Não consigo me conectar ao Amazon Athena - Amazon Quick Suite
Certifique-se de que você autorizou o Amazon Quick Sight a usar o AthenaCertifique-se de que suas políticas do IAM concedam as permissões adequadasCertifique-se de que o usuário do IAM tenha read/write acesso à sua localização do S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Não consigo me conectar ao Amazon Athena

   Público-alvo: administradores do Amazon Quick Suite 

Use esta seção para ajudar com a solução de problemas de conexão com o Athena.

Se não conseguir se conectar ao Amazon Athena, você poderá receber um erro de permissões insuficientes ao executar uma consulta, mostrando que as permissões não estão configuradas. Para verificar se você pode conectar o Amazon Quick Sight ao Athena, verifique as seguintes configurações:

  • AWS permissões de recursos dentro do Amazon Quick Sight

  • AWS Identity and Access Management Políticas (IAM)

  • Local do Amazon S3

  • Localização dos resultados de consulta

  • AWS KMS política de chaves (somente para conjuntos de dados criptografados)

Para detalhes, veja o seguinte. Para obter informações sobre como solucionar outros problemas do Athena, consulte Problemas de conectividade ao usar o Amazon Athena com o Amazon Quick Sight.

Certifique-se de que você autorizou o Amazon Quick Sight a usar o Athena

   Público-alvo: administradores do Amazon Quick Suite 

Use o procedimento a seguir para garantir que você autorizou com sucesso o Amazon Quick Sight a usar o Athena. As permissões para AWS recursos se aplicam a todos os usuários do Amazon Quick Sight.

Para realizar essa ação, você deve ser administrador do Amazon Quick Sight. Para verificar se você tem acesso, verifique se você vê a QuickSight opção Gerenciar ao abrir o menu do seu perfil no canto superior direito.

Para autorizar o Amazon Quick Sight a acessar o Athena

  1. Escolha o nome do seu perfil (no canto superior direito). Escolha Gerenciar o Quick Sight e, em seguida, role para baixo até a seção Permissões personalizadas.

  2. Escolha AWS recursos e, em seguida, escolha Adicionar ou remover.

  3. Encontre o Athena na lista. Desmarque a caixa correspondente ao Athena e, em seguida, selecione-a novamente para habilitá-lo.

    Depois, escolha Connect both (Conectar ambos).

  4. Escolha os buckets que você deseja acessar a partir do Amazon Quick Sight.

    As configurações dos buckets S3 que você acessa aqui são as mesmas que você acessa escolhendo Amazon S3 na lista de. Serviços da AWS Tenha cuidado para não desabilitar acidentalmente um bucket usado por outra pessoa.

  5. Escolha Concluir para confirmar sua seleção. Como alternativa, escolha Cancelar para sair sem salvar.

  6. Escolha Atualizar para salvar suas novas configurações para acesso ao Amazon Quick Sight Serviços da AWS. Como alternativa, escolha Cancelar para sair sem fazer alterações.

  7. Verifique se você está usando o correto Região da AWS ao terminar.

    Se você precisou alterar o seu Região da AWS como parte da primeira etapa desse processo, altere-o novamente para o Região da AWS que estava usando antes.

Certifique-se de que suas políticas do IAM concedam as permissões adequadas

   Público-alvo: administradores de sistemas 

Suas políticas AWS Identity and Access Management (IAM) devem conceder permissões para ações específicas. Seu perfil ou usuário do IAM deve ser capaz de realizar a leitura e a gravação da entrada e da saída dos buckets do S3 que o Athena usa para suas consultas.

Se o conjunto de dados for criptografado, o usuário do IAM precisa ser um usuário-chave na política da AWS KMS chave especificada.

Para verificar se as políticas do IAM têm permissão para usar os buckets do S3 para sua consulta.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Localize o perfil ou o usuário do IAM que você está usando. Escolha o nome do usuário ou da função para ver as políticas associadas.

  3. Verifique se a política tem as permissões adequadas. Escolha uma política que você deseja verificar e, em seguida, selecione Editar política. Use o editor visual, que é aberto por padrão. Caso o editor JSON esteja aberto, escolha a guia Visual editor (Editor visual).

  4. Escolha a entrada do S3 na lista para ver o conteúdo. A política precisa conceder permissões para indicar, ler e gravar. Se o S3 não estiver na lista ou não tiver as permissões corretas, é possível adicioná-las aqui.

Para ver exemplos de políticas do IAM que funcionam com o Quick Sight, consulteExemplos de políticas de IAM para o Quick Suite.

Certifique-se de que o usuário do IAM tenha read/write acesso à sua localização do S3

   Público-alvo: administradores do Amazon Quick Suite 

Para acessar os dados do Athena a partir do Quick Sight, primeiro certifique-se de que o Athena e sua localização no S3 estejam autorizados na tela Gerenciar. QuickSight Para obter mais informações, consulte Certifique-se de que você autorizou o Amazon Quick Sight a usar o Athena.

