本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要從 Amazon QuickSight 主控台建立與 Amazon VPC 服務的安全私有連線,請使用以下程序。
先決條件
-
以 QuickSight 管理員身分登入 QuickSight,以便在 QuickSight 中設定 VPC 連線。若要確認您是 QuickSight 管理員,請選擇右上角的設定檔圖示。如果您的設定檔選單包含管理 QuickSight 選項,那麼您就是 QuickSight 管理員。請確定您在 IAM 中的管理員角色包含以下許可。
"iam:PassRole"許可只需套用至在下列程序中建立的執行角色。-
"quicksight:ListVPCConnections" -
"quicksight:CreateVPCConnection" -
"quicksight:DescribeVPCConnection" -
"quicksight:DeleteVPCConnection" -
"quicksight:UpdateVPCConnection" -
"ec2:describeSubnets" -
"ec2:describeVpcs" -
"ec2:describeSecurityGroups" -
"iam:ListRoles" -
"iam:PassRole"下列範例所顯示的 IAM 政策僅將
"iam:PassRole"套用到執行角色。{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/vpc-role-for-qs" }] }
-
-
開始前,請確定您擁有下列資訊,才能將其複製並貼到 VPC 連線畫面中。如需詳細資訊,請參閱尋找資訊以連線至 VPC。
-
AWS 區域 – 您計劃建立資料來源連線 AWS 區域 的 。
-
VPC ID – 包含您規劃使用的資料、子網路和安全群組的 VPC ID。
-
執行角色 – 包含信任政策的 IAM 角色,可讓 QuickSight 建立、更新和刪除您帳戶中的網路基礎設施。所有 VPC 連線都需要此政策。IAM 政策至少需要以下 Amazon EC2 許可:
-
DescribeSecurityGroups -
DescribeSubnets -
CreateNetworkInterface -
DeleteNetworkInterface -
ModifyNetworkInterfaceAttribute
下列範例所顯示的 IAM 政策可新增至現有 IAM 角色,以建立、刪除或修改 VPC 連線:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }將必要的許可新增至 IAM 角色後,請連接信任政策,以允許 QuickSight 設定與您帳戶的 VPC 連線。下列範例所顯示的信任政策可新增至現有 IAM 角色,以允許 QuickSight 存取該角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
-
子網路 ID – QuickSight 網路介面使用的子網路 ID。每個 VPC 連線至少需要兩個子網路。
-
安全群組 ID – 安全群組的 ID。每個 VPC 連線至少需要一個安全群組。
-
從 Amazon QuickSight 企業版建立到 Amazon VPC 服務的安全私有連線
-
在 QuickSight 中,選擇右上角的設定檔圖示,然後選擇管理 QuickSight。
只有 QuickSight 管理員可以檢視管理 QuickSight 選項。如果您在描述檔功能表上沒有看到這個選項,表示您不是管理員。在此情況下,請聯絡您的 QuickSight 帳戶管理員尋求協助。
-
在左側導覽窗格中,選擇管理 VPC 連線。
-
在開啟的管理 VPC 連線頁面上,選擇新增 VPC 連線。
-
針對 VPC 連線名稱,輸入您所選的唯一描述性名稱。此名稱不需要是實際的 VPC ID 或名稱。
-
在 VPC ID 下拉式選單中,選擇您想要連線到 QuickSight 帳戶的 Amazon EC2 中的 VPC ID。此欄位無法於稍後變更。
-
在執行角色下拉式選單中,選擇要用於 VPC 連線的適當 IAM 角色。執行角色下拉式清單僅顯示包含信任政策的 IAM 政策,以允許 QuickSight 設定與您帳戶的 VPC 連線。
-
在子網路資料表中,從至少兩個列出的可用區域的子網路 ID 下拉式選單中選擇子網路 ID。子網路資料表中列出的可用區域是根據您在 Amazon EC2 主控台中設定 VPC 連線的方式決定的。
-
(選擇性) 如果您未使用 DNS 解析器端點,請跳至下一個步驟。
如果您的資料庫主機 IP 地址必須透過 AWS 帳戶中的私有 DNS 伺服器解析,請輸入 Route 53 Resolver 傳入端點的 IP 地址 (每行一個)。
請確定您輸入的是端點,而不是像您規劃在 QuickSight 中使用的資料庫地址。大多數由 託管的資料庫 AWS 不需要解析 VPCs與客戶網路之間的 DNS 查詢。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的在 VPC 和網路之間解析 DNS 查詢。只有在您無法使用公有 DNS 伺服器系統來解析連線至資料庫的 IP 地址時,才需要此端點。
-
檢閱您的選擇,然後選擇新增。
完成建立 VPC 連線後,新連線會顯示在管理 VPC 連線資料表中。在某些情況下,在後端設定連線之前,新 VPC 的狀態可能是無法使用。QuickSight 完成設定新連線後,連線狀態會切換為可用,表示連線已建立。下表描述 VPC 連線的不同狀態值。
| 狀態 | 描述 |
|---|---|
|
AVAILABLE |
VPC 連線已建立且可使用。 |
|
PARTIALLY AVAILABLE |
設定為 VPC 連線的其中一個網路介面無法使用。VPC 連線仍然可以使用。 |
|
UNAVAILABLE |
VPC 連線尚未建立且無法使用。 |
若要查看 VPC 連線的摘要,請從管理 VPC 連線資料表 VPC 連線名稱資料列中選擇 VPC 連線。隨即出現的快顯方塊會顯示與 VPC 連線關聯的網路介面資訊。
下表描述網路介面的不同狀態值。
| 狀態 | 描述 |
|---|---|
|
CREATING |
網路介面建立正進行中。 |
|
AVAILABLE |
網路介面可供使用。 |
|
CREATION_FAILURE |
無法建立網路介面。 |
|
UPDATING |
與網路介面關聯的安全群組正在更新。 |
|
UPDATE_FAILED |
與網路介面關聯的安全群組未成功更新。 |
|
DELETING |
網路介面正在刪除中。 |
|
DELETED |
網路介面已刪除,且無法再使用。 |
|
DELETION_FAILED |
網路介面刪除失敗,且仍然可以使用。 |
|
DELETION_SCHEDULED |
此網路介面已排程刪除。 |
|
ATTACHMENT_FAILED_ROLLBACK_FAILED |
彈性介面無法連接,QuickSight 無法刪除您帳戶內建立的彈性網路介面。 |
當您從 VPC 連線中刪除網路介面時,連線狀態會變更為 PARTIALLY AVAILABLE,以指示遺失網路介面。
若要變更現有的 VPC 連線,請選擇您要修改的連線右側的更多動作 (三點) 按鈕,然後選擇編輯。在顯示的編輯 VPC 連線視窗中,進行變更,然後選擇儲存。
若要刪除 VPC 連線,請選擇您要刪除的連線右側的更多動作 (三點) 按鈕,然後選擇刪除。在出現的刪除 QuickSight VPC 連線快顯視窗中,確認您要刪除連線,然後選擇刪除。
