本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Athena 与 Amazon Quick Sight 配合使用时权限不足
如果您收到错误消息提示权限不足,请尝试按照以下步骤来解决问题。
您需要管理员权限才能排查此问题。
解决权限不足错误
-
确保 Amazon Quick Sight 可以访问 Athena 使用的亚马逊 S3 存储桶:
-
为此,请选择您的个人资料名称(右上角)。选择 “管理 Quick Sight”,然后向下滚动到 “自定义权限” 部分。
-
选择AWS 资源,然后选择添加或删除。
-
在列表中找到 Athena。清除 Athena 旁边的复选框,然后再次选中以启用 Athena。
选择连接两者。
-
选择您要从 Amazon Quick Sight 访问的存储桶。
您在此处访问的 S3 存储桶的设置与您通过从列表中选择 Amazon S3 访问的 AWS 服务设置相同。请注意,避免无意中禁用其他人使用的存储桶。
-
选择 Select (选择) 以保存 S3 存储桶。
-
选择 “更新” 以保存您的新设置以供 Amazon Quick Sight 访问 AWS 服务。您也可以选择取消,不进行任何更改就退出。
-
-
如果您的数据文件使用 AWS KMS 密钥加密,请向 Amazon Quick Sight IAM 角色授予解密密钥的权限。执行该操作的最简单方法是使用 AWS CLI。
你可以在中运行 create-gran t 命令 AWS CLI 来执行此操作。
aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal<Your Amazon Quick Sight Role ARN>--operations DecryptAmazon Quick Sight 角色的亚马逊资源名称 (ARN) 的格式为
arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>,可以从 IAM 控制台进行访问。要查找您的 AWS KMS 密钥 ARN,请使用 S3 控制台。转到包含数据文件的存储桶,然后选择概述选项卡。密钥位于 KMS 密钥 ID 旁边。
对于亚马逊 Athena、Amazon S3 和 Athena Query Federation 连接,Quick Sight 默认使用以下 IAM 角色:
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
如果不存在aws-quicksight-s3-consumers-role-v0,则 Quick Sight 会使用:
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
