重要:Amazon QuickSight 分析ワークスペースを再設計しました。コンソールの新しい外観を反映していないスクリーンショットや手順のテキストが表示される場合があります。 QuickSight 現在、スクリーンショットと手順のテキストを更新しています。
機能または項目を検索するには、クイック検索バーを使用します。
QuickSightの新しい外観について詳しくは、「Amazon での新しい分析機能の紹介
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アマゾンから Amazon Redshift QuickSight クラスターへの接続の承認
| 適用先: Enterprise Edition と Standard Edition |
| 対象者: システム管理者 |
Amazon Redshift データへのアクセスを提供するには、信頼できる ID の伝達、IAM ロールとして実行、Amazon Redshift データベース認証情報の 3 つの認証方法があります。
信頼できる ID の伝達により、ユーザーの ID は IAM アイデンティティセンターによって管理されるシングルサインオンで Amazon Redshift に渡されます。でダッシュボードにアクセスするユーザーの ID QuickSight は Amazon Redshift に伝達されます。Amazon Redshift では、 QuickSight データがアセットとしてユーザーに表示される前に、データにきめ細かいデータ権限が適用されます。 QuickSight 作成者は、パスワード入力や IAM ロールなしで Amazon Redshift データソースに接続することもできます。Amazon Redshift Spectrum を使用する場合、すべての権限管理は Amazon Redshift で一元化されます。信頼されたアイデンティティの伝達は、 QuickSight と Amazon Redshift が IAM ID センターの同じ組織インスタンスを使用している場合にサポートされます。信頼できる ID の伝達は、以下の機能では現在サポートされていません。
-
SPICE データセット
-
データソースのカスタム SQL
-
アラート
-
メールレポート
-
Amazon QuickSight Q
-
CSV、エクセル、PDF のエクスポート
-
異常検出
Amazon が Amazon Redshift QuickSight インスタンスに接続するには、そのインスタンス用に新しいセキュリティグループを作成する必要があります。このセキュリティグループには、そのセキュリティグループ内の Amazon QuickSight サーバーの適切な IP アドレス範囲からのアクセスを許可するインバウンドルールが含まれています。 AWS リージョン Amazon QuickSight 接続の認証の詳細については、「」を参照してくださいVPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化。
Amazon QuickSight サーバーからクラスターへの接続を有効にすることは、 AWS データベースデータソースに基づいてデータセットを作成するためのいくつかの前提条件の 1 つにすぎません。必要な条件の詳細については、「新しいデータベースデータソースからのデータセットの作成」を参照してください。
トピック
Amazon Redshift で信頼できる ID の伝達を有効にする
トラステッド ID プロパゲーションは、信頼できる ID QuickSight 伝達対応のデータソースを利用するアセットにアクセスするエンドユーザーを Amazon Redshift で認証します。作成者が信頼できる ID を伝達するデータソースを作成すると、データソースのコンシューマーの ID が伝達され、 QuickSight ログインされます。 CloudTrailこれにより、データベース管理者は Amazon Redshift のデータセキュリティを一元管理し、すべてのデータセキュリティルールを内のデータコンシューマーに自動的に適用できます。 QuickSight他の認証方法では、データソースを作成した作成者のデータ権限がすべてのデータソースコンシューマーに適用されます。データソース作成者は、Amazon で作成するデータソースに行レベルと列レベルのセキュリティを追加することを選択できます QuickSight。
信頼できる ID 伝達データソースは Direct Query データセットでのみサポートされます。SPICE データセットは現在、信頼できる ID の伝達をサポートしていません。
前提条件
開始する前に、すべての前提条件を満たしていることを確認してください。
-
信頼できる ID の伝達は、IAM Identity Center QuickSight と統合されたアカウントでのみサポートされます。詳細については、「IAM QuickSight アイデンティティセンターで Amazon アカウントを設定する」を参照してください。
-
IAM アイデンティティセンターと統合された Amazon Redshift アプリケーション。使用する Amazon Redshift クラスターは、 AWS Organizations QuickSight 使用するアカウントと同じ組織内にある必要があります。また、クラスターは、 QuickSight アカウントが設定されている IAM Identity Center 内の同じ組織インスタンスで構成されている必要があります。Amazon Redshift クラスターの設定の詳細については、「IAM アイデンティティセンターの統合」を参照してください。
で信頼できる ID の伝達を有効にする QuickSight
