Wie behebe ich die Fehler „Access denied“, wenn ich Athena als Datenquelle in Quicksight verwende?

Kurzbeschreibung

Im Folgenden sind häufige Gründe für Fehler vom Typ Access denied aufgeführt, wenn Sie Amazon Athena als Datenquelle in Amazon QuickSight verwenden:

• Ihr QuickSight-Konto verfügt nicht über die erforderliche Berechtigung für den Zugriff auf den Amazon Simple Storage Service (Amazon S3)-Bucket.
• Ihre Datendatei ist mit einem AWS Key Management Service (AWS KMS)-Schlüssel verschlüsselt.
• Ihnen ist nicht die erforderliche AWS Identity and Access Management (IAM)-Berechtigungsrichtlinie zugewiesen.
• Der Amazon-S3-Bucket existiert nicht. Oder die IAM-Rolle, die zum Abfragen der Daten verwendet wird, verfügt nicht über die erforderlichen S3-Berechtigungen.
• (Für QuickSight-Konten, die AWS Organizations verwenden) Ihnen sind nicht die erforderlichen Service Control Policies (SCPs) zugewiesen. 
• (Für Athena-Konten, die Lake Formation verwenden) Ihr QuickSight-Benutzer oder Ihre QuickSight-Gruppe hat keine AWS-Lake-Formation-Berechtigungen. 

Hinweis: Bevor Sie mit der Problembehandlung beginnen, stellen Sie sicher, dass Sie in Athena auf Ihre Daten zugreifen können.

Behebung

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version der AWS CLI verwenden.

Ihr QuickSight-Konto verfügt nicht über die erforderliche Berechtigung für den Zugriff auf den Amazon-S3-Bucket

Sie erhalten eine Fehlermeldung, die der folgenden ähnelt:

„An error has been thrown from AWS Athena client. Permission denied on S3 path:sourceErrorMessage: s3:/example bucket/object name“

Gehen Sie wie folgt vor, um die Genehmigung für den S3-Bucket zu erhalten:

1. Öffnen Sie die Amazon-QuickSight-Konsole.
2. Wählen Sie QuickSight verwalten aus.
3. Wählen Sie Sicherheit und Berechtigungen aus.
4. Wählen Sie unter QuickSight-Zugriff auf AWS-Services die Option Verwalten aus.
5. Wählen Sie Amazon-S3 aus der Liste der AWS-Services aus.
6. Wählen Sie S3-Buckets auswählen und wählen Sie dann den S3-Bucket aus.
7. Wählen Sie Schreibberechtigung für Athena-Workgroup und dann Fertig stellen.
8. Wählen Sie Speichern.

Ihre Datendatei ist mit einem AWS-KMS-Schlüssel verschlüsselt

Wenn Ihre Datendatei mit einem AWS-KMS-Schlüssel verschlüsselt ist, kann Amazon S3 Ihnen den Zugriff auf die Daten verweigern. Um dieses Problem zu lösen, verwenden Sie entweder die AWS CLI oder die AWS-KMS-Konsole, um Ihrer QuickSight-Servicerolle Zugriff auf den AWS-KMS-Schlüssel zu gewähren. 

Die AWS-CLI verwenden

Führen Sie die folgenden Schritte aus:

1. Verwenden Sie die IAM-Konsole, um den ARN der QuickSight-Servicerolle zu finden.

2. Verwenden Sie die Amazon-S3-Konsole, um den AWS-KMS-Schlüssel-ARN zu finden.

3. Gehen Sie zu dem Bucket, der Ihre Datendatei enthält.

4. Wählen Sie die Registerkarte Übersicht und suchen Sie dann nach der KMS-Schlüssel-ID.

5. Fügen Sie den ARN der QuickSight-Servicerolle zur KMS-Schlüsselrichtlinie hinzu.

6. Führen Sie den AWS-CLI-Befehl create-grant aus:

   aws kms create-grant --key-id aws_kms_key_arn --grantee-principal quicksight_role_arn --operations Decrypt
   

   Hinweis: Ersetzen Sie aws_kms_key_arn durch den ARN Ihres AWS-KMS-Schlüssels und quicksight_role_arn durch den ARN Ihrer QuickSight-Servicerolle.

Verwendung der AWS-KMS-Konsole

Um die QuickSight-Servicerolle zur AWS-KMS-Schlüsselrichtlinie hinzuzufügen, ändern Sie die Schlüsselrichtlinie. Fügen Sie dann der Schlüsselrichtlinie die folgenden Berechtigungen hinzu:

{     "Sid": "Allow use of the key",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
              "arn:aws:iam::aws-account-id:role/service-role/aws-quicksight-service-role-v0",
              "arn:aws:iam::aws-account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
              ]
         },
         "Action": [
            "kms:Decrypt"
               ],
         "Resource": "*"
}

Hinweis: Stellen Sie in der vorherigen Richtlinie sicher, dass Sie den ARN für Ihre QuickSight-Servicerollen im Abschnitt Prinzipal hinzufügen.

