ネットワーク設定とデータベース設定の要件 - Amazon QuickSight

ネットワーク設定とデータベース設定の要件

データソースとして機能するには、Amazon QuickSight がデータベースにアクセスできるように、データベースが設定されている必要があります。以下のセクションに従って、使用するデータベースが適切に設定されていることを確認します。

重要

Amazon EC2 のデータベースインスタンスは AWS ではなくお客様によって管理されているため、「ネットワーク設定の要件」と「自己管理インスタンスでのデータベース設定の要件」の両方に適合している必要があります。

ネットワーク設定の要件

   対象者: システム管理者 

からデータベースサーバーを使用するには、サーバーがインターネットからアクセスできる必要があります。QuickSightQuickSight サーバーからのインバウンドトラフィックが許可されている必要もあります。

データベースが AWS 上にあり、QuickSight アカウントと同じ AWS リージョンに置かれている場合は、インスタンスを自動検出して接続を容易にすることができます。そうするには、データベースへのアクセス権限を QuickSight に付与する必要があります。詳細については、「データソースへのアクセス」を参照してください。

デフォルト VPC での AWS インスタンス用のネットワーク設定

場合によっては、データベースがデフォルト VPC で作成した AWS クラスターまたはインスタンスに置かれていることがあります。したがって、パブリックにアクセス可能です (つまり、プライベートにすることを選択しませんでした)。このような場合、データベースはすでに適切にインターネットからアクセスできるように設定されています。その場合でも、QuickSight サーバーから AWS の自分のクラスターまたはインスタンスへのアクセスを有効にする必要があります。そうするための方法の詳細については、以下の中から該当するトピックを選択してください。

デフォルト以外の VPC における AWS インスタンスのネットワーク設定

デフォルト以外の VPC で AWS インスタンスを設定する場合は、そのインスタンスがパブリックアクセス可能であり、VPC 内に以下があることを確認してください。

  • インターネットゲートウェイ。

  • パブリックサブネット。

  • ルートテーブルでの、インターネットゲートウェイと AWS インスタンスの間のルート。

  • VPC で、クラスターまたはインスタンスと QuickSight サーバーとの間のトラフィックを許可する、ネットワークのアクセスコントロールリスト (ACL)。これらの ACLs では、以下を実行する必要があります。

    • 適切な QuickSight の IP アドレス範囲とポートから、データベースでリッスンしている IP アドレスとポートへのインバウンドトラフィックが許可されている。

    • データベースの IP アドレスとポートから、適切な QuickSight の IP アドレス範囲とポートへのアウトバウンドトラフィックが許可されている。

    QuickSight の IP アドレス範囲の詳細については、後述の「QuickSight の IP アドレス範囲」を参照してください。

    VPC の ACLs の設定の詳細については、「ネットワーク ACLs」を参照してください。

  • クラスターまたはインスタンスと QuickSight サーバーと間のトラフィックを許可するセキュリティグループルール。適切なセキュリティグループルールの作成方法の詳細については、「AWS データストアへの接続の許可」を参照してください。

Amazon VPC サービスの VPC の設定の詳細については、「VPC でのネットワーキング」を参照してください。

プライベート VPC での AWS インスタンス用のネットワーク設定

データベースがプライベート VPC に作成された AWS クラスターまたはインスタンスに置かれている場合、QuickSight で使用できます。詳細については、「を使用した VPC への接続Amazon QuickSight」を参照してください。

Amazon VPC の詳細については、Amazon VPCAmazon VPC のドキュメントを参照してください。

VPC 内に配置されていない AWS インスタンス用のネットワーク設定

VPC 以外で AWS インスタンスを設定している場合は、そのインスタンスがパブリックにアクセス可能であることを確認します。また、クラスターまたはインスタンスと QuickSight サーバーと間のトラフィックを許可するセキュリティグループルールがあることを確認します。そうするための方法の詳細については、以下の中から該当するトピックを選択してください。

AWS 以外のデータベースインスタンス用のネットワーク設定

SSL を使用してデータベースへの接続を保護するには (推奨)、一般に認められている認証機関 (CA) によって署名された証明書が存在することを確認します。QuickSight では、自己署名証明書やパブリックではない CA によって発行された証明書は受理されません。詳細については、「QuickSight の SSL 証明書および CA 証明書」を参照してください。

使用するデータベースが AWS 以外のサーバーである場合は、適切な QuickSight の IP アドレス範囲からのトラフィックを受け入れるように、そのサーバーのファイアウォール設定を変更します。QuickSight の IP アドレス範囲の詳細については、「QuickSight の IP アドレス範囲」を参照してください。インターネット接続を有効にするために必要なその他のステップについては、該当するオペレーティングシステムのドキュメントを参照してください。

QuickSight の SSL 証明書および CA 証明書

受け入れられるパブリック認証機関は以下のとおりです。AWS 以外のデータベースインスタンスを使用している場合は、使用する証明書がこのリストに存在している必要があります。存在していない場合、その証明書は機能しません。