信頼できる ID 伝達を使用して Amazon Redshift QuickSight データソースに接続するように設定するには、アカウントに Amazon Redshift OAuth スコープを設定します。 QuickSight
Amazon Redshift QuickSight への ID 伝達を許可するスコープを追加するには、 AWS アカウント ID QuickSight 伝達を許可するアカウントとサービスの ID を指定します (この場合は)。'REDSHIFT'
Amazon にユーザー ID の伝達を許可する Amazon Redshift クラスターの IAM アイデンティティセンターアプリケーション ARN を指定します。 QuickSight この情報は Amazon Redshift コンソールで確認できます。Amazon Redshift スコープに承認されたターゲットを指定しない場合、同じ IAM ID センターインスタンスを共有する任意の Amazon Redshift QuickSight クラスターのユーザーを承認します。以下の例では、信頼できる ID 伝達を使用して Amazon Redshift QuickSight データソースに接続するように設定しています。
aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
次の例では、アカウントから OAuth スコープを削除します。 QuickSight
aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::"arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXXXXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
次の例では、現在アカウントにあるすべての OAuth スコープを一覧表示します。 QuickSight
aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"
信頼できる ID の伝達を使用して Amazon Redshift に接続します
以下の手順を使用して、Amazon Redshift の信頼できる ID の伝達に接続します。
信頼できる ID の伝達を使用して Amazon Redshift に接続するには
-
Amazon に新しいデータセットを作成します QuickSight。データセットの作成に関する詳細については、「データセットの作成」を参照してください。
-
新しいデータセットのデータソースとして Amazon Redshift を選択します。
注記
既存のデータソースの認証タイプを信頼できる ID の伝達に変更することはできません。
-
データソースの ID オプションとして IAM アイデンティティセンターを選択し、次に [データソースの作成] を選択します。
VPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化
| 適用対象: Enterprise Edition |
VPC 内の Amazon Redshift クラスターに Amazon QuickSight がアクセスできるようにするには、以下の手順に従います。
VPC 内の Amazon Redshift QuickSight クラスターへのアマゾンアクセスを有効にするには
AWS Management Console にサインインし、https://console.aws.amazon.com/redshiftv2/
にある Amazon Redshift コンソールを開きます。 -
Amazon で使用できるようにしたいクラスターに移動します QuickSight。
-
[Cluster Properties] セクションで [Port] を見つけます。[Port] の値を記録します。
-
[クラスターのプロパティ] セクションで [VPC ID] を見つけ、[VPC ID] の値を記録します。[VPC ID] を選択して、Amazon VPC コンソールを開きます。
-
Amazon VPC コンソールのナビゲーションペインで、[セキュリティグループ] を選択します。
-
[Create Security Group (セキュリティグループの作成)] を選択します。
-
[Create Security Group] ページで、以下のようにセキュリティグループの情報を入力します。
-
[Security group name] (セキュリティグループ名) に
redshift-security-groupと入力します。 -
[Description] (説明) に
redshift-security-groupと入力します。 -
[VPC] については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。
-
-
[Create Security Group] を選択します。
新しいセキュリティグループが画面に表示されます。
-
次のプロパティで 2 つ目のセキュリティグループを作成します。
-
[Security group name] (セキュリティグループ名) に
quicksight-security-groupと入力します。 -
[Description] (説明) に
quicksight-security-groupと入力します。 -
[VPC] については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。
-
-
[Create Security Group] を選択します。
-
新しいセキュリティグループを作成したら、新しいグループのインバウンドルールを作成します。
新しい
redshift-security-groupセキュリティグループを選択し、次の値を入力します。-
[タイプ] には [Amazon Redshift] を選択します。
