Amazon QuickSight を別の AWS リージョンまたは AWS アカウントのプライベート Amazon RDS データソースに接続するにはどうすればよいですか?

簡単な説明

Amazon RDS データソースと Amazon Virtual Private Cloud (Amazon VPC) の設定例:

アカウントタイプ	同じリージョンの Amazon RDS データソース	別のリージョンの Amazon RDS データソース
同じ AWS アカウント	QuickSight での Amazon VPC 接続	Amazon VPC ピアリング
異なる AWS アカウント	Amazon VPC ピアリング	Amazon VPC ピアリング

解決方法

QuickSight を別の AWS リージョンまたは AWS アカウントの Amazon RDS データソースに接続するには、次の手順に従います。

注:

• QuickSight Enterprise エディションは、Elastic Network Interface (ENI) を介して Amazon VPC に接続する機能を提供します。この接続により、ネットワークトラフィックは AWS ネットワーク内でプライベートに保たれます。
• これらのステップは Amazon QuickSight Enterprise Edition に適用されます。Amazon RDS データソースに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードするのがベストプラクティスです。Enterprise Edition の料金の詳細については、Amazon QuickSight の料金を参照してください。
• また、Amazon RDS データソースを、同じ AWS リージョンまたは AWS アカウント内の QuickSight から Amazon VPC 接続を使用して接続することもできます。手順については、「Amazon QuickSight から Amazon Redshift クラスターまたはプライベートサブネットにある Amazon RDS DB インスタンスへのプライベート接続を作成する方法を教えてください」を参照してください。

Amazon RDS の設定例

これらの手順では、Amazon RDS の設定に次の例を使用します。

• RDS データソースは次の VPC でホストされている: vpc-33cc44dd
• vpc-33cc44dd の CIDR 範囲: 172.0.0.0/16
• サブネット ID および関連付けられたルートテーブル ID: subnet-3c3d (rtb-33cd)、subnet-4c4d (rtb-44cd)
• RDS データソースに関連付けられたセキュリティグループ: sg-445566

QuickSight 環境を準備する

注: Amazon VPC とサブネットが既にある場合は、ステップ 3 に進みます。

1.    QuickSight アカウントと同じリージョンに Amazon VPC とサブネットを作成します。Amazon VPC とサブネットを作成するには、指示に従って Amazon VPC とサブネットを作成および設定します。

注:

• Amazon VPC の CIDR ブロックが Amazon RDS インスタンスの CIDR ブロックと異なることを確認してください。
• Amazon RDS データソースのホスト名を使用する予定がある場合は、DNS ホスト名と DNS 解決を必ず有効にしてください。

Amazon VPC の設定例:

Name                     VPC           IPv4 CIDR      Description
-----------------------------------------------------------------------------------------
QuickSight Account VPC   vpc-11aa22bb  10.0.0.0/16    VPC created in QuickSight's Account

サブネットの設定例:

Name                                 Subnet ID      VPC            IPv4 CIDR     Route table
----------------------------------------------------------------------------------------------
Subnet 1 - QuickSight Account VPC    subnet-1a1b    vpc-11aa22bb   10.0.0.0/20   rtb-11ab
Subnet 2 - QuickSight Account VPC    subnet-2a2b    vpc-11aa22bb   10.0.16.0/20  rtb-22ab

2.    セキュリティグループを作成し、Amazon RDS データソースの Amazon VPC CIDR 範囲からのすべての TCP トラフィック用にインバウンドルールを追加します。

注:

• ステップ 1 で作成した Amazon VPC を必ず選択してください。
• [Inbound rules] (インバウンドルール) で、[Type] (タイプ) ドロップダウンリストを選択し、[All TCP] (すべての TCP) を選択します。
• [Source] (ソース) ドロップダウンリストを選択し、[Custom] (カスタム) を選択します。
• [Tags] (タグ) を使用している場合は、[Value] (値) に Amazon RDS データソースの VPC CIDR 範囲を入力します。

QuickSight セキュリティグループの設定例:

Security Group ID     Security Group Name          VPC ID
---------------------------------------------------------------
sg-112233             QuickSight Security Group    vpc-11aa22bb

インバウンドルールの設定例:

Type        Protocol   Port Range   Source          Description
------------------------------------------------------------------------------
All TCP    TCP        0-65535      172.0.0.0/16    VPC CIDR of RDS Data Source

3.    QuickSight コンソールで VPC 接続を作成します。

• ステップ 1 で作成した [VPC connection] (VPC 接続) と [Subnet ID] (サブネット ID)、およびステップ 2 で作成した [Security group ID] (セキュリティグループ ID) を設定します。
• QuickSight 管理者としてログインしていることを確認してください。QuickSight 管理者だけが [Manage QuickSight] (QuickSight を管理) オプションを表示できます。

QuickSight での Amazon VPC 接続の設定例:

VPC connection name        VPC connection ARN                                                               Subnet ID      Security group ID    DNS resolvers
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
VPCConnectionQuickSight    arn:aws:quicksight:us-east-1:1212121212:vpcConnection/VPCConnectionQuickSight    subnet-1a1b    sg-112233

