翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Quick での VPC 接続の管理
| |
| --- |
| 適用対象: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
Amazon Quick Enterprise Edition を使用すると、アカウント管理者は Amazon Quick コンソールまたは Amazon Quick CLI から Amazon Quick アカウントへの安全なプライベート VPC 接続を設定できます。Amazon Quick アカウントから VPC 接続を作成、編集、削除する方法については、以下のチュートリアルを参照してください。
**Topics**
+ [
# Amazon Quick コンソールでの VPC 接続の設定
](vpc-creating-a-connection-in-quicksight-console.md)
+ [
# Amazon Quick CLI との VPC 接続の設定
](vpc-creating-a-connection-in-quicksight-cli.md)
+ [
# VPC データソースへの接続のテスト
](vpc-creating-a-quicksight-data-source-profile.md)
# Amazon Quick コンソールでの VPC 接続の設定
Amazon Quick コンソールから Amazon VPC サービスへの安全なプライベート接続を作成するには、次の手順を使用します。
**前提条件**
+ Amazon Quick 管理者として Amazon Quick にサインインして、Amazon Quick で VPC 接続を設定します。Amazon Quick 管理者であることを確認するには、右上のプロファイルアイコンを選択します。プロファイルメニューに**「Amazon Quick の管理**」オプションが含まれている場合は、Amazon Quick 管理者です。IAM の管理者ロールに次のアクセス許可が含まれていることを確認します。`"iam:PassRole"` アクセス許可は、以下の手順で作成した実行ロールにのみ適用する必要があります。
+ `"quicksight:ListVPCConnections"`
+ `"quicksight:CreateVPCConnection"`
+ `"quicksight:DescribeVPCConnection"`
+ `"quicksight:DeleteVPCConnection"`
+ `"quicksight:UpdateVPCConnection"`
+ `"ec2:describeSubnets"`
+ `"ec2:describeVpcs"`
+ `"ec2:describeSecurityGroups"`
+ `"iam:ListRoles"`
+ `"iam:PassRole"`
次の例では、`"iam:PassRole"` を実行ロールにのみ適用する IAM ポリシーを示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/vpc-role-for-qs"
}
]
}
```
------
+ 開始する前に、次の情報をコピーして [**VPC Connection (VPC 接続)**] 画面に貼り付ける必要があります。詳細については、[「VPC に接続するための情報の検索](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)」を参照してください。
+ AWS リージョン – データソースへの接続を作成する予定の AWS リージョン 。
+ VPC ID – 使用する予定のデータ、サブネット、セキュリティグループが含まれている VPC の ID
+ 実行ロール – Amazon Quick がアカウント内のネットワークインフラストラクチャを作成、更新、削除できるようにする信頼ポリシーを含む IAM ロール。このポリシーはすべての VPC 接続に必要です。少なくとも、IAM ポリシーには次の Amazon EC2 許可が必要です。
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
次の例は、VPC 接続を作成、削除、または変更するために既存の IAM ロールに追加できる IAM ポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
IAM ロールに必要なアクセス許可を追加したら、信頼ポリシーをアタッチして、Amazon Quick がアカウントへの VPC 接続を設定できるようにします。次の例は、既存の IAM ロールに追加して Amazon Quick アクセスを許可できる信頼ポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ サブネット IDs – Amazon Quick ネットワークインターフェイスが使用しているサブネットの IDs。各 VPC 接続には少なくとも 2 つのサブネットが必要です。
+ セキュリティグループ ID – セキュリティグループの ID。各 VPC 接続には少なくとも 1 つのセキュリティグループが必要です。
**Quick Enterprise Edition から Amazon VPC サービスへの安全なプライベート接続を作成するには**
1. Amazon Quick で、右上のプロファイルアイコンを選択し、**Amazon Quick の管理**を選択します。
Amazon Quick 管理者のみが **Amazon Quick **の管理オプションを表示できます。このオプションがプロファイルメニューに表示されないユーザーは、管理者ではありません。この場合、Amazon Quick アカウント管理者にお問い合わせください。
