AWS VPN 経由でのデータソースへの接続 - AWS クラウドで Microsoft Power BI を使用する

AWS VPN 経由でのデータソースへの接続

このモデルでは、Power BI Desktop インストールは、AWS ネットワーク内のデータソースに、AWS Site-to-Site VPN または AWS Client VPN という 2 つの AWS VPN 方式のいずれかを使用して接続します。各接続タイプは、ネットワークトラフィックを保護する、高可用性かつ伸縮自在なマネージド型クラウド VPN ソリューションを提供します。

Site-to-Site VPN は、お客様のネットワークと AWS VPN または AWS Transit Gateway との間に暗号化されたトンネルを作成します。Client VPN は、無料の VPN ソフトウェアクライアントを使用して、ユーザーを AWS またはオンプレミスのリソースに接続します。

Site-to-Site VPN 接続と Client VPN 接続のどちらも、VPN トラフィックは VPC で停止します。したがって、プライベート IP アドレスにルーティングできるため、インスタンスにパブリック IP アドレスは必要なくなります。Athena など、一般公開されているサービスエンドポイントからアクセス可能なデータパスを持つサービスの場合、これらのサービスリクエストはインターネット経由または VPN 接続経由で VPC エンドポイント経由でルーティングできます。

Power BI Desktop が Site-to-Site VPN と Client VPN を介して AWS データソースに接続する方法を示す図表。

Power BI Desktop の Site-to-Site VPN および Client VPN を介した AWS データソースへの接続

Site-to-Site VPN は AWS Transit Gateway にも接続でき、複数の VPC にまたがるデータソースへのアクセスを容易にします。

AWS VPN を使用すると、AWS に保存されているデータソースにアクセスするときに、各データソースを明示的に設定しなくても暗号化を採用できるという利点があります。一度設定すると、エンドユーザーにとってほぼシームレスになります。

表 2 - AWS VPN を使用して AWS データソースにアクセスする場合の考慮事項

条件 AWS VPN を使用して AWS データソースにアクセスする場合の考慮事項
ネットワーク接続 データソースは、VPC 内のプライベート IP アドレスに接続するか、リージョンまたは VPC のサービスエンドポイントを使用することで利用できます。Power BI Desktop は VPN 経由で接続し、DNS 設定に応じて、データソース (Amazon RDS、Amazon Redshift、Amazon EC2 ベースのデータソース) に直接アクセスするか、リージョンエンドポイントを持つサービス (Amazon Athena) のデータソースにプライベート VPC エンドポイントまたはリージョンエンドポイントを使用してアクセスします。
セキュリティ IP アクセスコントロール

ルーティングとセキュリティグループを組み合わせて、AWS クラウドに保存されているデータソースへのアクセスをコントロールできます。

転送時の暗号化

AWS VPN はどちらのタイプも IPsec 暗号化を使用します。つまり、転送されるデータは AWS とオンプレミスの間を移動する際に暗号化されます。これにより、データソースが暗号化された通信を使用するように構成されていなくても、そのデータはインターネットを通過している間も確実に保護されます。

認証

Site-to-Site VPN は 1 回限りの設定が必要で、一度確立されるとユーザーに対してシームレスになります。エンドユーザーは、Site-to-Site VPN を使用するための認証は不要ですが、データソースに対する認証が必要です。

一方、Client VPN では、接続を確立するためにエンドユーザーによる認証が必要です。Client VPN 認証は、アクティブディレクトリ (ユーザーベース)、相互認証 (証明書ベース)、または SAML SSO (ユーザーベース) を介して実行できます。認証されると、エンドユーザーにとって接続はシームレスになります。Power BI Desktop に追加された AWS データソースには認証が必要です。

AWS では、必要なデータセットに対してのみ読み取り専用アクセス許可を持つアイデンティティを使用して AWS データソースを認証することを推奨しています。

パフォーマンス

AWS VPN の使用はインターネットを介して行われます。そのため、そのパフォーマンスエンベロープは、最初に示したシナリオと似ています。インターネット経由で AWS データソースにアクセスする場合に、Power BI Desktop の全体的なパフォーマンスに影響を与える可能性のある要因がいくつかあります。例えば以下のようなものです。

  • アクセスされるデータセットのサイズ。データセットが大きいほど、取得に時間がかかります。インターネット経由で取得されるデータ量を減らすために、クエリを制限し、フィルターを使用することをお勧めします。

  • 帯域幅、レイテンシー、パケット損失など、インターネット接続の品質。可能な場合は、地理的に近い AWS リージョンのデータにアクセスします。これにより、レイテンシーの影響が軽減されます。インターネットを共有している場合は、オフピーク時にデータソースをロードし、十分な帯域幅を確保することを検討してください。

一般的に、AWS では、1 日のさまざまな時間帯に、さまざまなデータセットを使用し、ユーザー数を徐々に増やしながらエクスペリエンスをテストすることを推奨しています。
コスト VPC 内に存在し、AWS VPN を使用してクエリされたデータソースには、標準の AWS VPN データ転送料金がかかります。コストを削減するために、クエリを制限し、フィルターを使用して、インターネット経由で取得するデータ量を減らすことをお勧めします。