如何创建从 Amazon QuickSight 到私有子网中的 Amazon Redshift 集群或 Amazon RDS 数据库实例的私有连接？

简短描述

QuickSight 支持 Amazon Virtual Private Cloud（Amazon VPC）与 AWS 数据源的连接。使用 Amazon VPC 连接可以私密地连接到 Amazon Redshift 集群或 Amazon Relational Database Service（Amazon RDS）实例。

要从 QuickSight 创建私有连接，必须提供来自同一 AWS 区域的 VPC 的子网和安全组。然后，创建从 QuickSight 到私有子网的私有连接。在建立私有连接后，可以允许新安全组与 Amazon Redshift 集群或数据库实例安全组之间的流量。

**注意：**数据来源必须位于用于 QuickSight 的同一 AWS 账户和区域中。跨区域和跨账户数据来源需要额外配置。有关更多信息，请参阅如何将 Amazon QuickSight 连接到其他 AWS 区域或 AWS 账户中的私有 Amazon RDS 数据来源？

解决方法

重要事项：

• 以下解决方法适用于 Amazon QuickSight 企业版。为了安全地访问私有 VPC 中的数据，最好升级到 Amazon QuickSight 企业版。有关企业版定价的更多信息，请参阅 Amazon QuickSight 定价。
• 查看在 QuickSight 控制台或 QuickSight 命令行界面（CLI）中配置 VPC 的先决条件。

将入站规则和出站规则添加到 QuickSight 安全组

完成以下步骤：

1. 确定 QuickSight 用于与数据来源建立私有连接的子网的 ID。
   **注意：**每个 VPC 连接必须使用至少两个子网。可以将同一 VPC 中的现有子网与数据库实例的路由一起使用，或创建新子网。
2. 在同一 VPC 中创建新的 QuickSight 安全组。
3. 向安全组添加一个入站规则，以允许来自 Amazon Redshift 集群或 RDS 数据库实例的所有通信。
4. 对于类型，选择所有 TCP。
5. 对于源，选择自定义，然后输入 Amazon Redshift 集群或 RDS 数据库实例使用的安全组的 ID。
6. 向 QuickSight 安全组添加一个出站规则，以允许流向 Amazon Redshift 集群或 RDS 数据库实例的所有流量。
7. 对于类型，选择自定义 TCP 规则。
8. 对于端口范围，输入 Amazon Redshift 集群或 RDS 数据库实例所使用的端口。默认 Amazon Redshift 端口是 5439。默认 Amazon RDS 端口是 3306。
9. 对于目标，选择自定义，然后输入 Amazon Redshift 集群或 RDS 数据库实例所使用的安全组的 ID。

将入站规则和出站规则添加到 Redshift 集群或 RDS 安全组

完成以下步骤：

1. 在 Amazon Redshift 集群或 RDS 数据库实例的安全组中，添加一个入站规则来允许来自 QuickSight 安全组的所有传入流量。
2. 对于类型，选择自定义 TCP 规则。
3. 对于端口范围，输入 Amazon Redshift 集群或 RDS 数据库实例所使用的端口。默认 Amazon Redshift 端口是 5439。默认 Amazon RDS 端口是 3306。
4. 对于源，选择自定义，然后输入 QuickSight 安全组 ID。
5. 在 Amazon Redshift 集群或 RDS 数据库实例的安全组中，添加另一个出站规则来允许流向 QuickSight 安全组的所有流量。
6. 对于类型，选择所有 TCP。
7. 对于目标，选择自定义，然后输入 QuickSight 安全组 ID。

创建从 QuickSight 到 Amazon VPC 的私有连接

完成以下步骤：

1. 打开 QuickSight 控制台。
2. 选择您的个人资料图标，然后选择管理 QuickSight。
3. 在导航窗格中，选择管理 VPC 连接，然后选择添加 VPC 连接。
4. 对于 VPC 连接名称，输入连接的名称。
5. 对于 VPC ID，选择 Amazon Redshift 集群或 RDS 数据库实例的 VPC。
6. 对于执行角色，选择用于 VPC 连接的 IAM 角色。
   注意：****执行角色下拉列表仅显示包含允许 QuickSight 配置 VPC 连接的信任策略的 IAM 策略。
7. 对于子网 ID，至少选择两个私有子网。
8. 选择添加。

从 Amazon Redshift 集群或 RDS 数据库实例创建新的数据集

完成以下步骤：

1. 打开 QuickSight 控制台，然后选择数据集。
2. 选择新数据集。
3. 创建与自动发现的 AWS 数据来源的连接。务必选择您创建的 VPC 连接类型。

示例 QuickSight SG-123345678f：

入站：

Type             Protocol          Port Range         Source                  Description------------------------------------------------------------------------------------------------------------------
All TCP           All              0 - 65535       sg-122887878f         Amazon RDS/Amazon Redshift security group

出站：

Type              Protocol          Port Range           Source                  Description------------------------------------------------------------------------------------------------------------
Custom TCP          TCP            5439 or 3306       sg-122887878f       Amazon RDS/Amazon Redshift security group

示例 Amazon RDS 或 Amazon Redshift SG-122887878f：

入站：

Type             Protocol          Port Range           Source                Description-----------------------------------------------------------------------------------------------------
Custom TCP         TCP            5439 or 3306        sg-123345678f        QuickSight security group

出站：

Type            Protocol          Port Range          Source                  Description-------------------------------------------------------------------------------------------------
All TCP           TCP             0 - 65535           sg-123345678f        QuickSight security group

相关信息

使用 Amazon QuickSight 连接到 VPC