翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Quick Sight での VPC 接続の設定
| |
| --- |
| 適用対象: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
**注記**
Amazon **Quick システム管理者が Amazon Quick Sight への VPC 接続**を設定する場合、このセクションはお客様に代わって行います。Amazon Quick ナレッジベースは現在、VPC 統合をサポートしていません。
Quick Enterprise Edition は、Amazon VPC サービスと完全に統合されています。このサービスに基づく *VPC* は、お客様自身のデータセンターで運用されている従来のネットワークによく似ています。これにより、リソース間のトラフィックを保護し分離することが可能になります。ネットワーク要素を独自の要件に合わせて定義して制御しながら、クラウドネットワーキングと AWSのスケーラブルなインフラストラクチャの利点も活用できます。
Amazon Quick で VPC 接続を作成すると、VPC に Elastic Network Interface が追加されます。これらのネットワークインターフェイスにより、Amazon Quick はネットワークトラフィックを VPC 内のネットワークインスタンスと交換できます。VPC 内の他のトラフィックと同様に、このネットワークトラフィックに対する標準のセキュリティコントロールをすべて提供できます。ルートテーブル、ネットワークアクセスコントロールリスト (ACLs)、サブネット、セキュリティグループ設定はすべて、VPC 内の他のインスタンス間のトラフィックに適用されるのと同じ方法で、Amazon Quick との間のネットワークトラフィックに適用されます。
Amazon Quick に VPC 接続を登録すると、VPC でのみ利用可能なデータに安全に接続できます。次に例を示します。
+ IP アドレスでアクセスできるデータ
+ パブリックインターネットでは利用できないデータ
+ プライベートデータベース
+ オンプレミスのデータベース
これは、VPC とオンプレミスネットワーク間の接続を設定した場合に機能します。たとえば、、仮想プライベートネットワーク (VPN) AWS Direct Connect、またはプロキシとの接続を設定できます。
データに接続したら、そのデータを使用してデータ分析を作成し、安全なデータダッシュボードを公開できます。
セキュリティをさらに強化するには、「CloudTrail を使用した Amazon Quick 情報のログ記録」で説明されているように AWS CloudTrail、 によるデータアクセスオペレーションのログ記録を検討してください。 [ CloudTrail](https://docs.aws.amazon.com/quicksight/latest/user/logging-using-cloudtrail.html) CloudTrail ログの分析に役立つダッシュボードを作成することもできます。Amazon Quick Logs を他の AWS サービスのログと組み合わせることで、データの使用方法をより詳細に把握できます。
Amazon Quick はネットワーク情報を追加するためのユーザーインターフェイスを提供するため、VPC を Amazon Quick に接続して使用するネットワークエキスパートである必要はありません。ただし、セットアップに必要な情報を収集する担当者は、ネットワークの概念と VPC の使用に関する知識が必要です。担当者には、サービスへの読み取り専用アクセスも必要です。ネットワークの変更が必要な場合は、エキスパートのサポートなしでネットワーク設定を変更しないでください。
コマンドラインインターフェイスを使用して VPC にアクセスするには、 AWS Command Line Interface () を使用できますAWS CLI。の使用の詳細については AWS CLI、[AWS CLI 「 ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)」を参照してください。
**Topics**
+ [VPC 用語](vpc-terminology.md)
+ [サポートされる VPC データソース](vpc-connection-supported-data-sources.md)
+ [Amazon Quick で使用する VPC のセットアップ](vpc-setup-for-quicksight.md)
+ [VPC に接続するための情報の検索](vpc-finding-setup-information.md)
# VPC 用語
次の用語は、VPC と Amazon Quick を使用する場合に役立ちます。
*VPC* は、Virtual Private Cloudであり、プライベートネットワークと同じようにその内部のリソースを分離します。このトピックで説明するソリューションは、Amazon VPC と呼ばれる AWS のサービスを使用します。
