Фон
Я работаю над задачей по созданию AWS отчета QuickSight в учетной записи B из AWS Данные инвентаризации системного менеджера в учетной записи A S3 (s3 sync) ).
Я успешно добавил все данные syn c ресурса в корзину кросс-аккаунта (учетной записи A) S3, используя SSM resource data sync. Bucket шифруется с помощью ключа AWS -KMS (ключ находится в учетной записи A), и этот же ключ используется в данных ресурсов syn c во всех учетных записях для добавления данных в корзину нескольких учетных записей.
Более того Я использую Athena в учетной записи B для создания образца базы данных и схем из данных S3 Syn c.
Задача
Афина может успешно создавать базу данных и схемы в учетной записи B, а также добавлять метаданные из учетной записи B в корзину S3. Он продолжает показывать access denied, когда я пытаюсь увидеть «таблицу предварительного просмотра».
Ошибка
Ваш запрос содержит следующие ошибки:
com.amazon aws .services.s3.model.AmazonS3Exception: доступ запрещен (Сервис: Amazon S3; код состояния: 403; код ошибки: AccessDenied; идентификатор запроса: 3F5896D43C82733B; идентификатор расширенного запроса S3 (путь: s3: / /bucket/AWS:Application/accountid=../region=us-east-1/resourcetype=ManagedInstanceInventory/i-..json)
Афина и QuickSight работают в учетная запись, в которой находятся ведро и ключ, но я хочу сохранить ведро в другой учетной записи.
Я пытаюсь применить рекомендации по исправлению ошибок в AWS и гибридной среде , но с с другой учетной записью и с ключом KMS.
Я проследил весь документ о межсчетном доступе Athena с помощью KMS, но не повезло. Также добавил расшифровку политики IAM в роль службы QuickSight.
Моя роль IAM имеет полный доступ администратора. Он использует роль предположения.
Может ли кто-нибудь направить меня в этом вопросе? Спасибо.