Amazon QuickSight
ユーザーガイド

Amazon QuickSight で Amazon VPC を使用する

 対象者: システム管理者および Amazon QuickSight 管理者 

Amazon QuickSight が Amazon Virtual Private Cloud (Amazon VPC) サービスと完全に統合されました。このセクションを使用して、Amazon QuickSight を設定して VPC 内のデータにアクセスする方法を理解してください。

VPC は、AWS データソース内のデータと、パブリック接続のないオンプレミスサーバー内のデータのいずれにも使用できます。AWS ソースの場合、QuickSight の VPC アクセスは、VPC 内のデータソースと安全にプライベートに通信するために、Elastic Network Interface を使用します。ローカルなデータでは、VPC で AWS Direct Connect を使用して、オンプレミスのリソースで安全でプライベートなリンクを作成できます。

Amazon QuickSight Enterprise Edition では、AWS アカウントの Amazon QuickSight サブスクリプションから VPC への接続を作成できます。各接続では、VPC 内のインスタンスにトラフィックを送信するための Amazon QuickSight 用に、VPC に Elastic Network Interface が作成されます。データセットを作成するとき、Amazon QuickSight では、プライベート IP アドレスのみを使用して VPC 接続にアクセスし、パブリックインターネットからは到達できないインスタンスに接続します。Amazon QuickSight を使用して分析を作成する場合と同じ AWS リージョンにある VPC にアクセスできます。

Amazon QuickSight を使用して Amazon VPC へのプライベート接続を作成する

VPC への接続を作成するには、次の手順を実行します。開始する前に、Amazon QuickSight から到達する送信先 (データベース) に関連して、使用する AWS リージョンにデプロイされた Amazon VPC のサブネットとセキュリティグループについて理解する必要があります。

  1. Amazon QuickSight では、画面の右上にあるプロファイルアイコンを選択し、[Manage QuickSight (QuickSight の管理)] を選択します。左のメニューから、[Manage VPC connections (VPC 接続の管理)] を選択します。

    [Account Settings (アカウント設定)] ページが表示されます。このページには、VPC への既存のプライベート接続が表示されます。

  2. 新しい VPC 接続を追加するには、[Add VPC connection (VPC 接続の追加)] を選択します。

    このページでは、削除アイコンを使用して VPC 接続を削除することもできます。このページの VPC 接続を変更するには、新しい VPC 接続を作成し、古い VPC 接続を削除します。

  3. [VPC connection name (VPC 接続名)] に、一意のわかりやすい名前を入力します。この名前は、実際の VPC ID または名前である必要はありません。

  4. [サブネット ID] にサブネット ID を入力し、[セキュリティグループ ID] にグループ ID を入力します。サブネットとセキュリティグループが同じ VPC にあることを確認します。また、アクセスする VPC が存在する AWS リージョンが Amazon QuickSight の分析を作成するリージョンと同じであることを確認します。特定の AWS リージョンの Amazon QuickSight を使用して別の AWS リージョンにあるサブネットやセキュリティグループに接続することはできません。詳細については、以下のステップと「Amazon QuickSight が VPC に接続する方法」を参照してください。

    サブネットとセキュリティグループに関する情報を検索する必要がある場合は、次の操作を行います。

    1. コンソールで、使用する [VPC IDAmazon VPC] を見つけます。

    2. Amazon VPC サブネットコンソールページで、VPC ID の場所を特定して、その VPC 内のサブネットを確認します。サブネットを選択し、[サブネット ID] の値をコピーします。選択するサブネットは、Elastic Network Interface を作成するサブネットです。このサブネットから必要な送信先にルーティングできることが必要です。詳細については、「VPC とサブネット」を参照してください。

    3. [Adding VPC connection (VPC 接続の追加)] 画面で、[サブネット ID] の前のステップでコピーした [サブネット ID] の値を入力します。

