Amazon から Amazon Redshift クラスター QuickSight への接続の認可 - Amazon QuickSight

重要: Amazon QuickSight 分析ワークスペースを再設計しました。 QuickSight コンソールの新しい外観を反映していないスクリーンショットや手順テキストが表示されることがあります。現在、スクリーンショットと手順のテキストを更新しています。

機能または項目を検索するには、クイック検索バーを使用します。

の新しい外観の詳細については、 QuickSight「Amazon での新しい分析エクスペリエンスの紹介 QuickSight」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon から Amazon Redshift クラスター QuickSight への接続の認可

   適用先: Enterprise Edition と Standard Edition 
   対象者: システム管理者 

Amazon Redshift データへのアクセスを提供するには、信頼できる ID の伝達、IAM ロールとして実行、Amazon Redshift データベース認証情報の 3 つの認証方法があります。

信頼できる ID の伝達により、ユーザーの ID は IAM アイデンティティセンターによって管理されるシングルサインオンで Amazon Redshift に渡されます。で QuickSightダッシュボードにアクセスするユーザーは、その ID が Amazon Redshift に伝達されます。Amazon Redshift では、データが QuickSight アセットでユーザーに表示される前に、きめ細かなデータアクセス許可がデータに適用されます。 QuickSight 作成者は、パスワード入力や IAM ロールなしで Amazon Redshift データソースに接続することもできます。Amazon Redshift Spectrum を使用する場合、すべての権限管理は Amazon Redshift で一元化されます。と QuickSight Amazon Redshift が IAM Identity Center の同じ組織インスタンスを使用する場合、信頼できる ID の伝播がサポートされます。信頼できる ID の伝達は、以下の機能では現在サポートされていません。

  • SPICE データセット

  • データソースのカスタム SQL

  • アラート

  • メールレポート

  • Amazon QuickSight Q

  • CSV、エクセル、PDF のエクスポート

  • 異常検出

Amazon QuickSight を Amazon Redshift インスタンスに接続するには、そのインスタンスの新しいセキュリティグループを作成する必要があります。このセキュリティグループには、その の Amazon QuickSight サーバーの適切な IP アドレス範囲からのアクセスを許可するインバウンドルールが含まれていますAWS リージョン。Amazon QuickSight 接続の承認の詳細については、「」を参照してくださいVPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化

Amazon QuickSight サーバーからクラスターへの接続を有効にすることは、 AWS データベースデータソースに基づいてデータセットを作成するためのいくつかの前提条件の 1 つにすぎません。必要な条件の詳細については、「新しいデータベースデータソースからのデータセットの作成」を参照してください。

Amazon Redshift で信頼できる ID の伝達を有効にする

信頼できる ID 伝達は、信頼できる ID 伝達が有効なデータソースを利用する QuickSight アセットにアクセスするときに、Amazon Redshift のエンドユーザーを認証します。作成者が信頼できる ID 伝達を使用してデータソースを作成すると、 のデータソースコンシューマーの ID QuickSight が伝播され、 にログインします CloudTrail。これにより、データベース管理者は Amazon Redshift でデータセキュリティを一元管理し、すべてのデータセキュリティルールを のデータコンシューマーに自動的に適用できます QuickSight。他の認証方法では、データソースを作成した作成者のデータ権限がすべてのデータソースコンシューマーに適用されます。データソースの作成者は、Amazon で作成したデータソースに行および列レベルのセキュリティをさらに適用することを選択できます QuickSight。

信頼できる ID 伝達データソースは Direct Query データセットでのみサポートされます。SPICE データセットは現在、信頼できる ID の伝達をサポートしていません。

前提条件

開始する前に、すべての前提条件を満たしていることを確認してください。

  • 信頼できる ID の伝播は、IAM Identity Center と統合された QuickSight アカウントでのみサポートされます。詳細については、「IAM Identity Center で Amazon QuickSight アカウントを設定する」を参照してください。

  • IAM アイデンティティセンターと統合された Amazon Redshift アプリケーション。使用する Amazon Redshift クラスターは、使用する QuickSight アカウントAWS Organizationsと同じ の組織に存在する必要があります。また、クラスターは、 QuickSight アカウントが設定されている IAM Identity Center の同じ組織インスタンスで設定する必要があります。Amazon Redshift クラスターの設定の詳細については、「IAM アイデンティティセンターの統合」を参照してください。

