanforderungen unterscheiden sich je nach Integrationstyp: + **Wissensdatenbanken** — Unterstützt keine VPC-Konnektivität. Datenquellen müssen über das öffentliche Internet zugänglich sein. + **Action Connectors** — Support VPC-Konnektivität für Ressourcenserver innerhalb Ihrer VPC. Authentifizierungsserver müssen jedoch öffentlich zugänglich bleiben.