本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 我無法連接到 Amazon Athena
<a name="troubleshoot-connect-athena"></a>


|  | 
| --- |
|    目標對象：Amazon Quick 管理員  | 

使用此章節來協助您對 Athena 的連線進行疑難排解。

如果您無法連線到 Amazon Athena，執行查詢時可能會收到許可不足錯誤，表示未設定許可。若要確認您可以將 Amazon Quick Sight 連線至 Athena，請檢查下列設定：
+ AWS Amazon Quick Sight 內的資源許可
+ AWS Identity and Access Management (IAM) 政策
+ Amazon S3 位置
+ 查詢結果位置
+ AWS KMS 金鑰政策 （僅適用於加密的資料集）

如需詳細資訊，請參閱下列資訊。如需 Athena 其他問題疑難排解的資訊，請參閱 [搭配 Amazon Quick Sight 使用 Amazon Athena 時的連線問題](troubleshoot-athena.md)。

## 請確定您已授權 Amazon Quick Sight 使用 Athena
<a name="troubleshoot-connect-athena-authorizing"></a>


|  | 
| --- |
|    目標對象：Amazon Quick 管理員  | 

請使用下列程序，確認您已成功授權 Amazon Quick Sight 使用 Athena。 AWS 資源的許可適用於所有 Amazon Quick Sight 使用者。

若要執行此動作，您必須是 Amazon Quick Sight 管理員。若要檢查您是否具有存取權，請確認您在右上角的設定檔開啟選單時看到**管理 QuickSight** 選項。

**授權 Amazon Quick Sight 存取 Athena**

1. 選擇您的描述檔名稱 (右上角)。選擇**管理 Quick Sight**，然後向下捲動至**自訂許可**區段。

1. 選擇**AWS 資源**，然後選擇**新增或移除**。

1. 在清單中尋找 Athena。清除 Athena 旁的方塊，然後再次選取以啟用 Athena。

   然後選擇 **Connect both(同時連線)**。

1. 選擇您要從 Amazon Quick Sight 存取的儲存貯體。

   您在此處存取的 S3 儲存貯體設定與您透過從 清單中選擇 Amazon S3 存取的設定相同 AWS 服務。請小心不要意外停用其他人使用的儲存貯體。

1. 選擇**刪除**確認您選取的項目。若要退出而不儲存，請選擇**取消**。

   

1. 選擇**更新**以儲存 Amazon Quick Sight 存取的新設定 AWS 服務。或者，選擇**取消**離開，但不建立任何變更。

1.  AWS 區域 完成後，請確定您使用的是正確的 。

   如果您必須在此程序的第一個步驟 AWS 區域 中變更 ，請將其變更回 AWS 區域 您之前使用的 。

## 確保您的 IAM 政策授予正確的許可
<a name="troubleshoot-connect-athena-perms"></a>


|  | 
| --- |
|    目標對象：系統管理員  | 

您的 AWS Identity and Access Management (IAM) 政策必須授予特定動作的許可。您的 IAM 使用者或角色必須能夠對 Athena 用於您的查詢的 S3 儲存貯體的輸入和輸出同時進行讀取和寫入。

如果資料集已加密，IAM 使用者必須是指定金鑰政策中的 AWS KMS 金鑰使用者。

**驗證您的 IAM 政策具有許可能夠對您的查詢使用 S3 儲存貯體**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 找到您使用的 IAM 使用者或角色。選擇使用者或角色名稱來查看相關聯的政策。

1. 驗證政策具有正確的許可。選擇您要驗證的政策，然後選擇**編輯政策**。使用視覺化編輯器 (預設會開啟)。如果您開啟的是 JSON 編輯器，請選擇 **Visual editor (視覺化編輯器)** 標籤。

1. 選擇清單中的 S3 項目來查看它的內容。政策需要對清單授予的許可為讀取和寫入。如果 S3 不在清單中，或是它沒有正確的許可，則可以在這裡加以新增。

如需使用 Quick Sight 的 IAM 政策範例，請參閱 [Quick 的 IAM 政策範例](iam-policy-examples.md)。

## 確保 IAM 使用者對您的 S3 位置具有讀/寫存取權限
<a name="troubleshoot-connect-athena-read-write-access"></a>


|  | 
| --- |
|    目標對象：Amazon Quick 管理員  | 

若要從 Quick Sight 存取 Athena 資料，請先確定 Athena 及其 S3 位置已在**管理 QuickSight** 畫面中獲得授權。如需詳細資訊，請參閱[請確定您已授權 Amazon Quick Sight 使用 Athena](#troubleshoot-connect-athena-authorizing)。