*ルートテーブル*には、ネットワークトラフィックの経路を判断する際に使用される、*ルート*と呼ばれる一連のルールが含まれます。ルートテーブルは、Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) で確認できます。VPC の詳細には、VPC が使用しているルートテーブルが表示されます。Amazon VPC コンソールに一覧表示されている**ルートテーブル**も参照してください。
*サブネット*は、ネットワーク通信のセキュリティと効率を高めるために使用される定義済みのネットワーク IP アドレスのセットです。2 地点間の郵送に使用される郵便番号みたいなものと考えることができます。Amazon VPC コンソール の**サブネット**リストには、サブネット ID、関連する VPC ID、ルートテーブル、ネットワーク ACL が表示されます。VPC 接続を作成するには、異なるアベイラビリティーゾーンに少なくとも 2 つのサブネットを提供する必要があります。
*ネットワークインターフェイス*は、仮想ネットワークカードを表します。Amazon Quick によって自動的に作成されるネットワークインターフェイスは、*Amazon Quick ネットワークインターフェイスと呼ばれます。*VPC 接続内の各ネットワークインターフェイスは、アタッチされているサブネットに基づいて設定されます。Amazon Quick Network Interface は、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) の Amazon EC2 コンソールで表示できます。ネットワークインターフェイスには、ネットワークインターフェイス ID、サブネット ID、VPC ID、セキュリティグループ、アベイラビリティーゾーンが表示されます。セキュリティグループ名をクリックすると、そのグループ ID、インバウンドルール、アウトバウンドルールが表示されます。次のセクションの用語、*ネットワークインターフェイス*は、常にElastic Network Interface を意味します。
*セキュリティグループ*とは、それが関連付けられているリソースへのネットワークアクセスを制御する一連のルールです。セキュリティグループのインバウンドルールとアウトバウンドルールで定義されているコンポーネント間のアクセスのみが許可されます。ルールが定義されていない場合、セキュリティグループはすべてのアクセスを禁止します。セキュリティグループは、特定のセキュリティグループの適用先のリソースに応じて、複数の異なるコンソールから確認できます。VPC コンソールでは、すべてのセキュリティグループとその設定を 1 か所で確認できます。Amazon Quick VPC 接続の場合は、新しいセキュリティグループを作成します。
*インバウンドルールおよびアウトバウンドルール*は、以下を定義します。
+ 許可するトラフィックのタイプ (**"All TCP"** または **"RDS"** など)
+ 許可するプロトコル (TCP、UDP、ICMP)
+ インバウンドルールで許可するトラフィックの送信元、またはアウトバウンドルールで許可するトラフィックの送信先。VPC と Amazon Quick を使用する場合は、使用するセキュリティグループ ID を指定します。
+ オプションの説明。Amazon Quick VPC ルールの説明**Amazon Quick**に単語を追加することをお勧めします。
*インターネットゲートウェイ*は、VPC 内のインスタンスとインターネットとの間の通信を許可する VPC コンポーネントです。Amazon Quick VPC 接続を使用するには、インターネットゲートウェイは必要ありません。
VPC エンドポイントを使用すると、パブリック IP アドレスを使用せずに、サポートされている AWS のサービスに VPC をプライベートに接続できます。Amazon Quick VPC 接続を使用するように VPC エンドポイントを設定する必要はありません。
# サポートされる VPC データソース
Amazon Quick VPC 接続は、特定の Amazon Quick Sight データソースでのみ機能します。このセクションでは、互換性があるデータソースと、満たす必要のある要件について説明します。
次の Amazon Quick Sight データソースは、VPC 接続を介して Amazon Quick に接続できます。
+ Amazon OpenSearch Service
+ Amazon Redshift
+ Amazon Relational Database Service
+ Amazon Aurora
+ Databricks
+ Exasol
+ MariaDB
+ Microsoft SQL Server
+ MySQL
+ Oracle
+ PostgreSQL
+ Presto
+ Snowflake
+ Starburst Enterprise
+ Teradata
+ Trino
VPC データソースに Amazon Quick Sight からアクセスするには、次のステートメントが設定に当てはまる必要があります。
1. VPC データソースのドメインネームシステム (DNS) 名は、VPC 外部から解決できます。