Ihnen ist nicht die erforderliche IAM-Berechtigungsrichtlinie zugewiesen

Gehen Sie wie folgt vor, um zu überprüfen, welche Richtlinien Ihnen zugewiesen sind und ob die Richtlinie Ihren Zugriff einschränkt:

1. Öffnen Sie die Amazon-QuickSight-Konsole.
2. Wählen Sie QuickSight verwalten aus.
3. Wählen Sie Sicherheit und Berechtigungen aus.
4. Wählen Sie IAM-Richtlinienzuweisungen.
5. Prüfen Sie, ob es IAM-Richtlinienzuweisungen für den Zugriff auf Athena gibt.
6. Stellen Sie sicher, dass die Richtlinie Ihren Zugriff auf S3 oder Athena nicht einschränkt.

Wenn eine Richtlinie Ihren Zugriff auf S3 oder Athena einschränkt, bitten Sie Ihren QuickSight-Administrator, die Richtlinie zu ändern. Wenn Sie der Administrator sind, deaktivieren Sie die IAM-Richtlinienzuweisung und bearbeiten Sie die Richtlinie so, dass sie S3-und Athena-Berechtigungen enthält. Weitere Informationen finden Sie unter Festlegen des granularen Zugriffs auf AWS-Services über IAM.

Der S3-Bucket existiert nicht. Oder die IAM-Rolle, die zum Abfragen der Daten verwendet wird, verfügt nicht über die erforderlichen S3-Berechtigungen

Sie erhalten die folgende Fehlermeldung:

„Unable to verify/create output bucket.“

Informationen zum Beheben des vorherigen Fehlers finden Sie unter Wie behebe ich den Fehler „Unable to verify/create output bucket“ in Amazon Athena?

Wenn der Bucket nicht existiert, fügen Sie den gültigen S3-Bucket hinzu. Wählen Sie in der Amazon-QuickSight-Konsole Amazon S3 aus der Liste der AWS-Services aus. Wählen Sie dann den S3-Bucket aus, der für den Speicherort der Abfrageergebnisse verwendet wird.

Ihnen sind nicht die erforderlichen SCPs zugewiesen (Organisationen)

Bitten Sie den Organisationsadministrator, Ihre SCP-Einstellungen zu überprüfen, um die Ihnen zugewiesenen Berechtigungen zu überprüfen. Wenn Sie ein Organisationsadministrator sind, finden Sie weitere Informationen unter Erstellen, Aktualisieren und Löschen von Service Control-Richtlinien.

Ihr QuickSight-Benutzer oder Ihre QuickSight-Gruppe hat keine Lake-Formation-Berechtigungen

Für Athena-Konten, die Lake Formation verwenden, wird möglicherweise die folgende Fehlermeldung angezeigt:

„An error has been thrown from the AWS Athena client. Insufficient permissions to execute the query. Insufficient Lake Formation permission(s).“

Um Lake-Formation-Berechtigungen für QuickSight zu erteilen, müssen Sie ein Lake-Formation-Administrator sein.

Führen Sie die folgenden Schritte aus:

1. Suchen Sie den ARN für den QuickSight-Benutzer oder die QuickSight-Gruppe.

2. Führen Sie einen der folgenden AWS-CLI-Befehle aus:

   describe-user

   aws quicksight describe-user  --user-name user_name  --aws-account-id account_id --namespace default
   

   Oder:

   describe-group

   aws quicksight describe-group --group-name group_name  --aws-account-id account_id --namespace default
   

   Hinweis: Ersetzen Sie in den vorherigen Befehlen user_name durch den Namen Ihres Benutzers, group_name durch den Namen Ihrer Gruppe und account_id durch die ID Ihres Kontos.

3. Öffnen Sie die Lake-Formation-Konsole.

4. Wählen Sie Tabellen.

5. Wählen Sie Aktionen und dann Berechtigungen aus.

6. Wählen Sie aus der Liste der Prinzipale Grant aus.

7. Geben Sie unter SAML- und Amazon-QuickSight-Benutzer und -Gruppen den QuickSight-Benutzer- oder Gruppen-ARN ein. Zum Beispiel arn:aws:quicksight:region:accountId:user/namespace/username.

8. Wählen Sie die richtige Datenquelle aus und wählen Sie dann Alle Tabellen. Die Tabellenberechtigungen lauten Auswählen und Beschreiben.

9. Wählen Sie Grant.

Nachdem Sie die Berechtigungen erteilt haben, kehren Sie zur QuickSight-Konsole zurück, um erneut zu versuchen, den Datensatz zu erstellen.

Ähnliche Informationen

Unzureichende Berechtigungen bei der Verwendung von Athena mit Amazon QuickSight

Einführung der differenzierten Zugriffskontrolle von Amazon QuickSight für Amazon S3 und Amazon Athena

Aktivieren Sie differenzierte Berechtigungen für Amazon-QuickSight-Autoren in AWS Lake Formation