で信頼できる ID 伝達を有効にする QuickSight

信頼できる ID 伝達を使用して Amazon Redshift データソースに接続する QuickSight ように を設定するには、 QuickSight アカウントに Amazon Redshift OAuth スコープを設定します。

Amazon Redshift QuickSight への ID の伝播を が承認できるようにするスコープを追加するには、ID の伝播を許可する QuickSight アカウントの AWS アカウント ID とサービスの ID を指定します。この場合は です'REDSHIFT'

Amazon がユーザー ID を伝達 QuickSight することを許可する Amazon Redshift クラスターの IAM Identity Center アプリケーション ARN を指定します。この情報は Amazon Redshift コンソールで確認できます。Amazon Redshift スコープに承認されたターゲットを指定しない場合、 は同じ IAM Identity Center インスタンスを共有する Amazon Redshift クラスターのユーザー QuickSight を承認します。以下の例では、信頼できる ID 伝達を使用して Amazon Redshift データソースに接続する QuickSight ように を設定します。

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

次の例では、 QuickSight アカウントから OAuth スコープを削除します。

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

次の例では、現在 QuickSight アカウントにあるすべての OAuth スコープを一覧表示します。

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

信頼できる ID の伝達を使用して Amazon Redshift に接続します

以下の手順を使用して、Amazon Redshift の信頼できる ID の伝達に接続します。

信頼できる ID の伝達を使用して Amazon Redshift に接続するには
  1. Amazon で新しいデータセットを作成します QuickSight。データセットの作成に関する詳細については、「データセットの作成」を参照してください。

  2. 新しいデータセットのデータソースとして Amazon Redshift を選択します。

    注記

    既存のデータソースの認証タイプを信頼できる ID の伝達に変更することはできません。

  3. データソースの ID オプションとして IAM アイデンティティセンターを選択し、次に [データソースの作成] を選択します。

VPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化

VPC 内の Amazon Redshift クラスターへの Amazon QuickSight アクセスを有効にするには、次の手順に従います。

VPC 内の Amazon Redshift クラスターへの Amazon QuickSight アクセスを有効にするには
  1. AWS Management Console にサインインして https://console.aws.amazon.com/redshift/ で Amazon Redshift コンソールを開きます。

  2. Amazon で使用可能にするクラスターに移動します QuickSight。

  3. [Cluster Properties] セクションで [Port] を見つけます。[Port] の値を記録します。

  4. [クラスターのプロパティ] セクションで [VPC ID] を見つけ、[VPC ID] の値を記録します。[VPC ID] を選択して、Amazon VPC コンソールを開きます。

  5. Amazon VPC コンソールのナビゲーションペインで、[セキュリティグループ] を選択します。

  6. [Create Security Group (セキュリティグループの作成)] を選択します。

  7. [Create Security Group] ページで、以下のようにセキュリティグループの情報を入力します。

    • [Security group name] (セキュリティグループ名) に redshift-security-group と入力します。

    • [Description] (説明) に redshift-security-group と入力します。

    • [VPC] については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。

  8. [Create Security Group] を選択します。

    新しいセキュリティグループが画面に表示されます。

  9. 次のプロパティで 2 つ目のセキュリティグループを作成します。

    • [Security group name] (セキュリティグループ名) に quicksight-security-group と入力します。

    • [Description] (説明) に quicksight-security-group と入力します。

    • [VPC] については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。

  10. [Create Security Group] を選択します。

  11. 新しいセキュリティグループを作成したら、新しいグループのインバウンドルールを作成します。

    新しい redshift-security-group セキュリティグループを選択し、次の値を入力します。

    • [タイプ] には [Amazon Redshift] を選択します。

    • [プロトコル] で [TCP] を選択します。

    • [Port Range] (ポート範囲) に、アクセスを許可する Amazon Redshift クラスターのポート番号を入力します。これは、前の手順で記録したポート番号です。

