Amazon QuickSight から Amazon Redshift クラスターまたはプライベートサブネットにある Amazon RDS DB インスタンスへのプライベート接続を作成する方法を教えてください。
Amazon QuickSight から Amazon Redshift クラスターまたはプライベートサブネットにあるデータベースインスタンスへのプライベート接続を作成したいと考えています。その方法を教えてください。
簡単な説明
Amazon QuickSight は、AWS データソースへの Amazon Virtual Private Cloud (Amazon VPC) 接続をサポートしています。Amazon VPC 接続を使えば、Amazon Redshift クラスターまたは Amazon Relational Database Service (Amazon RDS) インスタンスに非公開で接続できます。
QuickSight からプライベート接続を行うには、同じ AWS リージョンの VPC からサブネットとセキュリティグループを指定する必要があります。次に、 QuickSight からプライベートサブネットへのプライベート接続を作成します。プライベート接続が確立したら、新しいセキュリティグループと Amazon Redshift クラスターまたは DB インスタンスセキュリティグループ間のトラフィックを許可することができます。
注意: データソースは、QuickSight に使用しているのと同じアカウントとリージョンにある必要があります。
解決方法
**重要:**これらのステップは Amazon QuickSight Enterprise Edition に適用されます。プライベート VPC 内のデータに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードするのがベストプラクティスです。Enterprise Edition の料金の詳細については、Amazon QuickSight の料金表を参照してください。
1. QuickSight がデータソースへのプライベート接続を確立するために使用するサブネットの ID を指定します。同じ VPC 内の既存のサブネットをデータベースインスタンスへのルートとともに使用するか、新しいサブネットを作成することもできます。
2. 同じ VPC 内に QuickSight の新しいセキュリティグループを作成します。
3. Amazon Redshift クラスターまたは RDS DB インスタンスからのすべての通信を許可するには、インバウンドルールを QuickSight セキュリティグループに追加します。
[Type (タイプ)] では、[All TCP (すべての TCP)] を選択します。
[送信元] では、[カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスで使用されるセキュリティグループの ID を入力します。
4. Amazon Redshift クラスターまたは RDS DB インスタンスへのすべてのトラフィックを許可するアウトバウンドルールを QuickSight セキュリティグループに追加します。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用しているポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[送信先] では [カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスで使用されるセキュリティグループの ID を入力します。
5. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、インバウンドルールを追加します。インバウンドルールでは、ステップ 2 で作成した QuickSight セキュリティグループからのすべての受信トラフィックを許可する必要があります。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用しているポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[Source] (送信元) では、[Custom] (カスタム) を選択し、QuickSight セキュリティグループ ID を入力します。
6. Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、別のアウトバウンドルールを追加します。このアウトバウンドルールでは、作成した QuickSight セキュリティグループへのすべてのトラフィックを許可する必要があります。
[Type (タイプ)] では、[All TCP (すべての TCP)] を選択します。
[送信先] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。
7. 次のように、QuickSight から Amazon VPC へのプライベート接続を作成します。
[VPC ID] で、Amazon Redshift クラスターまたは RDS DB インスタンスの VPC を選択します。
[Subnet ID (サブネット ID)] では、ステップ 1 で作成したプライベートサブネットを選択します。
[urity group ID (セキュリティグループ ID)] には、作成した QuickSight セキュリティグループを入力します。
8. 次のように、Amazon Redshift クラスターまたは RDS DB インスタンスから新しいデータセットを作成します。
[Connection type (接続タイプ)] では、ステップ 5 で作成した VPC 接続を選択します。
セキュリティグループ設定の例
SG-123345678f (QuickSight セキュリティグループ) の場合:
インバウンド:
Type Protocol Port Range Source Description ------------------------------------------------------------------------------------------------------------------ All TCP All 0 - 65535 sg-122887878f Amazon RDS/Amazon Redshift security group
アウトバウンド:
Type Protocol Port Range Source Description ------------------------------------------------------------------------------------------------------------ Custom TCP TCP 5439 or 3306 sg-122887878f Amazon RDS/Amazon Redshift security group
SG-122887878f (Amazon RDS または Amazon Redshift セキュリティグループ) の場合:
インバウンド:
Type Protocol Port Range Source Description ----------------------------------------------------------------------------------------------------- Custom TCP TCP 5439 or 3306 sg-123345678f QuickSight security group
アウトバウンド:
Type Protocol Port Range Source Description ------------------------------------------------------------------------------------------------- All TCP TCP 0 - 65535 sg-123345678f QuickSight security group
関連情報
関連するコンテンツ
AWS公式更新しました 10ヶ月前- AWS公式更新しました 2年前