1. 左側のナビゲーションペインで、**[VPC 接続を管理]** を選択します。
1. 表示される **[VPC 接続を管理]** ページで、**[VPC 接続を追加]** を選択します。
1. [**VPC connection name (VPC 接続名)**] に、一意のわかりやすい名前を入力します。この名前は、実際の VPC ID または名前である必要はありません。
1. **VPC ID** ドロップダウンメニューで、Amazon Quick アカウントに接続する Amazon EC2 の VPC の ID を選択します。このフィールドは後で変更できません。
1. **[実行ロール]** ドロップダウンメニューで、VPC 接続に使用する適切な IAM ロールを選択します。**実行ロール**ドロップダウンには、Amazon Quick がアカウントへの VPC 接続を設定できるようにする信頼ポリシーを含む IAM ポリシーのみが表示されます。
1. **[サブネット]** テーブルで、リストされている **[アベイラビリティーゾーン]** のうち少なくとも 2 つの **[サブネット ID]** ドロップダウンメニューからサブネット ID を選択します。**[サブネット]** テーブルにリストされているアベイラビリティーゾーンは、Amazon EC2 コンソールでの VPC 接続の設定方法に基づいて決定されます。
1. (オプション) DNS リゾルバーエンドポイントを使用していない場合は、次のステップに進みます。
データベースホストの IP アドレスを AWS アカウントのプライベート DNS サーバーで解決する必要がある場合は、Route 53 Resolver インバウンドエンドポイントの IP アドレスを入力します (1 行に 1 つずつ)。
Amazon Quick で使用する予定のデータベースアドレスではなく、エンドポイントを入力するようにしてください。 AWS によってホストされるほとんどのデータベースでは、VPC と顧客のネットワーク間の DNS クエリを解決する必要はありません。詳細については、「*Amazon Route 53 デベロッパーガイド*」の「[VPC とネットワーク間の DNS クエリの解決](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照してください。このエンドポイントが必要なのは、パブリック DNS サーバーシステムを使用してデータベースに接続する IP アドレスを解決できない場合のみです。
1. 選択内容を確認し、**[追加]** を選択します。
VPC 接続の作成が完了すると、新しい接続が **[VPC 接続を管理]** テーブルに表示されます。場合によっては、バックエンドで接続が設定されるまで、新しい VPC のステータスが **[UNAVAILABLE]** になることがあります。Amazon Quick が新しい接続の設定を完了すると、接続のステータスが **AVAILABLE** に切り替わり、接続が確立されたことを示します。次の表には、VPC 接続のさまざまな **[ステータス]** の値が記載されています。
| ステータス | 説明 |
| --- | --- |
| **AVAILABLE** | VPC 接続が確立され、使用できるようになります。 |
| **PARTIALLY AVAILABLE** | VPC 接続に設定されているネットワークインターフェイスの 1 つが使用できません。VPC 接続は引き続き使用できます。 |
| **UNAVAILABLE** | VPC 接続が確立されていないため、使用できません。 |
VPC 接続の概要を表示するには、**[VPC 接続を管理]** テーブルの **[VPC 接続名]** の行から VPC 接続を選択します。表示されるポップアップボックスには、VPC 接続に関連付けられたネットワークインターフェイスに関する情報が表示されます。
次の表には、ネットワークインターフェイスのさまざまな **[ステータス]** の値が記載されています。
| ステータス | 説明 |
| --- | --- |
| **CREATING** | ネットワークインターフェイスの作成が進行中です。 |
| **AVAILABLE** | ネットワークインターフェイスは使用可能です。 |
| **CREATION\$1FAILURE** | ネットワークインターフェイスを作成できませんでした。 |
| **UPDATING** | ネットワークインターフェイスに関連付けられたセキュリティグループが更新されています。 |
| **UPDATE\$1FAILED** | ネットワークインターフェイスに関連付けられたセキュリティグループが正常に更新されませんでした。 |
| **DELETING** | ネットワークインターフェイスを削除しています。 |
| **DELETED** | ネットワークインターフェイスは削除され、使用できなくなります。 |
| **DELETION\$1FAILED** | ネットワークインターフェイスの削除は失敗し、引き続き使用できます。 |
| **DELETION\$1SCHEDULED** | このネットワークインターフェイスは削除される予定です。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | Elastic Interface のアタッチに失敗し、Amazon Quick はアカウント内で作成された Elastic Network Interface を削除できませんでした。 |
VPC 接続からネットワークインターフェイスを削除すると、接続のステータスが **[PARTIALLY AVAILABLE]** に変わり、ネットワークインターフェイスが失われたことを示します。