    4. Amazon VPC セキュリティグループコンソールページで、VPC ID の場所を特定して、その VPC 内のセキュリティグループを確認します。サブネットを選択し、[グループ ID] の値をコピーします。

      Amazon QuickSight で作成した Elastic Network Interface 専用の新しいセキュリティグループを作成します。このセキュリティグループでは、送信先のセキュリティグループからのインバウンドトラフィックを関連するポートで許可する必要があります。すべてのポートでトラフィックを開かないようにします。たとえば、次の例のようなものを追加できます。

      RDS: MySQL/Aurora | Protocol: TCP | Port Range: 3306 | Source: sg-RDS11111111 RedShift: All TCP | Protocol: TCP | Port Range: 0 - 65535 | Source: sg-RedSh222222

      また、セキュリティグループでは、データベースがリッスンしているポートでデータベースへのアウトバウンドトラフィックも許可する必要があります。

      さらに、データベースのセキュリティグループを更新し、新しいセキュリティグループからのインバウンドトラフィックを許可する必要があります。

      詳細については、「Amazon QuickSight の Elastic Network Interface のセキュリティグループルール」を参照してください。

      注記

      データベースサーバーのセキュリティグループは、選択したセキュリティグループからの受信トラフィックを許可する必要があります。

    5. [Adding VPC connection (VPC 接続の追加)] 画面で、[セキュリティグループ ID] の前のステップでコピーした [グループ ID] の値を入力します。

  5. 重要

    VPC 接続の設定を変更することはできません。

    選択内容を確認し、[作成] を選択します。

注記

VPC 接続の作成には、quicksight:CreateVPCConnection および ec2:CreateNetworkInterface アクションのアクセス許可が必要になります。

Amazon VPC を使用する場合のベストプラクティスについては、次を参照してください。

Amazon VPC とは

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、AWS クラウド内の独自の論理的に分離された領域の仮想ネットワーク (Virtual Private Cloud (VPC) とも呼ばれます) を定義できます。AWS のリソース (インスタンスなど) を VPC 内部で起動できます。VPC は、お客様自身のデータセンターで運用されている従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。お客様の VPC はお客様が設定できます。たとえば、IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイ、セキュリティの設定などが可能です。VPC のインスタンスをインターネットに接続できます。VPC を自社のデータセンターに接続し、AWS クラウドを使用してデータセンターを拡張できます。各サブネットでのリソースの保護には、セキュリティグループ、ネットワークアクセスコントロールリストなど、複数のセキュリティレイヤーを使用できます。詳細については、「Amazon VPC ユーザーガイド」を参照してください。

Amazon QuickSight が VPC に接続する方法

 対象者: Amazon QuickSight 管理者 

Amazon QuickSight から VPC への VPC 接続を作成すると、Amazon QuickSight は選択したサブネットに Elastic Network Interface を作成します。このサブネットから必要な送信先にルーティングできることが必要です。

Amazon QuickSight が VPC 接続を使用して VPC 内のデータベースまたは他のインスタンスに接続すると、Amazon QuickSight からのネットワークトラフィックはこのネットワークインターフェイスから発信されます。このネットワークインターフェイスは VPC 内に存在するため、VPC 内のトラフィックはプライベート IP アドレスを使用して VPC 内の送信先に到達できます。

Amazon QuickSight が VPC に到達できるリソースを制御する

 対象者: システム管理者 

VPC 接続経由で Amazon QuickSight から VPC 内のインスタンスに送信されるネットワークトラフィックは、VPC 内の他のトラフィックと同様に、すべての標準的なセキュリティコントロールの対象です。ルートテーブル、ネットワーク ACL、およびセキュリティグループはすべて、VPC の他のインスタンス間のトラフィックに適用するのと同じ方法で Amazon QuickSight からのネットワークトラフィックに適用されます。

Amazon QuickSight で使用するセキュリティグループルールの設定

Amazon QuickSight が VPC 内のインスタンスに正常に接続するには、Amazon QuickSight ネットワークインターフェイスとインスタンス間のトラフィックを許可するようにセキュリティグループルールを設定する必要があります。

VPC のインスタンスのセキュリティグループのルール

データソースのインスタンスにアタッチされているセキュリティグループでは、Amazon QuickSight が接続しているポートで Amazon QuickSight からのインバウンドトラフィックを許可する必要があります。