接下來，請確認相關 IAM 許可。您的 Athena 連線的 IAM 使用者需要結果在 S3 中位置的讀取/寫入存取權限。首先驗證 IAM 使用者具有[允許存取 Athena](https://docs.aws.amazon.com/athena/latest/ug/setting-up.html#attach-managed-policies-for-using-ate) 的附加政策，例如 `AmazonAthenaFullAccess`。讓 Athena 使用所需名稱建立儲存貯體，然後將它新增至 QuickSight 可以存取的儲存貯體清單。如果您變更結果儲存貯體 (`aws-athena-query-results-*`) 的預設位置，請確定 IAM 使用者具有讀取和寫入新位置的許可。

確認您未在 S3 URL 中包含 AWS 區域 程式碼。例如，使用 `s3://awsexamplebucket/path` 而非 `s3://us-east-1.amazonaws.com/awsexamplebucket/path`。使用錯誤的 S3 URL 會造成 `Access Denied` 錯誤。

同時確認儲存貯體政策和物件存取控制清單 (ACL) 是否[允許 IAM 使用者存取儲存貯體中的物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)。如果 IAM 使用者位於不同的 AWS 帳戶，請參閱《*Amazon Athena 使用者指南*》中的[跨帳戶存取](https://docs.aws.amazon.com/athena/latest/ug/cross-account-permissions.html)。

如果資料集已加密，請確認 IAM 使用者是指定金鑰政策中的 AWS KMS 金鑰使用者。您可以在 AWS KMS 主控台中執行此操作，網址為 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)。

**若要設定對您的 Athena 查詢結果位置的許可**

1. 前往 [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) 開啟 Athena 主控台。

1. 請確認您已選取要使用的工作群組：
   + 檢查頂部的**工作群組**選項。它具有格式**工作群組：*group-name***。如果群組名稱是您想要使用的，請跳到下一個步驟。
   + 若要選擇其他工作群組，請選擇頂部的**工作群組**。選擇您想要使用的工作群組，然後選擇**切換工作群組**。

1. 選擇右上角的**設定**。

   (不常見) 如果出現找不到您的工作群組的錯誤，請使用下列步驟進行修正：

   1.  暫時忽略錯誤訊息，在**設定**頁面上找到**工作群組：*group-name***。您的工作群組名稱是超連結。將之開啟。

   1. 在**工作群組：*<groupname>*** 頁面上，選擇左側的**編輯工作群組**。現在關閉錯誤訊息。

   1. 在**查詢結果位置**附近，透過選擇具有檔案資料夾圖示的**選取**按鈕，以開啟 S3 位置選取器。

   1. 選擇 Athena S3 位置名稱末尾的小箭頭。名稱的開頭必須為 `aws-athena-query-results`。

   1. (選用) 選取 **Encrypt results stored in S3** 核取方塊來加密查詢結果。

   1. 選擇**儲存**以確認選擇。

   1. 如果錯誤沒有再次出現，請返回**設定**。

      有時，錯誤可能會再次出現。若如此，請遵循以下步驟：

      1. 選擇工作群組，然後選擇**檢視詳細資訊**。

      1. (選用) 若要保留您的設定，請以筆記記下工作群組組態或擷取螢幕畫面。

      1. 選擇**建立工作群組**。

      1. 將工作群組取代為新工作群組。設定正確的 S3 位置和加密選項。請記下 S3 位置，因為稍後會需要它。

      1. 選擇**儲存**以繼續。

      1. 當您不再需要原始工作群組時，請將其停用。請務必仔細閱讀出現的警告，因為它會告訴您如果您選擇禁用它，將會失去什麼。

1. 如果在上一個步驟中進行疑難排解並未取得此項，請選擇右上角的**設定**，並獲取顯示為**查詢結果位置**的 S3 位置值。

1. 如果**加密查詢結果**已啟用，請檢查是否它使用 SSE-KMS 或 CSE-KMS。記下該金鑰。

1. 在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 S3 主控台，開啟正確的儲存貯體，然後選擇**許可**索引標籤。

1. 檢視**儲存貯體政策**，檢查您的 IAM 使用者是否具有存取權。

   如果您使用 ACL 管理存取，請檢視**存取控制清單**確定存取控制清單 (ACL) 已設定。

1. 如果您的資料集已加密 （在工作群組設定中選取**加密查詢結果**)，請確定 IAM 使用者或角色已新增為該金鑰政策中的 AWS KMS 金鑰使用者。您可以在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 存取 AWS KMS 設定。

**若要授予 Athena 使用的 S3 儲存貯體的存取權**

1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。

1. 在**查詢結果位置**中，選擇 Athena 使用的 S3 儲存貯體。

1. 在 **Permissions (許可)** 索引標籤上，驗證許可。

如需詳細資訊，請參閱 AWS 支援文章 [當我執行 Athena 查詢時，會收到「存取遭拒」錯誤](https://aws.amazon.com/premiumsupport/knowledge-center/access-denied-athena/)。