本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Athena 与 Amazon Quick Sight 配合使用时权限不足
<a name="troubleshoot-athena-insufficient-permissions"></a>

如果您收到错误消息提示权限不足，请尝试按照以下步骤来解决问题。

您需要管理员权限才能排查此问题。

**解决权限不足错误**

1. 确保 Amazon Quick Sight 可以访问 Athena 使用的亚马逊 S3 存储桶：

   1. 为此，请选择您的个人资料名称（右上角）。选择 “**管理 Quick Sight**”，然后向下滚动到 “**自定义权限**” 部分。

   1. 选择**AWS 资源**，然后选择**添加或删除**。

   1. 在列表中找到 Athena。清除 Athena 旁边的复选框，然后再次选中以启用 Athena。

      选择**连接两者**。

   1. 选择您要从 Amazon Quick Sight 访问的存储桶。

      您在此处访问的 S3 存储桶的设置与您通过从列表中选择 Amazon S3 访问的 AWS 服务设置相同。请注意，避免无意中禁用其他人使用的存储桶。

   1. 选择 **Select (选择)** 以保存 S3 存储桶。

   1. 选择 “**更新**” 以保存您的新设置以供 Amazon Quick Sight 访问 AWS 服务。您也可以选择**取消**，不进行任何更改就退出。

1. 如果您的数据文件使用 AWS KMS 密钥加密，请向 Amazon Quick Sight IAM 角色授予解密密钥的权限。执行该操作的最简单方法是使用 AWS CLI。

   你可以在中运行 [create-gran](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) t 命令 AWS CLI 来执行此操作。

   ```
   aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal <Your Amazon Quick Sight Role ARN> --operations Decrypt
   ```

   Amazon Quick Sight 角色的亚马逊资源名称 (ARN) 的格式为`arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>`，可以从 IAM 控制台进行访问。要查找您的 AWS KMS 密钥 ARN，请使用 S3 控制台。转到包含数据文件的存储桶，然后选择**概述**选项卡。密钥位于 **KMS 密钥 ID** 旁边。

对于亚马逊 Athena、Amazon S3 和 Athena Query Federation 连接，Quick Sight 默认使用以下 IAM 角色：

```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
```

如果不存在`aws-quicksight-s3-consumers-role-v0`，则 Quick Sight 会使用：

```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
```