Como configurar o acesso entre contas do Amazon Quick Sight a um bucket do Amazon S3 em outra conta?

5 minuto de leitura

Quero criar um conjunto de dados no Amazon Quick Sight usando dados de um bucket do Amazon Simple Storage Service (Amazon S3) em outra conta.

Breve descrição

Conclua as etapas a seguir para criar acesso entre contas do Amazon Quick Sight (Conta A) para um bucket criptografado do Amazon S3 em outra conta (Conta B):

Atualize sua política de bucket do S3 na Conta B onde seu bucket do S3 reside.
Adicione o bucket do S3 como um recurso que o perfil de serviço do Quick Sight (Conta A) pode acessar.
Permita que o perfil de serviço do Quick Sight acesse a chave do AWS Key Management Service (AWS KMS) para o bucket do S3.

Observação: este artigo pressupõe que seu bucket do S3 esteja criptografado. Também é uma prática recomendada criptografar seu bucket do S3 com uma chave do AWS KMS. Para obter mais informações sobre como ativar a criptografia padrão para o Amazon S3, consulte Configurando a criptografia padrão.

Resolução

Atualize sua política de bucket do S3 na Conta B

Para configurar o acesso entre contas do Quick Sight para o Amazon S3, conclua as seguintes etapas:

Atualize a política de bucket do seu bucket do S3 na Conta B. Por exemplo:

{  "Version": "2012-10-17",
  "Id": "BucketPolicy",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<Account A>:role/service-role/aws-quicksight-service-role-v0"
      },
      "Action": [
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::cross-account-qstest-bucket",
        "arn:aws:s3:::cross-account-qstest-bucket/*"
      ]
    }
  ]
}

Observação: se o perfil aws-quicksight-s3-consumers-role-v0 existir na Conta A, então use esse perfil. Substitua aws-quicksight-service-role-v0 por aws-quicksight-s3-consumers-role-v0 para evitar problemas de conexão com o Amazon S3.

Adicione o perfil de serviço do Quick Sight da Conta A à lista de usuários que podem acessar a chave do AWS KMS do bucket do S3:

aws kms create-grant --key-id aws_kms_key_arn --grantee-principal quickSight_role_arn --operations Decrypt

Observação: substitua aws_kms_key_arn pelo ARN da sua chave do AWS KMS e quicksight_role_arn pelo ARN do seu perfil do Quick Sight.

Para obter seu ARN da chave do AWS KMS:

Abra o console do Amazon S3.
Acesse o bucket do S3 que contém seu arquivo de dados.
Escolha a guia Propriedades. O ARN da chave do AWS KMS está localizado em Criptografia padrão.

Para obter o ARN do seu perfil de serviço do Quick Sight:

Abra o console do AWS Identity Access Management (IAM) na Conta A.
No painel de navegação, escolha Perfis.
Pesquise por aws-quicksight-service-role.
Selecione seu perfil de serviço do Quick Sight e copie o seu ARN.

Observação: se o perfil aws-quicksight-s3-consumers-role-v0 existir na Conta A, use esse perfil. Caso contrário, você poderá receber um erro ao tentar se conectar ao Amazon S3.

Adicione o bucket do S3 como um recurso que o perfil de serviço do Quick Sight pode acessar

Para permitir que o perfil de serviço do Quick Sight acesse o bucket do S3 na Conta B, conclua as seguintes etapas:

Abra seu console do Amazon Quick Sight.
Selecione Gerenciar Quick Sight.
Clique em Segurança e permissões.
Escolha Adicionar ou remover.
Escolha Detalhes.
Clique em Selecionar buckets do S3.
Selecione os buckets do S3 que é possível acessar na guia AWS para verificar se seu bucket do S3 está listado para acesso ao Quick Sight.
(Opcional) Se seu bucket do S3 não estiver listado, adicione-o em Usar um bucket diferente.
Clique em Concluir.

Permita que o perfil de serviço do Quick Sight acesse a chave do AWS KMS para o bucket do S3

Adicione a seguinte política do IAM em linha ao perfil de serviço do Quick Sight na Conta A:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
        ],
      "Resource": ""arn:aws:kms:us-east-1:<account ID of your S3 bucket>:key/<KEYID>"
    }
  ]
}

Observação: a política em linha anterior permite que o perfil de serviço do Quick Sight acesse sua chave do AWS KMS na Conta B. Substitua ExampleStmt3 pelo ID da declaração.

Importante: se o perfil aws-quicksight-s3-consumers-role-v0 existir na Conta A, você deverá anexar a política do AWS KMS ao perfil. A política do AWS KMS descriptografa os dados em seu bucket do S3. Se, em vez disso, você anexar a política de perfil atualizada ao seu perfil de serviço do Quick Sight, pode encontrar um erro de permissão. Para obter mais informações sobre como resolver o erro de permissões, consulte Como solucionar erros de permissão de recursos da AWS no Amazon QuickSight?

Outras considerações

Ao configurar o acesso entre contas do Quick Sight a um bucket do S3 em outra conta, considere o seguinte:

Verifique as atribuições da política do IAM em sua conta do Quick Sight. As políticas do perfil do IAM devem conceder ao perfil de serviço do Quick Sight acesso ao bucket do S3. Para obter mais informações, consulte Setting granular access to AWS services through IAM (Como configurar o acesso granular aos serviços da AWS por meio do IAM).
Use o arquivo de manifesto para se conectar ao seu bucket do S3 e crie um conjunto de dados usando arquivos do S3. Certifique-se de usar um formato compatível para seu arquivo de manifesto do S3.

Informações relacionadas

Edição de chaves

I can't connect to Amazon S3 (Não consigo me conectar ao Amazon S3)

Troubleshooting Amazon Quick Sight (Resolução de problemas do Amazon Quick Sight)

Visualizar uma política de chave (console)

Tópicos: Analytics Business Applications Machine Learning & AI
Tags: Amazon Quick Sight
Idioma: Português

Vídeos relacionados

Watch Shiyu's video to learn more (4:59)

AWS OFICIALAtualizada há 2 anos

Sem comentários

Conteúdo relevante

Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 8 meses
Stardew Valley APK (Mobile Android) Problema de acesso público e CORS no bucket S3
entrenamne
feita há 6 meses
GTA San andreas v2.11.277 (media) - Problema de acesso e corrupção de arquivo no S3 Bucket
tankaracutankme
feita há 6 meses
Free Fire Canibais Mobile (Game Android) - Problema com acesso a assets no S3 via CloudFront
chanegefrrt
feita há 6 meses
Acesso de novos usuarios ao Amazon S3
Kleber FIleno
feita há um ano
Como posso usar modelos para configurar o acesso entre contas no Quick Sight?
AWS OFICIALAtualizada há 2 anos
Como faço para permitir o acesso do Quick Suite a um bucket do S3 com uma política de negação?
AWS OFICIALAtualizada há 7 meses
Como configurar meu servidor do AWS Transfer Family para usar um bucket do Amazon S3 que está em outra conta da AWS?
AWS OFICIALAtualizada há 5 anos
Como posso conceder a um usuário em outra conta da AWS o acesso para fazer upload de objetos para o meu bucket do Amazon S3?
AWS OFICIALAtualizada há 6 meses
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há 2 meses