Amazon QuickSight からプライベートサブネット内の Amazon Redshift クラスターまたはデータベースインスタンスへのプライベート接続を作成したいと考えています。どうすればできますか?
簡単な説明
Amazon QuickSight は、AWS データソースへの Amazon Virtual Private Cloud (Amazon VPC) 接続をサポートしています。Amazon VPC 接続により、Amazon Redshift クラスターまたは Amazon Relational Database Service (Amazon RDS) インスタンスへのプライベート接続を行うことができます。
QuickSight からプライベート接続を作成するには、同じ AWS リージョン内の VPC からサブネットとセキュリティグループを指定する必要があります。次に、QuickSight からプライベートサブネットへのプライベート接続を作成します。プライベート接続が確立されたら、新しいセキュリティグループと Amazon Redshift クラスターまたは DB インスタンスセキュリティグループ間のトラフィックを許可できます。
注: データソースは、QuickSight に使用されているのと同じアカウントとリージョンにある必要があります。
解決策
**重要:**これらの手順は Amazon QuickSight Enterprise Edition に適用されます。プライベート VPC のデータに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードすることをお勧めします。Enterprise Edition の料金の詳細については、「Amazon QuickSight の料金」を参照してください。
-
QuickSight がデータソースへのプライベート接続を確立するために使用するサブネットの ID を指定します。同じ VPC 内の既存のサブネットをデータベースインスタンスへのルートとともに使用することも、新しいサブネットを作成することもできます。
-
同じ VPC 内に QuickSight の新しいセキュリティグループを作成します。
-
Amazon Redshift クラスターまたは RDS DB インスタンスからのすべての通信を許可するインバウンドルールを QuickSight セキュリティグループに追加します。
[タイプ] では、[すべての TCP] を選択します。
[送信元] では、[カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。
-
Amazon Redshift クラスターまたは RDS DB インスタンスへのすべてのトラフィックを許可するアウトバウンドルールを QuickSight セキュリティグループに追加します。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[送信先] では [カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。
-
Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループに、インバウンドルールを追加します。インバウンドルールでは、ステップ 2 で作成した QuickSight セキュリティグループからのすべての受信トラフィックを許可する必要があります。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[送信元] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。
-
Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループに、別のアウトバウンドルールを追加します。このアウトバウンドルールでは、作成した QuickSight セキュリティグループへのすべてのトラフィックを許可する必要があります。
[タイプ] では、[すべての TCP] を選択します。
[送信先] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。
-
次のように、QuickSight から Amazon VPC へのプライベート接続を作成します。
[VPC ID] では、Amazon Redshift クラスターまたは RDS DB インスタンスの VPC を選択します。
[サブネット ID] では、ステップ 1 で作成したプライベートサブネットを選択します。
[セキュリティグループ ID] では、作成した QuickSight セキュリティグループを入力します。
-
次のように、Amazon Redshift クラスターまたは RDS DB インスタンスから新しいデータセットを作成します。
[接続タイプ] では、ステップ 5 で作成した VPC 接続を選択します。
セキュリティグループ設定の例
QuickSight セキュリティグループが SG-123345678f である場合:
インバウンド:
Type Protocol Port Range Source Description
------------------------------------------------------------------------------------------------------------------
All TCP All 0 - 65535 sg-122887878f Amazon RDS/Amazon Redshift security group
アウトバウンド:
Type Protocol Port Range Source Description
------------------------------------------------------------------------------------------------------------
Custom TCP TCP 5439 or 3306 sg-122887878f Amazon RDS/Amazon Redshift security group
Amazon RDS または Amazon Redshift セキュリティグループが SG-122887878f である場合:
インバウンド:
Type Protocol Port Range Source Description
-----------------------------------------------------------------------------------------------------
Custom TCP TCP 5439 or 3306 sg-123345678f QuickSight security group
アウトバウンド:
Type Protocol Port Range Source Description
-------------------------------------------------------------------------------------------------
All TCP TCP 0 - 65535 sg-123345678f QuickSight security group
関連情報
Amazon QuickSight を使用した VPC への接続