    • [ソース] には quicksight-security-group のセキュリティグループ ID を入力します。

  12. [Save Rules(ルールの保存)] を選択して、新しいインバウンドルールを保存します。

  13. quicksight-security-group の前のステップを繰り返し、次の値を入力します。

    • [Type] で、[All traffic] を選択します。

    • [プロトコル][すべて] を選択します。

    • [ポート範囲] には [すべて] を選択します。

    • [ソース] には redshift-security-group のセキュリティグループ ID を入力します。

  14. [Save Rules(ルールの保存)] を選択して、新しいインバウンドルールを保存します。

  15. で QuickSight、管理 QuickSightメニューに移動します。

  16. [VPC 接続を管理] を選択し、[VPC 接続を追加] を選択します。

  17. 次の値を使って新しい VPC 接続を設定します。

    • [VPC 接続名] には、VPC 接続の分かりやすい名前を選択します。

    • [VPC ID] で、Amazon Redshift クラスターが存在する VPC を選択します。

    • [サブネット ID] で、Amazon Redshift によって使用されるアベイラビリティーゾーン (AZ) のサブネットを選択します。

    • [セキュリティグループ ID] には、quicksight-security-group のセキュリティグループ ID をコピーして貼り付けます。

  18. [作成] を選択します。新しい VPC が生成されるまでに数分かかる場合があります。

  19. Amazon Redshift コンソールで、redshift-security-group に設定されている Amazon Redshift クラスターに移動します。[プロパティ] を選択し、[ネットワークとセキュリティ設定] で、セキュリティグループの名前を入力します。

  20. で QuickSight、データセット を選択し、新しいデータセット を選択します。次の値を使用して新しいデータセットを作成します。

    • [データソース] には、[Amazon Redshift 自動検出] を選択します。

    • データソースにわかりやすい名前を選択します。

    • インスタンス ID には、「」で作成した VPC 接続が自動的に入力されます QuickSight。インスタンス ID が自動入力されない場合は、ドロップダウンリストから作成した VPC を選択します。

    • データベース認証情報を入力します。 QuickSight アカウントが信頼できる ID の伝播を使用している場合は、シングルサインオン を選択します。

  21. 接続を検証し、[データソースの作成] を選択します。

デフォルトのアウトバウンドルールをさらに制限したい場合は、quicksight-security-group のアウトバウンドルールを更新し、redshift-security-group の Amazon Redshift トラフィックのみ許可するようにします。redshift-security-group にあるアウトバウンドルールを削除することもできます。

Amazon Redshift Spectrum へのアクセスの有効化

Amazon Redshift Spectrum を使用すると、Amazon Redshift を使用して Amazon QuickSight を外部カタログに接続できます。たとえば、Amazon Athena カタログにアクセスし、Athena クエリエンジンの代わりに Amazon Redshift クラスターを使用して、Amazon S3 データレイクの非構造化データを照会できます。

Amazon Redshift と S3 に保存されたデータを含むデータセットを結合することもできます。その後、Amazon Redshift で SQL 構文を使用してそれらのデータセットにアクセスできます。

データカタログ (Athena の場合) または外部スキーマ (Hive メタストア の場合) を登録したら、Amazon を使用して外部スキーマと Amazon Redshift Spectrum テーブル QuickSight を選択できます。このプロセスは、クラスター内の他のいずれの Amazon Redshift テーブルに対しても同様に機能します。データをロードまたは変換する必要はありません。

Amazon Redshift Spectrum の使用に関する詳細については、「Amazon Redshift データベースデベロッパーガイド」の「Amazon Redshift Spectrum を使用した外部データのクエリ」を参照してください。

Redshift Spectrum を使用して接続するには、次の操作を行います。

  • Amazon Redshift クラスターに関連付けられた IAM ロールを作成または指定します。

  • IAM ポリシー AmazonS3ReadOnlyAccessAmazonAthenaFullAccess をその IAM ロールに追加します。

  • 使用する予定のテーブルの外部スキーマまたはデータカタログを登録します。

Redshift Spectrum を使用すると、ストレージをコンピューティングから切り離すことができるため、個別にスケーリングできます。実行するクエリに対してのみ料金が発生します。

Redshift Spectrum テーブルに接続するには、Amazon に Amazon S3 または Athena QuickSight へのアクセス権を付与する必要はありません。Amazon は Amazon Redshift クラスターにのみアクセス QuickSight する必要があります。Redshift Spectrum の設定の詳細については、「Amazon Redshift データベースデベロッパーガイド」の「Amazon Redshift Spectrum の開始方法」を参照してください。