Comment créer une connexion privée d'Amazon QuickSight à un cluster Amazon Redshift ou une instance de base de données Amazon RDS se trouvant dans un sous-réseau privé ?

Date de la dernière mise à jour : 17/08/2020

Je souhaite créer une connexion privée d'Amazon QuickSight à un cluster Amazon Redshift ou une instance Amazon Relational Database Service (Amazon RDS) dans un sous-réseau privé. Comment procéder ?

Brève description

QuickSight prend en charge les connexions Amazon Virtual Private Cloud (Amazon VPC) aux sources de données AWS. La connexion Amazon VPC vous permet de vous connecter à un cluster Amazon Redshift ou à une instance de base de données Amazon RDS sans passer par l'Internet public.

Pour créer une connexion privée à partir d'Amazon QuickSight, vous devez créer un nouveau sous-réseau privé et un nouveau groupe de sécurité. Créez ensuite une connexion privée depuis QuickSight vers le sous-réseau privé. Une fois la connexion privée établie, vous pouvez autoriser le trafic entre le nouveau groupe de sécurité et le cluster Amazon Redshift ou le groupe de sécurité de l'instance de base de données.

Remarque : la source de données doit se trouver dans le même compte et la même Région que ceux utilisés pour QuickSight.

Résolution

1.    Créez un nouveau sous-réseau privé (un sous-réseau sans passerelle Internet attachée) dans le même VPC que celui dans lequel se trouve le cluster Amazon Redshift ou l'instance de base de données RDS. QuickSight utilise ce sous-réseau pour la connexion privée.

2.    Créez un groupe de sécurité pour QuickSight dans le même VPC.

3.    Ajoutez une règle entrante au groupe de sécurité QuickSight qui autorise toutes les communications depuis le cluster Amazon Redshift ou l'instance de base de données RDS.
Pour Type, sélectionnez Tous les TCP.
Pour Source, choisissez Personnalisé, puis entrez l'ID du groupe de sécurité utilisé par votre cluster Amazon Redshift ou votre instance de base de données RDS.

4.    Ajoutez une règle sortante au groupe de sécurité QuickSight qui autorise tout le trafic vers le cluster Amazon Redshift ou l'instance de base de données RDS.
Pour Type, sélectionnez Règle TCP personnalisée.
Pour Plage de ports, saisissez le port utilisé par le cluster Amazon Redshift ou l'instance de base de données RDS. Le port Amazon Redshift par défaut est 5439. Le port Amazon RDS par défaut est 3306.
Pour Destination, choisissez Personnalisé, puis entrez l'ID du groupe de sécurité utilisé par votre cluster Amazon Redshift ou votre instance de base de données RDS.

5.    Ajoutez une règle entrante dans le groupe de sécurité du cluster Amazon Redshift ou de l'instance de base de données RDS. La règle entrante doit autoriser tout le trafic entrant du groupe de sécurité QuickSight que vous avez créé à l'étape 2.
Pour Type, sélectionnez Tous les TCP.
Pour Source, sélectionnez Personnalisé, puis saisissez l'ID du groupe de sécurité QuickSight.

6.    Ajoutez une autre règle sortante dans le groupe de sécurité du cluster Amazon Redshift ou de l'instance de base de données RDS. Cette règle entrante doit autoriser tout le trafic vers le groupe de sécurité QuickSight que vous avez créé.
Pour Type, sélectionnez Tous les TCP.
Pour Destination, sélectionnez Personnalisé, puis saisissez l'ID du groupe de sécurité QuickSight.

7.    Créez une connexion privée de QuickSight à Amazon VPC :
Pour l'ID de VPC, sélectionnez le VPC pour votre cluster Amazon Redshift ou votre instance de base de données RDS.
Pour ID de sous-réseau, sélectionnez le sous-réseau privé que vous avez créé à l'étape 1.
Pour ID de groupe de sécurité, saisissez le groupe de sécurité QuickSight que vous avez créé.

8.    Créez un ensemble de données à partir du cluster Amazon Redshift ou de l'instance de base de données RDS.
Pour Type de connexion, sélectionnez la connexion VPC que vous avez créée à l'étape 5.

Exemple de configuration du groupe de sécurité

Dans SG-123345678f (groupe de sécurité Amazon QuickSight) :

Règle entrante :

Type             Protocol          Port Range         Source                  Description
------------------------------------------------------------------------------------------------------------------
All TCP           All              0 - 65535       sg-122887878f         Amazon RDS/Amazon Redshift security group

Règle sortante :

Type              Protocol          Port Range           Source                  Description
------------------------------------------------------------------------------------------------------------
Custom TCP          TCP            5439 or 3306       sg-122887878f       Amazon RDS/Redshift security group

Dans SG-122887878f (groupe de sécurité Amazon RDS ou Amazon Redshift) :

Règle entrante :

Type             Protocol          Port Range           Source                Description
-----------------------------------------------------------------------------------------------------
Custom TCP         TCP            5439 or 3306        sg-123345678f        QuickSight security group

Règle sortante :

Type            Protocol          Port Range          Source              Description
-------------------------------------------------------------------------------------------------
All TCP           TCP             0 - 65535         sg-123345678f      QuickSight security group

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?