Wie behebe ich die Fehler „Access denied“, wenn ich Athena als Datenquelle in QuickSight verwende?

Kurzbeschreibung

Im Folgenden sind häufige Gründe für Fehler vom Typ Access denied aufgeführt, wenn du Amazon Athena als Datenquelle in Amazon QuickSight verwendest:

• Dein QuickSight-Konto verfügt nicht über die erforderliche Berechtigung für den Zugriff auf den Amazon Simple Storage Service (Amazon S3)-Bucket.
• Die Datendatei ist mit einem AWS Key Management Service (AWS KMS)-Schlüssel verschlüsselt.
• Dir ist nicht die erforderliche AWS Identity and Access Management (IAM)-Berechtigungsrichtlinie zugewiesen.
• Der Amazon-S3-Bucket existiert nicht. Oder die IAM-Rolle, die zum Abfragen der Daten verwendet wird, verfügt nicht über die erforderlichen S3-Berechtigungen.
• (Bei QuickSight-Konten, die AWS Organizations verwenden) Dir sind nicht die erforderlichen Service-Kontrollrichtlinien (SCPs) zugewiesen. 
• (Bei Athena-Konten, die Lake Formation verwenden) Die QuickSight-Benutzer oder die QuickSight-Gruppe haben keine AWS-Lake-Formation-Berechtigungen. 

Hinweis: Bevor du mit der Problembehandlung beginnst, stelle sicher, dass du in Athena auf deine Daten zugreifen kannst.

Behebung

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, findest du weitere Informationen unter Troubleshoot AWS CLI errors. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Dein QuickSight-Konto verfügt nicht über die erforderliche Berechtigung für den Zugriff auf den Amazon-S3-Bucket

Du erhältst eine Fehlermeldung, die der folgenden ähnelt:

„An error has been thrown from AWS Athena client. Permission denied on S3 path:sourceErrorMessage: s3:/example bucket/object name“

Gehe wie folgt vor, um die Berechtigung für den S3-Bucket zu erhalten:

1. Öffne die Amazon-QuickSight-Konsole.
2. Wähle QuickSight verwalten.
3. Wähle Sicherheit und Berechtigungen aus.
4. Wähle unter QuickSight-Zugriff auf AWS-Services die Option Verwalten.
5. Wähle Amazon S3 aus der Liste der AWS-Services aus.
6. Wähle Select S3 buckets (S3-Buckets auswählen) und wähle dann den S3-Bucket aus.
7. Wähle Schreibberechtigung für Athena-Arbeitsgruppe und dann Abschließen.
8. Wähle Speichern.

Die Datendatei ist mit einem AWS-KMS-Schlüssel verschlüsselt

Wenn die Datendatei mit einem AWS-KMS-Schlüssel verschlüsselt ist, kann Amazon S3 dir den Zugriff auf die Daten verweigern. Um dieses Problem zu lösen, verwende entweder die AWS CLI oder die AWS-KMS-Konsole, um der QuickSight-Servicerolle Zugriff auf den AWS-KMS-Schlüssel zu gewähren. 

Verwendung der AWS CLI

Führe die folgenden Schritte aus:

1. Verwende die IAM-Konsole, um den ARN der QuickSight-Servicerolle zu finden.

2. Verwende die Amazon-S3-Konsole, um den ARN des AWS-KMS-Schlüssels zu finden.

3. Gehe zu dem Bucket, der deine Datendatei enthält.

4. Wähle die Registerkarte Übersicht und suche dann nach der KMS-Schlüssel-ID.

5. Füge den ARN der QuickSight-Servicerolle zur KMS-Schlüsselrichtlinie hinzu.

6. Führe den AWS-CLI-Befehl create-grant aus:

   aws kms create-grant --key-id aws_kms_key_arn --grantee-principal quicksight_role_arn --operations Decrypt
   

   Hinweis: Ersetze aws_kms_key_arn durch den ARN deines AWS-KMS-Schlüssels und quicksight_role_arn durch den ARN deiner QuickSight-Servicerolle.

Verwendung der AWS-KMS-Konsole

Um die QuickSight-Servicerolle zur AWS-KMS-Schlüsselrichtlinie hinzuzufügen, ändere die Schlüsselrichtlinie. Füge dann der Schlüsselrichtlinie die folgenden Berechtigungen hinzu:

{     "Sid": "Allow use of the key",
     "Effect": "Allow",
     "Principal": {
         "AWS": [
              "arn:aws:iam::aws-account-id:role/service-role/aws-quicksight-service-role-v0",
              "arn:aws:iam::aws-account-id:role/service-role/aws-quicksight-s3-consumers-role-v0"
              ]
         },
         "Action": [
            "kms:Decrypt"
               ],
         "Resource": "*"
}

Hinweis: Stelle in der vorherigen Richtlinie sicher, dass du den ARN für die QuickSight-Servicerollen im Abschnitt Prinzipal hinzufügst.

