Amazon QuickSight からプライベートサブネットにある Amazon RDS DB インスタンスまたは Amazon Redshift クラスターへのプライベート接続を作成する方法を教えてください。

簡単な説明

Amazon QuickSight は、AWS データソースへの Amazon Virtual Private Cloud (Amazon VPC) 接続をサポートしています。Amazon VPC 接続により、Amazon Redshift クラスターまたは Amazon Relational Database Service (Amazon RDS) インスタンスへのプライベート接続を行うことができます。

QuickSight からプライベート接続を作成するには、同じ AWS リージョン内の VPC からサブネットとセキュリティグループを指定する必要があります。次に、QuickSight からプライベートサブネットへのプライベート接続を作成します。プライベート接続が確立されたら、新しいセキュリティグループと Amazon Redshift クラスターまたは DB インスタンスセキュリティグループ間のトラフィックを許可できます。

注: データソースは、QuickSight に使用されているのと同じアカウントとリージョンにある必要があります。

解決策

**重要:**これらの手順は Amazon QuickSight Enterprise Edition に適用されます。プライベート VPC のデータに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードすることをお勧めします。Enterprise Edition の料金の詳細については、「Amazon QuickSight の料金」を参照してください。

1. QuickSight がデータソースへのプライベート接続を確立するために使用するサブネットの ID を指定します。同じ VPC 内の既存のサブネットをデータベースインスタンスへのルートとともに使用することも、新しいサブネットを作成することもできます。

2. 同じ VPC 内に QuickSight の新しいセキュリティグループを作成します。

3. Amazon Redshift クラスターまたは RDS DB インスタンスからのすべての通信を許可するインバウンドルールを QuickSight セキュリティグループに追加します。
   [タイプ] では、[すべての TCP] を選択します。
   [送信元] では、[カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。

4. Amazon Redshift クラスターまたは RDS DB インスタンスへのすべてのトラフィックを許可するアウトバウンドルールを QuickSight セキュリティグループに追加します。
   [タイプ] では、[カスタム TCP ルール] を選択します。
   [ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
   [送信先] では [カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するセキュリティグループの ID を入力します。

5. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループに、インバウンドルールを追加します。インバウンドルールでは、ステップ 2 で作成した QuickSight セキュリティグループからのすべての受信トラフィックを許可する必要があります。
   [タイプ] では、[カスタム TCP ルール] を選択します。
   [ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用するポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
   [送信元] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。

6. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループに、別のアウトバウンドルールを追加します。このアウトバウンドルールでは、作成した QuickSight セキュリティグループへのすべてのトラフィックを許可する必要があります。
   [タイプ] では、[すべての TCP] を選択します。
   [送信先] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。

7. 次のように、QuickSight から Amazon VPC へのプライベート接続を作成します。
   [VPC ID] では、Amazon Redshift クラスターまたは RDS DB インスタンスの VPC を選択します。
   [サブネット ID] では、ステップ 1 で作成したプライベートサブネットを選択します。
   [セキュリティグループ ID] では、作成した QuickSight セキュリティグループを入力します。

8. 次のように、Amazon Redshift クラスターまたは RDS DB インスタンスから新しいデータセットを作成します。
   [接続タイプ] では、ステップ 5 で作成した VPC 接続を選択します。

セキュリティグループ設定の例

QuickSight セキュリティグループが SG-123345678f である場合:

インバウンド:

Type             Protocol          Port Range         Source                  Description
------------------------------------------------------------------------------------------------------------------
All TCP           All              0 - 65535       sg-122887878f         Amazon RDS/Amazon Redshift security group

アウトバウンド:

Type              Protocol          Port Range           Source                  Description
------------------------------------------------------------------------------------------------------------
Custom TCP          TCP            5439 or 3306       sg-122887878f       Amazon RDS/Amazon Redshift security group

Amazon RDS または Amazon Redshift セキュリティグループが SG-122887878f である場合:

インバウンド:

Type             Protocol          Port Range           Source                Description
-----------------------------------------------------------------------------------------------------
Custom TCP         TCP            5439 or 3306        sg-123345678f        QuickSight security group

アウトバウンド:

Type            Protocol          Port Range          Source                  Description
-------------------------------------------------------------------------------------------------
All TCP           TCP             0 - 65535           sg-123345678f        QuickSight security group

関連情報

Amazon QuickSight を使用した VPC への接続