Amazon RDS 環境を準備する

Amazon RDS データソースに関連付けられたセキュリティグループにインバウンドルールを追加します。これにより、QuickSight アカウント Amazon VPC の Amazon VPC CIDR 範囲からのすべての TCP トラフィックが許可されます。

Amazon RDS データソースのセキュリティグループインバウンドルール (sg-445566) の設定例:

Type        Protocol   Port Range   Source         Description
------------------------------------------------------------------------------------
All TCP    TCP        0-65535      10.0.0.0/16    VPC CIDR of QuickSight Account VPC

Amazon VPC ピアリング

Amazon VPC 間の接続を作成する

QuickSight アカウント Amazon VPC と Amazon RDS データソース Amazon VPC の間に VPC ピアリング接続を作成します。

1.    Amazon VPC コンソールを開きます。

2.    ナビゲーションペインで [Peering connections] (ピアリング接続) を選択してから、[Create peering connection] (ピアリング接続を作成) を選択します。

3.    (オプション) [Name] (名前) で、ピアリング接続の名前を入力します。例えば、「QuickSight RDS VPC peering」などです。

4.    [VPC ID] ドロップダウンリストを選択し、前に作成した VPC を選択します。

5.    [Select another VPC to peer with] (ピアリングする別の VPC を選択) で、次のいずれかを実行します。

        RDS データソースと QuickSight が同じ AWS アカウントを使用する場合は、[My account] (自分のアカウント) を選択します。

        - または -

        RDS データソースと QuickSight が同じ AWS アカウントを使用しない場合は、[Another account] (別のアカウント) を選択します。

6.    [Region] (リージョン) で、次のいずれかを実行します。

        Amazon RDS データソースと QuickSight が同じ AWS アカウントを使用する場合は、[This Region] (このリージョン) を選択します。その後、[VPC ID] ドロップダウンリストを選択し、前に作成した Amazon VPC を選択します。

        - または -

        [Another Region] (別のリージョン) を選択し、[Region] (リージョン) ドロップダウンリストを選択して、RDS データソースと VPC の [Region] (リージョン) を選択し、[VPC ID] で VPC ID を入力します。

7.    [Create peering connection] (ピアリング接続を作成) を選択します。

Amazon VPC ピアリング接続の設定例:

Name                          Peering connection ID    Status               Requester VPC    Accepter VPC
--------------------------------------------------------------------------------------------------------
QuickSight RDS VPC peering    pcx-ab12cd34             Pending acceptance   vpc-11aa22bb     vpc-33cc44dd

Amazon VPC ピアリング接続を受け入れる

pending-acceptance 状態の Amazon VPC ピアリング接続は、アクセプタ Amazon VPC と同じ AWS アカウントとリージョンで受け入れられる必要があります。

指示に従って Amazon VPC ピアリング接続を受け入れます。

Amazon VPC ピアリング接続の設定例:

Name                          Peering connection ID    Status   Requester VPC    Accepter VPC
--------------------------------------------------------------------------------------------------------
QuickSight RDS VPC peering    pcx-ab12cd34             Active   vpc-11aa22bb     vpc-33cc44dd

注: Amazon RDS データソースのホスト名を使用するには、Amazon VPC ピアリング接続の DNS 解決を有効にする必要があります。DNS 解決は、両方の Amazon VPC でも有効にする必要があります。

ルートテーブルを更新する

手順に従って QuickSight アカウントと RDS データソースアカウントのルートテーブルを更新し、ネットワークトラフィックをルーティングします。

注:

• ルートの宛先はピア VPC の CIDR ブロックで、ターゲットは VPC ピアリング接続の ID です。
• 接続が失われないように、Amazon RDS データソースに関連付けられたすべてのサブネットのルートテーブルを同じルートで更新してください。

QuickSight Amazon VPC 接続サブネットのルートテーブル (rtb-11ab) の設定例:

Destination     Target
----------------------------
10.0.0.0/16     local
172.0.0.0/16    pcx-ab12cd34

Amazon RDS データソースサブネットのルートテーブル (rtb-33cd、rtb-44cd) の設定例:

Destination     Target
-----------------------------
172.0.0.0/16    local
10.0.0.0/16     pcx-ab12cd34

QuickSight を Amazon RDS データソースに接続する

1.    Amazon QuickSight コンソールを開きます。

2.    ナビゲーションペインで、[Datasets] (データセット) を選択してから、[New dataset] (新しいデータセット) を選択します。

3.    [PostgreSQL]、[MySQL] などのデータベースエンジンを選択します。

4.    [Connection type] (接続タイプ) で、ドロップダウンリストを選択し、「QuickSight 環境を準備する」セクションのステップ 3 で作成した Amazon VPC を選択します。

5.    データベースの変数を入力します。

6.    [Validate connection] (接続を検証) を選択して QuickSight がデータソースに接続できることを確認し、[Create data source] (データソースを作成) を選択します。

7.    使用するデータベースを選択し、テーブルを選択してから、[Select] (選択) を選択します。

詳細については、「既存のデータベースデータソースを使用したデータセットの作成」を参照してください。

---

関連情報

Amazon QuickSight deployment models for cross-account and cross-Region access to Amazon Redshift and Amazon RDS (Amazon Redshift と Amazon RDS へのクロスアカウントおよびクロスリージョンアクセスのための Amazon QuickSight デプロイモデル)