これを行うには、Amazon QuickSight に関連付けられているセキュリティグループ ID からのトラフィックを許可するルールをセキュリティグループに追加します (推奨)。または、Amazon QuickSight に割り当てられたプライベート IP アドレスからのトラフィックを許可するルールを使用することもできます。

詳細については、「VPC のセキュリティグループ」と「VPC とサブネット」を参照してください。

Amazon QuickSight の Elastic Network Interface のセキュリティグループルール

VPC 接続を使用する場合、トラフィックの送信元は VPC で作成した Elastic Network Interface です。各 Elastic Network Interface は、ユーザーが設定したサブネットから独自のプライベート IP アドレスを取得します。プライベート IP アドレスは、パブリック IP 範囲とは異なり、AWS アカウントごとに一意です。

Amazon QuickSight Elastic Network Interface にアタッチされたセキュリティグループのアウトバウンドルールでは、Amazon QuickSight から接続する先の VPC ですべてのデータソースインスタンスへのトラフィックを許可する必要があります。特定のインスタンスのみに接続するように Amazon QuickSight を制限する場合は、許可するインスタンスのセキュリティグループ ID(推奨)またはプライベート IP アドレスを指定します。送信セキュリティグループルールで、インスタンスの適切なポート番号とともにこれを設定します。

重要

すべてのポートでトラフィックを許可するアウトバウンドルールでデータソースのセキュリティグループを設定しないでください。VPC からのネットワーク送信トラフィックを管理するための重要な考慮事項と推奨事項については、VPC 送信トラフィックの制御を参照してください。

Amazon QuickSight Elastic Network Interface にアタッチされているセキュリティグループは、ほとんどのセキュリティグループとは動作が異なります。セキュリティグループは通常ステートフルです。つまり、送信接続が確立されると、送信先ホストからのリターントラフィックが自動的に許可されます。ただし、Amazon QuickSight ネットワークインターフェイスにアタッチされているセキュリティグループはステートフルではありません。つまり、送信先ホストからの戻りトラフィックは自動的に許可されません。この場合、ネットワークインターフェイスセキュリティグループに Egress ルールを追加しても機能しません。したがって、明示的に承認するために、受信ルールをセキュリティグループに追加する必要があります。

すべての受信リターンパケットの送信先ポート番号はランダムに割り当てられたポート番号に設定されているため、セキュリティグループの受信ルールはすべてのポート (0–65535) のトラフィックを許可する必要があります。Amazon QuickSight がどのインスタンスに接続できるかを制限しない場合は、すべてのポートでトラフィックを 0.0.0.0/0 にする受信ルールを使用してこのセキュリティグループを設定できます。特定のインスタンスにのみ接続するように Amazon QuickSight を制限する場合は、セキュリティグループ ID を指定できます (推奨)。または、受信セキュリティグループルールで許可するインスタンスのプライベート IP アドレスを指定することもできます。この場合、インバウンドセキュリティグループルールでは、すべてのポートでトラフィックを許可する必要があります。

VPC 接続を使用したデータソースの制限

次のデータソースタイプでは、VPC 接続を使用できます。

  • Amazon Redshift

  • Amazon RDS

  • Amazon Aurora

  • PostgreSQL

  • MySQL

  • MariaDB

  • Microsoft SQL Server

  • Snowflake

接続するインスタンスは、VPC 内に存在するか、AWS Direct Connect ゲートウェイ、NAT ゲートウェイ、または VPN ゲートウェイを使用して到達可能である必要があります。Amazon QuickSight は、VPC 接続経由で、VPC ピアリング接続によってのみ到達可能なインスタンスへのトラフィックを送信することはできません。

Amazon QuickSight は、VPC 接続を使用して Network Load Balancer に接続できません。

VPC 接続を使用するデータソースのその他の要件

VPC 接続を介して接続するデータベースまたはインスタンスの DNS 名は、VPC の外部から解決可能である必要があります。また、接続はインスタンスのプライベート IP アドレスを返す必要があります。Amazon Redshift、Amazon RDS、および Aurora によってホストされるデータベースは、この要件を自動的に満たします。