既存の VPC 接続を変更するには、変更する接続の右側にあるその他のアクション (三点) ボタンを選択し、**[編集]** を選択します。表示される **[VPC 接続を編集]** ウィンドウで変更を加え、**[保存]** を選択します。
VPC 接続を削除するには、削除する接続の右側にあるその他のアクション (三点) ボタンを選択し、**[削除]** を選択します。表示される**「Amazon Quick VPC Connection の削除**」ポップアップで、接続を削除することを確認し、**「削除**」を選択します。
# Amazon Quick CLI との VPC 接続の設定
Amazon Quick CLI を使用して Quick から Amazon VPC サービスへの安全なプライベート接続を作成するには、次の手順に従います。
**前提条件**
+ 開始する前に、次の情報をコピーして **[VPC 接続]** ページに貼り付ける必要があります。詳細については、[「VPC に接続するための情報の検索](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)」を参照してください。
+ AWS リージョン – データソースへの接続を作成する予定の AWS リージョン 。
+ VPC ID – 使用する予定のデータ、サブネット、セキュリティグループが含まれている VPC の ID
+ 実行ロール – Amazon Quick がアカウント内のネットワークインフラストラクチャを作成、更新、削除できるようにする信頼ポリシーを含む IAM ロール。このポリシーはすべての VPC 接続に必要です。少なくとも、IAM ポリシーには次の Amazon EC2 許可が必要です。
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
次の例は、VPC 接続を作成、削除、または変更するために既存の IAM ロールに追加できる IAM ポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
IAM ロールに必要なアクセス許可を追加したら、信頼ポリシーをアタッチして、Amazon Quick がアカウントへの VPC 接続を設定できるようにします。以下は、Amazon Quick にロールへのアクセスを許可するために既存の IAM ロールに追加できる信頼ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ サブネット IDs – Amazon Quick ネットワークインターフェイスが使用しているサブネットの IDs。各 VPC 接続には少なくとも 2 つのサブネットが必要です。
+ セキュリティグループ ID – セキュリティグループの ID。各 VPC 接続には少なくとも 1 つのセキュリティグループが必要です。
## CLI AWS の使用
次の例では、VPC 接続を作成します。
```
aws quicksight create-vpc-connection \
--aws-account-id 123456789012\
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
VPC 接続を作成した後、VPC 接続の更新、削除、または概要のリクエストを行うことができます。
次の例では、VPC 接続を更新します。
```
aws quicksight update-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
次の例では、VPC 接続を削除します。
```
aws quicksight delete-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
次の例では、VPC 接続を記述します。
```
aws quicksight describe-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
次の表には、`describe-vpc-connection` が返すネットワークインターフェイスのさまざまな **[ステータス]** の値が記載されています。
| ステータス | 説明 |
| --- | --- |
| **CREATING** | ネットワークインターフェイスの作成が進行中です。 |
| **AVAILABLE** | ネットワークインターフェイスは使用可能です。 |
| **CREATION\$1FAILURE** | ネットワークインターフェイスを作成できませんでした。 |
| **UPDATING** | ネットワークインターフェイスに関連付けられたセキュリティグループが更新されています。 |
| **UPDATE\$1FAILED** | ネットワークインターフェイスに関連付けられたセキュリティグループが正常に更新されませんでした。 |
| **DELETING** | ネットワークインターフェイスを削除しています。 |
| **DELETED** | ネットワークインターフェイスは削除され、使用できなくなります。 |
| **DELETION\$1FAILED** | ネットワークインターフェイスの削除は失敗し、引き続き使用できます。 |
| **DELETION\$1SCHEDULED** | このネットワークインターフェイスは削除される予定です。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | Elastic Interface のアタッチに失敗し、Amazon Quick はアカウント内で作成された Elastic Network Interface を削除できませんでした。 |
CLI を使用して、Amazon Quick AWS アカウント内のすべての VPC 接続のリストを生成することもできます。
```
aws quicksight list-vpc-connections \
--aws-account-id 123456789012 \
--region us-west-2
```
# VPC データソースへの接続のテスト
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: Amazon Quick 管理者と作成者 |
既存のクイック VPC 接続を介してデータソースに接続できるかどうかをテストするには、次の手順を使用します。
開始する前に、接続に必要な情報を収集します。ファイルから設定をコピーして貼り付ける場合は、書式設定 (箇条書きの記号や番号)、空白 (スペースやタブ)、非表示の「gremlin」文字 (非 ASCII、Null (ASCII 0)、コントロール) が含まれていないことを確認してください。
1. Amazon クイックスタートページで、**データの管理**を選択します。
1. [**Datasets (データセット)**] ページで、[**New data set (新しいデータセット)**] を選択します。
1. [**FROM NEW DATA SOURCES (新しいデータソースから)**] セクションの [**Create a data set (データセットの作成)**] ページで、サポートされている接続先のデータソースを選択します。VPC をサポートするデータソースのリストについては、[「使用するデータソースを特定する](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html#vpc-data-sources)」を参照してください。
データソースインスタンスは、VPC 接続の作成に使用したのと同じ VPC を使用する必要があります。また、関連付けられているセキュリティグループは適切に設定されている必要があります。詳細については、[「Amazon Quick で使用する VPC のセットアップ](https://docs.aws.amazon.com/quicksight/latest/user/vpc-setup-for-quicksight.html)」を参照してください。
1. データソースの接続情報を入力します。データソースのフィールドは、選択したデータソースによって異なる順序で表示されることがあります。詳細については、[「データソースの作成](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-source.html)」を参照してください。
+ [**Data source name (データソース名)**] に、新しいデータソースのわかりやすい名前を入力します。この名前は、[**Create a data set (データセットの作成)**] ページにあるタイルのデータソースロゴの横に表示されます。テスト目的では、**"VPC test-"** という名前を付け、その後にデータベース名または場所のうち、一意のものが続きます。
+ [**Connection type (接続タイプ)**] で、データソースへのルートを持つ VPC 接続の名前を選択します。正しい VPC がリストにない場合は、Amazon Quick 管理者に依頼して、Amazon Quick で VPC 接続が正しいことを確認します。正しい場合は、システム管理者に依頼して、データソースと VPC がこの目的のために設定されていることを確認します。
+ 接続先のサーバーまたはインスタンスの名前またはその他の識別子。記述子は接続先によって異なりますが、通常はホスト名、IP アドレス、クラスター ID、インスタンス ID、コネクタ、またはサイトベースの URL の 1 つまたは複数です。
+ [**Database name (データベース名)**] には、[**Instance ID (インスタンス ID)**] のクラスターまたはインスタンスのデフォルトデータベースが表示されています。そのクラスターまたはインスタンスの別のデータベースを使用する場合は、その名前を入力します。
+ 使用するデータのコレクションの名前。
記述子はプロバイダーによって異なりますが、通常はデータベース、ウェアハウス、カタログのいずれかです。このトピックでは、「データベース」という単語を総称として使用しています。
+ **認証情報**には、このデータソースを使用して Amazon Quick から接続するすべてのユーザーに使用するユーザー名とパスワードを入力します。ユーザー名は、次を実行するための許可を持っている必要があります。
+ ターゲットデータベースにアクセスします。
+ そのデータベースで使用するすべてのテーブルを読み取ります (これらのテーブルに対して `SELECT` ステートメントを実行します)。
1. [**Validate connection (接続を検証)**] を選択して、接続情報が正しいことを確認します。接続が検証されない場合は、接続情報を修正して、もう一度試してください。情報が正しいようでも検証されない場合は、次のいずれかまたはすべてを実行します。
+ データソース管理者に連絡して、接続設定を確認します。
+ Amazon Quick VPC 接続の設定を確認するには、Amazon Quick 管理者にお問い合わせください。
+ AWS 管理者に連絡して、VPC が Amazon Quick で使用するように正しく設定されていることを確認します。
1. 接続が検証された場合は、[**Create data source (データソースの作成)**] を選択し、接続プロファイルを保存します。テスト完了後に接続を保存する必要がない場合は **[キャンセル]** を選択します (推奨)。