Permisos insuficientes al utilizar Athena con Amazon QuickSight

Resolución de un error de permisos insuficientes

1. Asegúrese de que Amazon QuickSight puede acceder a los buckets de Amazon S3 utilizados por Athena:

   1. Para ello, elija su nombre de perfil (arriba a la derecha). Elija Manage QuickSight (Administrar QuickSight) y, a continuación, elija Security & permissions (Seguridad y permisos).

   2. Elija Add or remove (Añadir o eliminar).

   3. Ubique Athena en la lista. Desactive la casilla junto a Athena y vuelva a seleccionarla para habilitar Athena.

      Elija Conectar ambos.

   4. Elija los buckets a los que desea acceder desde Amazon QuickSight.

      Los ajustes para los buckets de S3 a los que accede aquí son los mismos a los que accede eligiendo Amazon S3 de la lista de Servicios de AWS. Tenga cuidado de no desactivar inadvertidamente un bucket que utilice otra persona.

   5. Elija Seleccionar para guardar los buckets de S3.

   6. Elija Actualizar para guardar su nueva configuración para el acceso de Amazon QuickSight a Servicios de AWS. O bien, elija Cancelar para salir sin realizar ningún cambio.

2. Si el archivo de datos está cifrado con una clave de AWS KMS, debe conceder permisos al rol de IAM de Amazon QuickSight para descifrar la clave. La manera más sencilla de hacerlo es usar la AWS CLI.

   Puede ejecutar el comando create-grant en la AWS CLI para realizar esta tarea.

   aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal <Your Amazon QuickSight Role ARN> --operations Decrypt
   		

   El Nombre de recurso de Amazon (ARN) para el rol de Amazon QuickSight tiene el formato arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number> y se puede acceder a él desde la consola de IAM. Para buscar el ARN de clave de AWS KMS, utilice la consola de S3. Vaya al bucket que contiene el archivo de datos y elija la pestaña Información general. La clave se encuentra cerca del ID de clave de KMS.