Amazon QuickSight から Amazon Redshift クラスターまたはプライベートサブネットにある Amazon RDS DB インスタンスへのプライベート接続を作成する方法を教えてください。

簡単な説明

Amazon QuickSight は、AWS データソースへの Amazon Virtual Private Cloud (Amazon VPC) 接続をサポートしています。Amazon VPC 接続を使えば、Amazon Redshift クラスターまたは Amazon Relational Database Service (Amazon RDS) インスタンスに非公開で接続できます。

QuickSight からプライベート接続を行うには、同じ AWS リージョンの VPC からサブネットとセキュリティグループを指定する必要があります。次に、 QuickSight からプライベートサブネットへのプライベート接続を作成します。プライベート接続が確立したら、新しいセキュリティグループと Amazon Redshift クラスターまたは DB インスタンスセキュリティグループ間のトラフィックを許可することができます。

注意: データソースは、QuickSight に使用しているのと同じアカウントとリージョンにある必要があります。

解決方法

**重要:**これらのステップは Amazon QuickSight Enterprise Edition に適用されます。プライベート VPC 内のデータに安全にアクセスするには、Amazon QuickSight Enterprise Edition にアップグレードするのがベストプラクティスです。Enterprise Edition の料金の詳細については、Amazon QuickSight の料金表を参照してください。

1.    QuickSight がデータソースへのプライベート接続を確立するために使用するサブネットの ID を指定します。同じ VPC 内の既存のサブネットをデータベースインスタンスへのルートとともに使用するか、新しいサブネットを作成することもできます。

2.    同じ VPC 内に QuickSight の新しいセキュリティグループを作成します。

3.    Amazon Redshift クラスターまたは RDS DB インスタンスからのすべての通信を許可するには、インバウンドルールを QuickSight セキュリティグループに追加します。
[Type (タイプ)] では、[All TCP (すべての TCP)] を選択します。
[送信元] では、[カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスで使用されるセキュリティグループの ID を入力します。

4.    Amazon Redshift クラスターまたは RDS DB インスタンスへのすべてのトラフィックを許可するアウトバウンドルールを QuickSight セキュリティグループに追加します。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用しているポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[送信先] では [カスタム] を選択し、Amazon Redshift クラスターまたは RDS DB インスタンスで使用されるセキュリティグループの ID を入力します。

5.    Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、インバウンドルールを追加します。インバウンドルールでは、ステップ 2 で作成した QuickSight セキュリティグループからのすべての受信トラフィックを許可する必要があります。
[タイプ] では、[カスタム TCP ルール] を選択します。
[ポート範囲] では、Amazon Redshift クラスターまたは RDS DB インスタンスが使用しているポートを入力します。デフォルトの Amazon Redshift ポートは 5439 です。デフォルトの Amazon RDS ポートは 3306 です。
[Source] (送信元) では、[Custom] (カスタム) を選択し、QuickSight セキュリティグループ ID を入力します。

6.    Amazon Redshift クラスターまたは RDS DB インスタンスのセキュリティグループで、別のアウトバウンドルールを追加します。このアウトバウンドルールでは、作成した QuickSight セキュリティグループへのすべてのトラフィックを許可する必要があります。
[Type (タイプ)] では、[All TCP (すべての TCP)] を選択します。
[送信先] では、[カスタム] を選択し、QuickSight セキュリティグループ ID を入力します。

7.    次のように、QuickSight から Amazon VPC へのプライベート接続を作成します。
[VPC ID] で、Amazon Redshift クラスターまたは RDS DB インスタンスの VPC を選択します。
[Subnet ID (サブネット ID)] では、ステップ 1 で作成したプライベートサブネットを選択します。
[urity group ID (セキュリティグループ ID)] には、作成した QuickSight セキュリティグループを入力します。

8.    次のように、Amazon Redshift クラスターまたは RDS DB インスタンスから新しいデータセットを作成します。
[Connection type (接続タイプ)] では、ステップ 5 で作成した VPC 接続を選択します。

セキュリティグループ設定の例

SG-123345678f (QuickSight セキュリティグループ) の場合:

インバウンド:

Type             Protocol          Port Range         Source                  Description
------------------------------------------------------------------------------------------------------------------
All TCP           All              0 - 65535       sg-122887878f         Amazon RDS/Amazon Redshift security group

アウトバウンド:

Type              Protocol          Port Range           Source                  Description
------------------------------------------------------------------------------------------------------------
Custom TCP          TCP            5439 or 3306       sg-122887878f       Amazon RDS/Amazon Redshift security group

SG-122887878f (Amazon RDS または Amazon Redshift セキュリティグループ) の場合:

インバウンド:

Type             Protocol          Port Range           Source                Description
-----------------------------------------------------------------------------------------------------
Custom TCP         TCP            5439 or 3306        sg-123345678f        QuickSight security group

アウトバウンド:

Type            Protocol          Port Range          Source                  Description
-------------------------------------------------------------------------------------------------
All TCP           TCP             0 - 65535           sg-123345678f        QuickSight security group

---

関連情報

Amazon QuickSight で VPC に接続する