-
[プロトコル] で [TCP] を選択します。
-
[Port Range] (ポート範囲) に、アクセスを許可する Amazon Redshift クラスターのポート番号を入力します。これは、前の手順で記録したポート番号です。
-
[ソース] には
quicksight-security-groupのセキュリティグループ ID を入力します。
-
-
[Save Rules(ルールの保存)] を選択して、新しいインバウンドルールを保存します。
-
quicksight-security-groupの前のステップを繰り返し、次の値を入力します。-
[Type] で、[All traffic] を選択します。
-
[プロトコル] で [すべて] を選択します。
-
[ポート範囲] には [すべて] を選択します。
-
[ソース] には
redshift-security-groupのセキュリティグループ ID を入力します。
-
-
[Save Rules(ルールの保存)] を選択して、新しいインバウンドルールを保存します。
-
で QuickSight、[管理] QuickSight メニューに移動します。
-
[VPC 接続を管理] を選択し、[VPC 接続を追加] を選択します。
-
次の値を使って新しい VPC 接続を設定します。
-
[VPC 接続名] には、VPC 接続の分かりやすい名前を選択します。
-
[VPC ID] で、Amazon Redshift クラスターが存在する VPC を選択します。
-
[サブネット ID] で、Amazon Redshift によって使用されるアベイラビリティーゾーン (AZ) のサブネットを選択します。
-
[セキュリティグループ ID] には、
quicksight-security-groupのセキュリティグループ ID をコピーして貼り付けます。
-
-
[作成] を選択します。新しい VPC が生成されるまでに数分かかる場合があります。
-
Amazon Redshift コンソールで、
redshift-security-groupに設定されている Amazon Redshift クラスターに移動します。[プロパティ] を選択し、[ネットワークとセキュリティ設定] で、セキュリティグループの名前を入力します。 -
で [データセット] を選択し QuickSight、[新規データセット] を選択します。次の値を使用して新しいデータセットを作成します。
-
[データソース] には、[Amazon Redshift 自動検出] を選択します。
-
データソースにわかりやすい名前を選択します。
-
インスタンス ID には、で作成した VPC 接続auto 入力されるはずです。 QuickSightインスタンス ID が自動入力されない場合は、ドロップダウンリストから作成した VPC を選択します。
-
データベース認証情報を入力します。 QuickSight アカウントで信頼できる ID 伝達を使用している場合は、[Single sign-on] を選択してください。
-
-
接続を検証し、[データソースの作成] を選択します。
デフォルトのアウトバウンドルールをさらに制限したい場合は、quicksight-security-group のアウトバウンドルールを更新し、redshift-security-group の Amazon Redshift トラフィックのみ許可するようにします。redshift-security-group にあるアウトバウンドルールを削除することもできます。
Amazon Redshift Spectrum へのアクセスの有効化
Amazon Redshift Spectrum を使用すると、Amazon QuickSight Redshift を使用してアマゾンを外部カタログに接続できます。たとえば、Amazon Athena カタログにアクセスし、Athena クエリエンジンの代わりに Amazon Redshift クラスターを使用して、Amazon S3 データレイクの非構造化データを照会できます。
Amazon Redshift と S3 に保存されたデータを含むデータセットを結合することもできます。その後、Amazon Redshift で SQL 構文を使用してそれらのデータセットにアクセスできます。
データカタログ (Athena 用) または外部スキーマ (Hive メタストア用
Amazon Redshift Spectrum の使用に関する詳細については、「Amazon Redshift データベースデベロッパーガイド」の「Amazon Redshift Spectrum を使用した外部データのクエリ」を参照してください。
Redshift Spectrum を使用して接続するには、次の操作を行います。
-
Amazon Redshift クラスターに関連付けられた IAM ロールを作成または指定します。
-
IAM ポリシー
AmazonS3ReadOnlyAccessとAmazonAthenaFullAccessをその IAM ロールに追加します。 -
使用する予定のテーブルの外部スキーマまたはデータカタログを登録します。
Redshift Spectrum を使用すると、ストレージをコンピューティングから切り離すことができるため、個別にスケーリングできます。実行するクエリに対してのみ料金が発生します。
Redshift Spectrum テーブルに接続するために、Amazon S3 または Athena QuickSight へのアクセスを許可する必要はありません。アマゾンは Amazon Redshift QuickSight クラスターにのみアクセスする必要があります。Redshift Spectrum の設定の詳細については、「Amazon Redshift データベースデベロッパーガイド」の「Amazon Redshift Spectrum の開始方法」を参照してください。
