本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 Amazon Quick Sight 使用 Athena 時的許可不足
<a name="troubleshoot-athena-insufficient-permissions"></a>

如果您收到表示「許可不足」的錯誤訊息，請嘗試以下步驟來解決您的問題：

您需要管理員許可才能對此問題進行疑難排解。

**若要解決許可不足錯誤**

1. 確定 Amazon Quick Sight 可以存取 Athena 使用的 Amazon S3 儲存貯體：

   1. 為此，請選擇您的描述檔名稱 (右上角)。選擇**管理 Quick Sight**，然後向下捲動至**自訂許可**區段。

   1. 選擇**AWS 資源**，然後選擇**新增或移除**。

   1. 在清單中找出 Athena。清除 Athena 旁邊的核取方塊，然後再次選取以啟用 Athena。

      後選擇**連接兩者**。

   1. 選擇您要從 Amazon Quick Sight 存取的儲存貯體。

      您在此處存取的 S3 儲存貯體設定與您透過從 清單中選擇 Amazon S3 存取的設定相同 AWS 服務。請小心不要意外停用其他人使用的儲存貯體。

   1. 選擇**選取**儲存您的 S3 儲存貯體。

   1. 選擇**更新**以儲存 Amazon Quick Sight 存取的新設定 AWS 服務。或者，選擇**取消**離開，但不建立任何變更。

1. 如果您的資料檔案使用 AWS KMS 金鑰加密，請將解密金鑰的許可授予 Amazon Quick Sight IAM 角色。執行此動作最簡單的方法是使用 AWS CLI。

   您可以在 中執行 [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) 命令 AWS CLI 來執行此操作。

   ```
   aws kms create-grant --key-id <AWS KMS key ARN> --grantee-principal <Your Amazon Quick Sight Role ARN> --operations Decrypt
   ```

   Amazon Quick Sight 角色的 Amazon Resource Name (ARN) 具有 格式，`arn:aws:iam::<account id>:role/service-role/aws-quicksight-service-role-v<version number>`可以從 IAM 主控台存取。若要尋找您的 AWS KMS 金鑰 ARN，請使用 S3 主控台。移至包含您的資料檔案的儲存貯體，然後選擇 **Overview (概觀)** 索引標籤。該金鑰位於 **KMS key ID (KMS 金鑰 ID)** 附近。

對於 Amazon Athena、Amazon S3 和 Athena 查詢聯合連線，Quick Sight 預設會使用下列 IAM 角色：

```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
```

如果 `aws-quicksight-s3-consumers-role-v0` 不存在，則 Quick Sight 會使用：

```
arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
```