我有一个存储在 S3 中的加密数据湖,但未使用 AWS Quicksight 中的 Athena 正确导入该数据湖。在尝试此导入之前,已启用 S3 的权限(以及此特定存储桶)。此数据导入由具有 AWS 账户根凭证的管理员执行。 Quicksight 和 S3 存储桶位于同一区域 (NA-east-1)。
我还想指出,我可以使用 Athena 从 AWS 账户成功正确查询数据湖。
这是尝试使用 Athena 导入数据时发生的具体错误。
Simba]AthenaJDBC AWS 引发了错误 雅典娜客户端。 com.amazonaws.services.s3.model.AmazonS3Exception: 访问被拒绝(服务:Amazon S3;状态代码:403;错误代码: 拒绝访问;请求 ID:71A7EB19AFD8F60D; S3 扩展请求 ID: YBWXhPd9674G+Hmmfggp+QavpmFNF/0GjB2ODy0oN9zGDlQKSLfjwfQ4cLTyvCwRxMfR0GFHeyM=), S3 扩展请求 ID: YBWXhPd9674G+Hmmfggp+QavpmFNF/0GjB2ODy0oN9zGDlQKSLfjwfQ4cLTyvCwRxMfR0GFHeyM= (小路: s3://data-storage-gamma-us-east-1/year=2020/month=12/day=21/DataSource-2-2020-12-21-05-45-56-9926f1e6-3569-4877- a798-ca10bfefa432) [执行ID:e981d25b-148e-4d8e-881e-9d7ff0a461c5]
我最终能够解决这个问题。根本原因是数据湖中的数据是使用KMS密钥加密的。 Quicksight 能够访问数据但无法解密它...从而导致出现上面列出的错误消息。解决方案是授予 Quicksight 角色访问 KMS 密钥的权限,以便它可以解密数据。
这可以通过 IAM 控制台完成。 Quicksight 的默认角色(应该已经存在于您的帐户中)是:
aws-quicksight-service-role-v0
向该角色添加一个策略,允许其使用 KMS 密钥。您还可以通过 IAM 控制台创建策略来执行此操作。
这个解决方案给我带来了一个错误。在 QuickSight 管理控制台上,我收到一条消息:“QuickSight 检测到附加到以下角色的未知策略。请分离以下策略”。然后我们必须完全删除 QuickSight IAM 角色,然后重置它。 本质上,QuickSight 严格禁止从 QuickSight 控制台外部修改/更新 IAM 角色