Amazon QuickSight からプライベートサブネットにある Amazon RDS DB インスタンスまたは Amazon Redshift クラスターへのプライベート接続を作成する方法を教えてください。

簡単な説明

QuickSight は、AWS データソースへの Amazon Virtual Private Cloud (Amazon VPC) 接続をサポートしています。Amazon VPC 接続により、Amazon Redshift クラスターまたは Amazon Relational Database Service (Amazon RDS) インスタンスへのプライベート接続を行うことができます。

QuickSight からプライベート接続を作成するには、同じ AWS リージョン内の VPC からサブネットとセキュリティグループを指定する必要があります。次に、QuickSight からプライベートサブネットへのプライベート接続を作成します。プライベート接続を確立したら、新しいセキュリティグループと Amazon Redshift クラスターまたは DB インスタンスセキュリティグループ間のトラフィックを許可できます。

注: データソースは、QuickSight に使用されているのと同じ AWS アカウントとリージョンにある必要があります。クロスリージョンおよびクロスアカウントのデータソースには、追加の設定が必要になります。詳細については、「Amazon QuickSight を別の AWS リージョンまたは AWS アカウントのプライベート Amazon RDS データソースに接続するにはどうすればよいですか?」を参照してください。

解決方法

重要:

• 次の解決策は Amazon QuickSight の Enterprise エディション に適用されます。プライベート VPC のデータに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードすることをお勧めします。Enterprise Edition の料金の詳細については、「Amazon QuickSight の料金」を参照してください。
• QuickSight コンソールまたは QuickSight コマンドラインインターフェイス (CLI) で VPC を設定するための前提条件を確認してください。

QuickSight セキュリティグループにインバウンドルールとアウトバウンドルールを追加する

次の手順を実行します。

1. データソースへのプライベート接続を確立するために QuickSight が使用するサブネットの ID を指定します。
   注: 各 VPC 接続では、2 つ以上のサブネットを使用する必要があります。同じ VPC 内の既存のサブネットをデータベースインスタンスへのルートとともに使用することも、新しいサブネットを作成することもできます。
2. 同じ VPC 内に新しい QuickSight セキュリティグループを作成します。
3. Amazon Redshift クラスターまたは RDS DB インスタンスからのすべての通信を許可するインバウンドルールをセキュリティグループに追加します。
4. [タイプ] では、[すべての TCP] を選択します。
5. [送信元] では、[カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。
6. Amazon Redshift クラスターまたは RDS DB インスタンスへのすべてのトラフィックを許可するアウトバウンドルールを QuickSight セキュリティグループに追加します。
7. [タイプ] では、[カスタム TCP ルール] を選択します。
8. [ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
9. [送信先] では [カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。

Redshift クラスターまたは RDS セキュリティグループにインバウンドルールとアウトバウンドルールを追加する

次の手順を実行します。

1. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、QuickSight セキュリティグループからのすべてのインカミングトラフィックを許可するインバウンドルールを追加します。
2. [タイプ] では、[カスタム TCP ルール] を選択します。
3. [ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
4. [送信元] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。
5. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、すべてのトラフィックを許可する別のアウトバウンドルールを QuickSight セキュリティグループに追加します。
6. [タイプ] では、[すべての TCP] を選択します。
7. [送信先] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。

QuickSight から Amazon VPC へのプライベート接続を作成する

次の手順を実行します。

1. QuickSight コンソールを開きます。
2. 自分のプロフィールアイコンを選択し、[QuickSight の管理] を選択します。
3. ナビゲーションペインで [VPN 接続の管理] を選択してから、[VPN 接続の追加] を選択します。
4. [VPC 接続名] には、接続の名前を入力します。
5. [VPC ID] では、Amazon Redshift クラスターまたは RDS DB インスタンスの VPC を選択します。
6. [実行ロール] では、VPC 接続に使用する IAM ロールを選択します。
   注: [実行ロール] のドロップダウンリストには、QuickSight による VPC 接続の設定を許可する信頼ポリシーを含む IAM ポリシーのみが表示されます。
7. [サブネット ID] では、少なくとも 2 つのプライベートサブネットを選択します。
8. [追加] を選択します。

Amazon Redshift クラスターまたは RDS DB インスタンスから新しいデータセットを作成する

次の手順を実行します。

1. QuickSight コンソールを開いて [データセット] を選択します。
2. [新しいデータセット] を選択します。
3. 自動検出された AWS データソースへの接続を作成します。作成した VPC 接続タイプを必ず選択します。

QuickSight SG-123345678f の例:

インバウンド:

Type             Protocol          Port Range         Source                  Description------------------------------------------------------------------------------------------------------------------
All TCP           All              0 - 65535       sg-122887878f         Amazon RDS/Amazon Redshift security group

アウトバウンド:

Type              Protocol          Port Range           Source                  Description------------------------------------------------------------------------------------------------------------
Custom TCP          TCP            5439 or 3306       sg-122887878f       Amazon RDS/Amazon Redshift security group

Amazon RDS または Amazon Redshift SG-122887878f の例:

インバウンド:

Type             Protocol          Port Range           Source                Description-----------------------------------------------------------------------------------------------------
Custom TCP         TCP            5439 or 3306        sg-123345678f        QuickSight security group

アウトバウンド:

Type            Protocol          Port Range          Source                  Description-------------------------------------------------------------------------------------------------
All TCP           TCP             0 - 65535           sg-123345678f        QuickSight security group

関連情報

Amazon QuickSight を使用した VPC への接続