Dir ist nicht die erforderliche IAM-Berechtigungsrichtlinie zugewiesen

Gehe wie folgt vor, um zu überprüfen, welche Richtlinien dir zugewiesen sind und ob die Richtlinie den Zugriff einschränkt:

1. Öffne die Amazon-QuickSight-Konsole.
2. Wähle QuickSight verwalten.
3. Wähle Sicherheit und Berechtigungen aus.
4. Wähle IAM-Richtlinienzuweisungen.
5. Prüfe, ob es IAM-Richtlinienzuweisungen für den Zugriff auf Athena gibt.
6. Stelle sicher, dass die Richtlinie den Zugriff auf S3 oder Athena nicht einschränkt.

Wenn eine Richtlinie den Zugriff auf S3 oder Athena einschränkt, bitte deinen QuickSight-Administrator, die Richtlinie zu ändern. Wenn du der/die Administrator:in bist, deaktiviere die IAM-Richtlinienzuweisung und bearbeite die Richtlinie so, dass sie S3- und Athena-Berechtigungen enthält. Weitere Informationen findest du unter Festlegen des detaillierten Zugriffs auf AWS-Services über IAM.

Der S3-Bucket existiert nicht. Oder die IAM-Rolle, die zum Abfragen der Daten verwendet wird, verfügt nicht über die erforderlichen S3-Berechtigungen

Du erhältst die folgende Fehlermeldung:

„Unable to verify/create output bucket.“

Informationen zum Beheben des vorherigen Fehlers findest du unter Wie behebe ich den Fehler „Unable to verify/create output bucket“ in Amazon Athena?

Wenn der Bucket nicht existiert, füge den gültigen S3-Bucket hinzu. Wähle in der Amazon-QuickSight-Konsole Amazon S3 aus der Liste der AWS-Services aus. Wähle dann den S3-Bucket aus, der für den Speicherort der Abfrageergebnisse verwendet wird.

Dir sind nicht die erforderlichen SCPs zugewiesen (Organizations)

Bitte den Organizations-Administrator, deine SCP-Einstellungen zu überprüfen, um die dir zugewiesenen Berechtigungen zu überprüfen. Wenn du Organizations-Administrator:in bist, findest du weitere Informationen unter Erstellen, Aktualisieren und Löschen von Service-Kontrollrichtlinien.

Der/die QuickSight-Benutzer:in oder die QuickSight-Gruppe hat keine Lake-Formation-Berechtigungen

Bei Athena-Konten, die Lake Formation verwenden, wird möglicherweise die folgende Fehlermeldung angezeigt:

„An error has been thrown from the AWS Athena client. Insufficient permissions to execute the query. Insufficient Lake Formation permission(s).“

Um Lake-Formation-Berechtigungen für QuickSight zu erteilen, musst du Lake-Formation-Administrator:in sein.

Führe die folgenden Schritte aus:

1. Suche den ARN für den/die QuickSight-Benutzer:in oder die QuickSight-Gruppe.

2. Führe einen der folgenden AWS-CLI-Befehle aus:

   describe-user

   aws quicksight describe-user  --user-name user_name  --aws-account-id account_id --namespace default
   

   -oder-

   describe-group

   aws quicksight describe-group --group-name group_name  --aws-account-id account_id --namespace default
   

   Hinweis: Ersetze in den vorherigen Befehlen user_name durch den Namen deines Benutzers, group_name durch den Namen deiner Gruppe und account_id durch die ID deines Kontos.

3. Öffne die Lake-Formation-Konsole.

4. Wähle Tabellen.

5. Wähle Aktionen und dann Berechtigungen aus.

6. Wähle aus der Liste der Prinzipale Grant aus.

7. Gib unter SAML and Amazon QuickSight users and groups (SAML- und Amazon-QuickSight-Benutzer und -Gruppen) den ARN des QuickSight-Benutzers oder der QuickSight-Gruppe ein. Zum Beispiel arn:aws:quicksight:region:accountId:user/namespace/username.

8. Wähle die richtige Datenquelle aus und wähle dann All tables (Alle Tabellen). Die Tabellenberechtigungen lauten Auswählen und Describe (Beschreiben).

9. Wähle Grant (Gewähren) aus.

Nachdem du die Berechtigungen erteilt hast, kehre zur QuickSight-Konsole zurück, um erneut zu versuchen, den Datensatz zu erstellen.

Ähnliche Informationen

Unzureichende Berechtigungen bei der Verwendung von Athena mit Amazon QuickSight

Einführung der differenzierten Zugriffskontrolle von Amazon QuickSight für Amazon S3 und Amazon Athena

Aktivieren der differenzierten Berechtigungen für Amazon-QuickSight-Autoren in AWS Lake Formation