Em seguida, verifique as permissões relevantes do IAM. O usuário do IAM para sua conexão com o Athena precisa read/write acessar o local para onde seus resultados vão no S3. Comece verificando se o usuário do IAM tem uma política anexada que permite acesso ao Athena, como AmazonAthenaFullAccess. Deixe o Athena criar o bucket usando o nome que ele exige e, em seguida, adicione esse bucket à lista de buckets que QuickSight podem ser acessados. Se você alterar o local padrão do bucket de resultados (aws-athena-query-results-*), certifique-se de que o usuário do IAM tenha permissão para realizar leituras e gravações no novo local.

Verifique se você não incluiu o Região da AWS código na URL do S3. Por exemplo, use s3://awsexamplebucket/path em vez de usar s3://us-east-1.amazonaws.com/awsexamplebucket/path. Usar o URL do S3 errado causará um erro Access Denied.

Verifique também se as políticas do bucket e as listas de controle de acesso a objetos (ACLs) permitem que o usuário do IAM acesse os objetos nos buckets. Se o usuário do IAM estiver em um local diferente Conta da AWS, consulte Acesso entre contas no Guia do usuário do Amazon Athena.

Se o conjunto de dados estiver criptografado, verifique se o usuário do IAM é um usuário-chave na política da AWS KMS chave especificada. Você pode fazer isso no AWS KMS console em https://console.aws.amazon.com/kms.

Definir permissões para o local dos resultados da consulta do Athena

  1. Abra o console do Athena em https://console.aws.amazon.com/athena/.

  2. Verifique se você selecionou o grupo de trabalho que deseja usar:

    • Examine a opção Grupo de trabalho na parte superior. Tem o formato Grupo de trabalho: group-name. Se o nome do grupo for o que você deseja usar, pule para a próxima etapa.

    • Para escolher um grupo de trabalho diferente, selecione Grupo de trabalho na parte superior. Escolha o grupo de trabalho que deseja usar e clique em Alternar grupo de trabalho.

  3. Escolha Configurações no canto superior direito.

    (Não é comum) Se você receber um erro informando que o grupo de trabalho não foi encontrado, siga estas etapas para corrigi-lo:

    1. Ignore a mensagem de erro por enquanto e, em vez disso, encontre Grupo de trabalho: group-name na página Configurações. O nome do seu grupo de trabalho é um hiperlink. Abra-o.

    2. Na <groupname> página Grupo de trabalho:, escolha Editar grupo de trabalho à esquerda. Em seguida, feche a mensagem de erro.

    3. Próximo ao Local do resultado da consulta, abra o seletor de local do S3 ao clicar no botão Selecionar que tem o ícone da pasta de arquivos.

    4. Escolha a pequena seta no final do nome do local do S3 para o Athena. O nome deve começar com aws-athena-query-results.

    5. (Opcional) Criptografe os resultados da consulta ao selecionar a caixa de seleção Criptografar os resultados armazenados no S3.

    6. Escolha Salvar para confirmar suas escolhas.

    7. Se o erro não reaparecer, retorne para Configurações.

      Ocasionalmente, o erro pode aparecer novamente. Nesse caso, execute as seguintes etapas:

      1. Escolha o grupo de trabalho e, em seguida, selecione Visualizar detalhes.

      2. (Opcional) Para preservar suas configurações, faça anotações ou faça uma captura de tela da configuração do grupo de trabalho.

      3. Escolha Create workgroup (Criar grupo de trabalho).

      4. Substitua o grupo de trabalho por um novo. Configure o local do S3 e as opções de criptografia adequados. Anote o local do S3 porque você precisará dele posteriormente.

      5. Escolha Salvar para continuar.

      6. Quando você não precisar mais do grupo de trabalho original, desative-o. Certifique-se de ler atentamente o aviso que aparecerá, pois ele informará o que você perderá se optar por desativá-lo.

  4. Se você não conseguiu isso com a solução de problemas apresentada na etapa anterior, escolha Configurações no canto superior direito e obtenha o valor do local do S3 mostrado como Local do resultado da consulta.

  5. Se a opção Criptografar os resultados da consulta estiver habilitada, verifique se ela usa SSE-KMS ou CSE-KMS. Anote a chave.

  6. Abra o console do S3 em https://console.aws.amazon.com/s3/, abra o bucket correto e escolha a guia Permissões.

  7. Verifique se o seu usuário do IAM tem acesso ao visualizar a Política do bucket.

    Se você gerenciar o acesso com ACLs, verifique se as listas de controle de acesso (ACLs) estão configuradas visualizando a Lista de Controle de Acesso.

  8. Se seu conjunto de dados estiver criptografado (a opção Criptografar resultados da consulta está selecionada nas configurações do grupo de trabalho), certifique-se de que o usuário ou a função do IAM seja adicionado como usuário chave na política dessa AWS KMS chave. Você pode acessar AWS KMS as configurações em https://console.aws.amazon.com/kms.

Conceder acesso ao bucket do S3 usado pelo Athena

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Escolha o bucket do S3 usado pelo Athena no Local do resultado da consulta.

  3. Na guia Permissions (Permissões), verifique as permissões.

Para obter mais informações, consulte o artigo do AWS Support Quando executo uma consulta do Athena, recebo o erro “Acesso negado”.