  • AAA Certificate Services

  • AddTrust クラス 1 CA のルート

  • AddTrust 外部 CA のルート

  • AddTrust 認定済み CA ルート

  • AffirmTrust 商用

  • AffirmTrust ネットワーク

  • AffirmTrust プレミアム

  • AffirmTrust プレミアム ECC

  • America Online Root Certification Authority 1

  • America Online Root Certification Authority 2

  • Baltimate CyberTrust コード署名ルート

  • Baltimate CyberTrust ルート

  • Buypass Class 2 Root CA

  • Buypass Class 3 Root CA

  • Certum CA

  • Certum Trusted Network CA

  • Chambers of Commerce Root

  • Chambers of Commerce Root - 2008

  • Class 2 Primary CA

  • Class 3P Primary CA

  • Deutsche Telekom Root CA 2

  • DigiCert 保証 ID のルート CA

  • DigiCert グローバルルート CA

  • DigiCert 高保証 EV ルート CA

  • Entrust.net Certification Authority (2048)

  • Entrust Root Certification Authority

  • Entrust Root Certification Authority - G2

  • Equifax セキュア eBusiness CA-1

  • Equifax セキュアグローバル eBusiness CA-1

  • GeoTrust グローバル CA

  • GeoTrust プライマリ認証機関

  • GeoTrust プライマリ認証機関 - G2

  • GeoTrust プライマリ認証機関 - G3

  • GeoTrust ユニバーサル CA

  • Global Chambersign Root - 2008

  • GlobalSign

  • GlobalSign ルート CA

  • Go Daddy Root Certificate Authority - G2

  • GTE CyberTrust グローバルルート

  • KEYNECTIS ROOT CA

  • QuoVadis ルート CA 2

  • QuoVadis ルート CA 3

  • QuoVadis ルート認証機関

  • SecureTrust CA

  • Sonera Class1 CA

  • Sonera Class2 CA

  • Starfield Root Certificate Authority - G2

  • Starfield Services Root Certificate Authority - G2

  • SwissSign ゴールド CA - G2

  • [SwissSign ] プレミアム CA - G2

  • SwissSign シルバー CA - G2

  • TC TrustCenter クラス 2 CA II

  • TC TrustCenter クラス 4 CA II

  • TC TrustCenter ユニバーサル CA I

  • Thawte Personal Freemail CA

  • Thawte Premium Server CA

  • thawte Primary Root CA

  • thawte Primary Root CA - G2

  • thawte Primary Root CA - G3

  • Thawte Server CA

  • Thawte Timestamping CA

  • T-TeleSec GlobalRoot クラス 2

  • T-TeleSec GlobalRoot クラス 3

  • UTTN - DATACorp SCC

  • UTN-USERFirst-Client Authentication and Email

  • UTN-USERFirst-Hardware

  • UTN-USERFirst-Object

  • Valicert

  • VeriSign クラス 1 パブリックプライマリ認証機関 - G3

  • VeriSign クラス 2 パブリックプライマリ認証機関 - G3

  • VeriSign クラス 3 パブリックプライマリ認証機関 - G3

  • VeriSign クラス 3 パブリックプライマリ認証機関 - G4

  • VeriSign クラス 3 パブリックプライマリ認証機関 - G5

  • VeriSign ユニバーサルルート認証機関

  • XRamp グローバル認証機関

QuickSight の IP アドレス範囲

サポートされているリージョンでの QuickSight の IP アドレス範囲の詳細については、「AWS リージョン、ウェブサイト、IP アドレス範囲、エンドポイント」を参照してください。

自己管理インスタンスでのデータベース設定の要件

   対象者: システム管理者と Amazon QuickSight 管理者 

データベースが QuickSight にアクセスできるには、データベースが以下の基準を満たしている必要があります。

  • インターネットからアクセスできること。インターネット接続を有効にするには、使用しているデータベース管理システムのドキュメントを参照してください。

  • 接続、およびデータセットの作成の一環として提供したユーザー認証情報を使用した認証アクセスを受け入れるように設定されていること。

  • または MySQL に接続する場合、データベースエンジンはホストまたは IP アドレス範囲からアクセスできる必要があります。PostgreSQLこのオプションのセキュリティ制限は、MySQL または PostgreSQL 接続設定で指定されています。この制限が実施されている場合、正しいユーザー名とパスワードが指定されていても、指定以外のホストまたは IP アドレスからの接続試行は拒否されます。

  • では、ユーザーとホストがユーザーテーブルで検証されている場合にのみ、サーバーは接続を受け入れる。MySQL詳細については、「アクセスコントロール、ステージ 1」を参照してください。ドキュメントの 接続の検証。MySQL

  • では、データベースクラスターのデータディレクトリにある PostgreSQL ファイルを使用してクライアント認証を制御します。pg_hba.confただし、このファイルの名前や場所はシステムによって異なる場合があります。詳細については、 ドキュメントの「クライアント認証PostgreSQL」を参照してください。