Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie richte ich kontoübergreifenden Zugriff von QuickSight auf einen Amazon-S3-Bucket in einem anderen Konto ein?

Lesedauer: 4 Minute
0

Ich möchte Daten aus einem Amazon Simple Storage Service (Amazon S3)-Bucket in einem anderen Konto verwenden, um einen Datensatz in Amazon QuickSight zu erstellen.

Kurzbeschreibung

Gehe wie folgt vor, um kontoübergreifenden Zugriff von Amazon QuickSight (Konto A) auf einen verschlüsselten Amazon-S3-Bucket in einem anderen Konto (Konto B) zu erstellen:

  1. Aktualisiere die S3-Bucket-Richtlinie in Konto B, wo sich das S3-Bucket befindet.
  2. Füge den S3-Bucket als Ressource hinzu, auf welche die QuickSight-Servicerolle (Konto A) zugreifen kann.
  3. Erlaube der QuickSight-Servicerolle Zugriff auf den AWS Key Management Service (AWS KMS)-Schlüssel für den S3-Bucket.

Hinweis: In diesem Artikel wird davon ausgegangen, dass der S3-Bucket verschlüsselt ist. Es hat sich auch bewährt, den S3-Bucket mit einem AWS-KMS-Schlüssel zu verschlüsseln. Weitere Informationen zur Aktivierung der Standardverschlüsselung für Amazon S3 findest du unter Konfiguration der Standardverschlüsselung.

Behebung

Aktualisieren der S3-Bucket-Richtlinie in Konto B

Gehe wie folgt vor, um den kontoübergreifenden Zugriff von QuickSight auf Amazon S3 einzurichten:

  1. Aktualisiere die Bucket-Richtlinie des S3-Buckets in Konto B. Zum Beispiel:

    {  "Version": "2012-10-17",
  "Id": "BucketPolicy",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<Account A>:role/service-role/aws-quicksight-service-role-v0"
      },
      "Action": [
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion"
      ],
      "Resource": [
        "arn:aws:s3:::cross-account-qstest-bucket",
        "arn:aws:s3:::cross-account-qstest-bucket/*"
      ]
    }
  ]
}

    Hinweis: Wenn die Rolle aws-quicksight-s3-consumers-role-v0 in Konto A vorhanden ist, stelle sicher, dass du stattdessen diese Rolle verwendest. Ersetze aws-quicksight-service-role-v0 durch aws-quicksight-s3-consumers-role-v0, um Verbindungsprobleme mit Amazon S3 zu vermeiden.

  2. Füge die QuickSight-Servicerolle von Konto A zur Liste der Benutzer hinzu, die auf den AWS-KMS-Schlüssel des S3-Buckets zugreifen können:

    aws kms create-grant --key-id aws_kms_key_arn --grantee-principal quickSight_role_arn --operations Decrypt

Hinweis: Ersetze aws_kms_key_arn durch den ARN deines AWS-KMS-Schlüssels und quicksight_role_arn durch den ARN deiner QuickSight-Rolle.

So erhältst du den AWS-KMS-Schlüssel-ARN:

  1. Öffne die Amazon-S3-Konsole.
  2. Gehe zu dem S3-Bucket, der die Datendatei enthält.
  3. Wähle die Registerkarte Eigenschaften. Der ARN des AWS-KMS-Schlüssels befindet sich unter Standardverschlüsselung.

So erhältst du den QuickSight-Servicerolle ARN:

  1. Öffne die AWS Identity Access Management (IAM)-Konsole in Konto A.
  2. Wähle im Navigationsbereich Rollen aus.
  3. Suche nach aws-quicksight-service-role.
  4. Wähle deine QuickSight-Servicerolle aus und kopiere deren ARN.

Hinweis: Wenn die Rolle aws-quicksight-s3-consumers-role-v0 in Konto A vorhanden ist, stelle sicher, dass du stattdessen diese Rolle verwendest. Andernfalls erhältst du möglicherweise eine Fehlermeldung, wenn du versuchst, eine Verbindung zu Amazon S3 herzustellen.

Den S3-Bucket als Ressource hinzufügen, auf welche die QuickSight-Servicerolle zugreifen kann

Gehe wie folgt vor, um der QuickSight-Servicerolle Zugriff auf den S3-Bucket in Konto B zu gewähren:

  1. Öffne die Amazon-QuickSight-Konsole.
  2. Wähle QuickSight verwalten.
  3. Wähle Sicherheit und Berechtigungen aus.
  4. Wähle Hinzufügen oder Entfernen aus.
  5. Wähle Details aus.
  6. Wähle Select S3 buckets (S3-Buckets auswählen) aus.
  7. Wähle die Registerkarte S3 buckets that you can access across AWS (S3-Buckets, auf die du über die AWS zugreifen kannst), um sicherzustellen, dass der S3-Bucket für den QuickSight-Zugriff aufgeführt ist.
  8. **(Optional) **Wenn der S3-Bucket nicht aufgeführt ist, füge den Bucket unter Einen anderen Bucket verwenden hinzu.
  9. Wähle Abschließen aus.

Der QuickSight-Servicerolle Zugriff auf den AWS-KMS-Schlüssel für den S3-Bucket erlauben

Füge der QuickSight-Servicerolle in Konto A die folgende Inline-IAM-Richtlinie hinzu:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt"
        ],
      "Resource": ""arn:aws:kms:us-east-1:<account ID of your S3 bucket>:key/<KEYID>"
    }
  ]
}

Hinweis: Die obige Inline-Richtlinie ermöglicht der QuickSight-Servicerolle den Zugriff auf den AWS-KMS-Schlüssel in Konto B. Ersetze ExampleStmt3 durch deine Anweisungs-ID.

Wichtig: Wenn die Rolle aws-quicksight-s3-consumers-role-v0 in Konto A vorhanden ist, musst du die AWS-KMS-Richtlinie an die Rolle anfügen. Die AWS-KMS-Richtlinie entschlüsselt die Daten im S3-Bucket. Wenn du stattdessen die aktualisierte Rollenrichtlinie an die QuickSight-Servicerolle anfügst, tritt möglicherweise ein Berechtigungsfehler auf. Informationen zur Behebung des Berechtigungsfehlers findest du unter Wie behebe ich AWS-Ressourcenberechtigungsfehler in Amazon QuickSight?

Zusätzliche Überlegungen

Beachte beim Einrichten des kontoübergreifenden Zugriffs von QuickSight auf einen S3-Bucket in einem anderen Konto Folgendes:

Ähnliche Informationen

Schlüssel bearbeiten

Ich kann keine Verbindung zu Amazon S3 herstellen

Problembehebung bei Amazon QuickSight

Eine Schlüsselrichtlinie (Konsole) anzeigen

Themen
AnalyticsMachine Learning & AIBusiness Applications
Tags
Amazon Quick Sight
Sprache
Deutsch

Ähnliche Videos

Sieh dir Shiyus Video an, um mehr zu erfahren (4:59)
Sieh dir Shiyus Video an, um mehr zu erfahren (4:59)
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt