아마존에서 아마존 Redshift QuickSight 클러스터로의 연결 승인 - 아마존 QuickSight

중요: Amazon QuickSight 분석 워크스페이스를 재설계했습니다. 콘솔의 새로운 모습을 반영하지 않는 스크린샷이나 절차 텍스트가 나타날 수 있습니다. QuickSight 스크린샷과 절차 텍스트를 업데이트하는 중입니다.

기능이나 항목을 찾으려면 빠른 검색창을 사용하세요.

QuickSight의 새로운 모습에 대한 자세한 내용은 Amazon에서의 새로운 분석 경험 소개를 참조하십시오 QuickSight.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존에서 아마존 Redshift QuickSight 클러스터로의 연결 승인

   적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 
   대상: 시스템 관리자 

신뢰할 수 있는 ID 전파, IAM 역할 실행 또는 Amazon Redshift 데이터베이스 자격 증명이라는 세 가지 인증 방법을 사용하여 Amazon Redshift 데이터에 대한 액세스를 제공할 수 있습니다.

신뢰할 수 있는 ID 전파를 사용하면 IAM ID 센터에서 관리하는 싱글 사인온을 통해 사용자의 자격 증명이 Amazon Redshift로 전달됩니다. 에서 대시보드에 액세스하는 사용자의 자격 증명이 Amazon QuickSight Redshift로 전파됩니다. Amazon Redshift에서는 데이터가 QuickSight 자산으로 사용자에게 표시되기 전에 데이터에 세분화된 데이터 권한이 적용됩니다. QuickSight 작성자는 암호 입력 또는 IAM 역할 없이 Amazon Redshift 데이터 소스에 연결할 수도 있습니다. Amazon Redshift Spectrum을 사용하는 경우 Amazon Redshift에서 모든 권한 관리가 중앙 집중화됩니다. Amazon Redshift가 IAM ID QuickSight 센터의 동일한 조직 인스턴스를 사용하는 경우 신뢰할 수 있는 ID 전파가 지원됩니다. 신뢰할 수 있는 ID 전파는 현재 다음 기능에 대해 지원되지 않습니다.

  • SPICE데이터세트

  • 데이터 소스의 사용자 지정 SQL

  • 알림

  • 이메일 보고서

  • 아마존 QuickSight Q

  • CSV, 엑셀, PDF 내보내기

  • 이상 탐지

Amazon이 Amazon Redshift 인스턴스에 QuickSight 연결하려면 해당 인스턴스에 대한 새 보안 그룹을 생성해야 합니다. 이 보안 그룹에는 Amazon QuickSight 서버의 적절한 IP 주소 범위에서의 액세스를 승인하는 인바운드 규칙이 포함되어 있습니다. AWS 리전 Amazon QuickSight 연결 승인에 대한 자세한 내용은 을 참조하십시오VPC에서 Amazon Redshift 클러스터에 대한 액세스를 수동으로 활성화.

Amazon QuickSight 서버에서 클러스터로의 연결을 활성화하는 것은 AWS 데이터베이스 데이터 소스를 기반으로 데이터 세트를 생성하기 위한 몇 가지 전제 조건 중 하나일 뿐입니다. 필요한 조건에 대한 자세한 내용은 새 데이터베이스 데이터 소스에서 데이터 세트 생성 단원을 참조하십시오.

Amazon Redshift를 통한 신뢰할 수 있는 ID 전파 지원

신뢰할 수 있는 ID 전파는 최종 사용자가 신뢰할 수 있는 ID 전파 지원 데이터 소스를 활용하는 자산에 QuickSight 액세스할 때 Amazon Redshift에서 최종 사용자를 인증합니다. 작성자가 신뢰할 수 있는 ID 전파를 사용하여 데이터 소스를 생성하면 해당 데이터 소스 소비자의 ID가 QuickSight 전파되고 로그인됩니다. CloudTrail 이를 통해 데이터베이스 관리자는 Amazon Redshift에서 데이터 보안을 중앙에서 관리하고 모든 데이터 보안 규칙을 데이터 소비자에게 자동으로 적용할 수 있습니다. QuickSight 다른 인증 방법을 사용하면 데이터 원본을 만든 작성자의 데이터 권한이 모든 데이터 원본 소비자에게 적용됩니다. 데이터 원본 작성자는 Amazon에서 생성한 데이터 원본에 행 및 열 수준의 보안을 추가로 적용하도록 선택할 수 QuickSight 있습니다.

신뢰할 수 있는 ID 전파 데이터 소스는 Direct Query 데이터세트에서만 지원됩니다. SPICE데이터세트는 현재 신뢰할 수 있는 ID 전파를 지원하지 않습니다.

필수 조건

시작하기 전에 필수 사전 요구 사항을 모두 준비했는지 확인하세요.

  • 신뢰할 수 있는 ID 전파는 IAM Identity Center와 통합된 QuickSight 계정에만 지원됩니다. 자세한 정보는 IAM ID 센터를 사용하여 Amazon QuickSight 계정을 구성하십시오.을 참조하세요.

  • IAM 아이덴티티 센터와 통합된 Amazon Redshift 애플리케이션입니다. 사용하는 Amazon Redshift 클러스터는 사용하려는 AWS Organizations QuickSight 계정과 동일한 조직 내에 있어야 합니다. 또한 클러스터는 QuickSight 계정이 구성된 IAM Identity Center의 동일한 조직 인스턴스로 구성되어야 합니다. Amazon Redshift 클러스터 구성에 대한 자세한 내용은 IAM ID 센터 통합을 참조하십시오.

에서 신뢰할 수 있는 ID 전파 활성화 QuickSight

신뢰할 수 있는 ID 전파를 통해 Amazon Redshift 데이터 소스에 QuickSight 연결하도록 구성하려면 Amazon Redshift OAuth 범위를 사용자 계정에 구성하십시오. QuickSight

Amazon QuickSight Redshift에 ID 전파를 승인할 수 있는 범위를 추가하려면 ID 전파를 승인할 계정 및 서비스 (이 경우) 의 QuickSight ID를 AWS 계정 지정하십시오. 'REDSHIFT'

Amazon이 사용자 ID를 전파하도록 승인하는 Amazon Redshift 클러스터의 IAM ID 센터 애플리케이션 ARN을 지정하십시오. QuickSight 이 정보는 Amazon Redshift 콘솔에서 찾을 수 있습니다. Amazon Redshift 범위에 대해 승인된 대상을 지정하지 않는 경우, 동일한 IAM ID 센터 인스턴스를 공유하는 모든 Amazon Redshift 클러스터의 사용자에게 QuickSight 권한을 부여합니다. 아래 예제는 신뢰할 수 있는 ID 전파를 통해 Amazon Redshift 데이터 소스에 QuickSight 연결하도록 구성합니다.

aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

다음 예시는 계정에서 OAuth 범위를 삭제합니다. QuickSight

aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"

다음 예시는 현재 계정에 있는 모든 OAuth 범위를 나열합니다. QuickSight

aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"

신뢰할 수 있는 자격 증명 전파로 Amazon Redshift에 연결하기

아래 절차를 사용하여 Amazon Redshift의 신뢰할 수 있는 ID 전파에 연결하십시오.

신뢰할 수 있는 자격 증명 전파를 사용하여 Amazon Redshift에 연결하려면
  1. QuickSightAmazon에서 새 데이터세트를 생성합니다. 데이터세트 생성에 대한 자세한 내용은 을 참조하십시오. 데이터 세트 생성

  2. Amazon Redshift를 새 데이터세트의 데이터 소스로 선택합니다.

    참고

    기존 데이터 소스의 인증 유형을 신뢰할 수 있는 ID 전파로 변경할 수 없습니다.

  3. 데이터 원본의 ID 옵션으로 IAM Identity Center를 선택한 다음 데이터 원본 생성을 선택합니다.

VPC에서 Amazon Redshift 클러스터에 대한 액세스를 수동으로 활성화

 적용 대상: Enterprise Edition 

다음 절차를 사용하여 VPC의 Amazon Redshift 클러스터에 QuickSight 대한 아마존 액세스를 활성화하십시오.

VPC의 Amazon Redshift 클러스터에 아마존이 QuickSight 액세스할 수 있도록 하려면
  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/redshiftv2/ 에서 Amazon Redshift 콘솔을 엽니다.

  2. Amazon에서 사용할 수 있도록 하려는 클러스터로 이동합니다 QuickSight.

  3. 클러스터 속성 섹션에서 포트를 찾으십시오. [Port] 값을 기록해 둡니다.

  4. 클러스터 속성 섹션에서 VPC ID를 찾아서 VPC ID 값을 기록해 둡니다. VPC ID를 선택하여 Amazon VPC 콘솔을 엽니다.

  5. Amazon VPC 콘솔의 탐색 창에서 보안 그룹을 선택합니다.

  6. 보안 그룹 생성을 선택합니다.

  7. [Create Security Group] 페이지에서 다음과 같이 보안 그룹 정보를 입력합니다.

    • 보안 그룹 이름(Security group name)redshift-security-group를 입력합니다.

    • 설명(Description)redshift-security-group를 입력합니다.

    • VPC의 경우 Amazon Redshift 클러스터의 VPC를 선택하십시오. 이 VPC는 기록해 둔 VPC ID가 포함되어 있습니다.

  8. 보안 그룹 생성을 선택합니다.

    새로운 보안 그룹이 화면에 표시되어야 합니다.

  9. 다음 속성을 사용하여 두 번째 보안 그룹을 생성합니다.

    • 보안 그룹 이름(Security group name)quicksight-security-group를 입력합니다.

    • 설명(Description)quicksight-security-group를 입력합니다.

    • VPC의 경우 Amazon Redshift 클러스터의 VPC를 선택하십시오. 이 VPC는 기록해 둔 VPC ID가 포함되어 있습니다.

  10. 보안 그룹 생성을 선택합니다.

  11. 새 보안 그룹을 생성한 후 새 그룹에 대한 인바운드 규칙을 생성합니다.

    redshift-security-group 보안 그룹을 선택하고 다음 값을 입력합니다.

    • 유형에서 Amazon Redshift를 선택합니다.

    • 프로토콜에서 TCP를 선택합니다.

    • 포트 범위에 액세스를 제공하고 있는 Amazon Redshift 클러스터의 포트 번호를 입력합니다. 이 번호는 이전 단계에서 적어둔 포트 번호입니다.

    • 소스에 보안 그룹 ID를 입력합니다. quicksight-security-group

  12. 규칙 저장을 선택하여 새로운 인바운드 규칙을 저장합니다.

  13. 에 대해 이전 단계를 quicksight-security-group 반복하고 다음 값을 입력합니다.

    • 유형(Type)에서 모든 트래픽(All traffic)을 선택합니다.

    • 프로토콜에서 모두를 선택합니다.

    • 포트 범위에서 모두를 선택합니다.

    • 소스에 보안 그룹 ID를 입력합니다redshift-security-group.

  14. 규칙 저장을 선택하여 새로운 인바운드 규칙을 저장합니다.

  15. 에서 QuickSight 관리 QuickSight 메뉴로 이동합니다.

  16. [VPC 연결 관리] 를 선택한 다음 [VPC 연결 추가] 를 선택합니다.

  17. 다음 값을 사용하여 새 VPC 연결을 구성합니다.

    • VPC 연결 이름의 경우 VPC 연결에 사용할 의미 있는 이름을 선택합니다.

    • VPC ID의 경우 Amazon Redshift 클러스터가 있는 VPC를 선택합니다.

    • 서브넷 ID의 경우 Amazon Redshift에 사용되는 가용 영역 (AZ) 의 서브넷을 선택합니다.

    • 보안 그룹 ID의 경우 보안 그룹 ID를 복사하여 붙여넣습니다. quicksight-security-group

  18. 생성을 선택하세요. 새 VPC를 생성하는 데 몇 분 정도 걸릴 수 있습니다.

  19. Amazon Redshift 콘솔에서 다음과 같이 구성된 Amazon Redshift redshift-security-group 클러스터로 이동합니다. 속성을 선택합니다. 네트워크 및 보안 설정에서 보안 그룹의 이름을 입력합니다.

  20. 에서 QuickSight 데이터세트를 선택한 다음 새 데이터세트를 선택합니다. 다음 값을 사용하여 새 데이터세트를 생성합니다.

    • 데이터 소스의 경우 Amazon Redshift 자동 검색을 선택합니다.

    • 데이터 원본에 의미 있는 이름을 지정하십시오.

    • 인스턴스 ID는 에서 생성한 VPC 연결로 자동으로 채워져야 합니다. QuickSight 인스턴스 ID가 자동으로 채워지지 않는 경우 드롭다운 목록에서 생성한 VPC를 선택합니다.

    • 데이터베이스 자격 증명을 입력합니다. QuickSight 계정에서 신뢰할 수 있는 ID 전파를 사용하는 경우 Single Sign-On을 선택하십시오.

  21. 연결을 확인한 다음 데이터 원본 만들기를 선택합니다.

기본 아웃바운드 규칙을 더 제한하려면 Amazon Redshift 트래픽만 quicksight-security-group 허용하도록 의 아웃바운드 규칙을 업데이트하십시오. redshift-security-group 에 있는 아웃바운드 규칙을 삭제할 수도 있습니다. redshift-security-group

Amazon Redshift Spectrum 에 대한 액세스 활성화

Amazon Redshift Spectrum을 사용하면 Amazon Redshift를 통해 QuickSight 아마존을 외부 카탈로그에 연결할 수 있습니다. 예를 들어 Amazon Athena 카탈로그에 액세스할 수 있습니다. 그런 다음 Athena 쿼리 엔진 대신 Amazon Redshift 클러스터를 사용하여 Amazon S3 데이터 레이크의 비정형 데이터를 쿼리할 수 있습니다.

Amazon Redshift 및 S3에 저장된 데이터를 포함하는 데이터 세트를 결합할 수도 있습니다. 그런 다음 Amazon Redshift의 SQL 구문을 사용하여 데이터 세트에 액세스할 수 있습니다.

데이터 카탈로그 (Athena용) 또는 외부 스키마 (Hive 메타스토어용) 를 등록한 후 Amazon을 사용하여 외부 스키마와 Amazon QuickSight Redshift Spectrum 테이블을 선택할 수 있습니다. 이 프로세스는 클러스터의 다른 Amazon Redshift 테이블에서와 마찬가지로 작동합니다. 데이터를 로드하거나 변환할 필요가 없습니다.

Amazon Redshift Spectrum 사용에 대한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서의 Amazon Redshift Spectrum을 사용한 외부 데이터 쿼리를 참조하십시오.

Redshift Spectrum을 사용하여 연결하려면 다음과 같이 하십시오.

  • Amazon Redshift 클러스터와 연결된 IAM 역할을 생성하거나 식별합니다.

  • IAM 정책 AmazonS3ReadOnlyAccessAmazonAthenaFullAccess를 IAM 역할에 추가합니다.

  • 사용하려는 테이블에 대한 외부 스키마 또는 데이터 카탈로그를 등록합니다.

Redshift Spectrum을 사용하면 스토리지와 컴퓨팅을 분리할 수 있어 별도로 확장할 수 있습니다. 실행하는 쿼리에 대해서만 요금을 지불하면 됩니다.

Redshift 스펙트럼 테이블에 연결하기 위해 아마존에 Amazon S3 또는 Athena에 QuickSight 대한 액세스 권한을 부여할 필요는 없습니다. 아마존은 Amazon Redshift 클러스터에만 액세스할 수 QuickSight 있어야 합니다. Redshift 스펙트럼 구성에 대한 자세한 내용은 Amazon Redshift 데이터베이스 개발자 안내서의 Amazon Redshift Spectrum 시작하기를 참조하십시오.