1. 接続はインスタンスのプライベート IP アドレスを返します。Amazon Redshift、Amazon RDS、および Aurora によってホストされるデータベースは、この要件を自動的に満たします。
1. データソースから Amazon Quick Sight へのネットワークパスが明確に定義されています。
1. Amazon Quick コンソールで VPC 接続を作成または使用して、VPC を Amazon Quick に登録しました。
# Amazon Quick で使用する VPC のセットアップ
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
Amazon Quick Enterprise Edition で使用する VPC を設定するには、Amazon VPC と Amazon EC2 にアクセスする必要があります。また、Quick に追加する各 AWS データベースサービスにアクセスする必要があります。コンソールを使用するか、 AWS Command Line Interface () を使用できますAWS CLI。CLIの詳細については、[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)を参照してください。CLI を操作するには、[https://aws.amazon.com/cli/](https://aws.amazon.com/cli/) を参照してください。
Amazon Quick で VPC 接続の設定を開始する前に、VPC デプロイのコンポーネントを理解していることを確認してください。その一環として、Amazon Quick から到達する送信先 (データベース) に関連する VPC のサブネットとセキュリティグループについて理解します。正常な VPC 接続を設定するには、次のコンポーネントが連携して、Amazon Quick とデータソース間でネットワークトラフィックを渡すことができるようにします。
+ Amazon VPC サービス
+ データソースで使用しているサブネット
+ Amazon Quick Elastic Network Interface とそれらが使用するサブネット
+ ルートテーブル
+ これらのセキュリティグループのインバウンドルールとアウトバウンドルール
+ VPC のセキュリティグループ VPC セキュリティグループのルールを Amazon Quick Network Interface のセキュリティグループのルールから分離するために、新しいセキュリティグループを作成することをお勧めします)。
+ Amazon Quick ネットワークインターフェイスにアタッチされたセキュリティグループ。
+ データベースサーバー (使用する各データベースサーバー) にアタッチされたセキュリティグループ
+ (オプション) プライベート DNS 解決のための Amazon Route 53 Resolver インバウンドエンドポイント。
以下のトピックで、関連するネットワークコンポーネントを参照できます。ロールの説明は、VPC のネットワーク設定と Amazon Quick VPC 接続でも確認できます。セットアップ時に自動的に作成される Amazon Quick のネットワークインターフェイスは、*Amazon Quick Network Interface** (QNI) と呼ばれます。*
VPC がすでに完全に設定されている場合は、次のセクション[「VPC に接続するための情報の検索](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)」に進んでください。
**Topics**
+ [VPC](vpc-amazon-virtual-private-cloud.md)
+ [サブネット](vpc-subnets.md)
+ [セキュリティグループ: インバウンドルールとアウトバウンドルール](vpc-security-groups.md)
+ [サンプルルール](vpc-sample-rules.md)
+ [ルートテーブル](vpc-route-table.md)
+ [Amazon Quick Elastic Network Interface](vpc-qeni.md)
+ [Amazon Route 53 Resolver のインバウンドエンドポイント](vpc-route-53.md)
# VPC
Virtual *Private Cloud (VPC)* は、 AWS アカウント専用の仮想ネットワークです。これを提供する Amazon VPC サービスは、 AWS リソースのネットワークレイヤーです。Amazon VPC を使用すると、 AWS クラウド内の独自の論理的に隔離されたエリアに仮想ネットワークを定義できます。VPC は、独自のデータセンターで運用されている従来のネットワークによく似ていますが、 AWS スケーラブルなインフラストラクチャを使用する利点があります。*インスタンス*と呼ばれる Amazon EC2 仮想コンピューティング環境用の Amazon VPC は、さまざまな AWS リソースに使用できます。
VPC は、セキュアな環境で柔軟性を可能にする、次のようなオプションを提供します。
+ VPC を設定するには、IP アドレス範囲を設定し、サブネットを作成して、ルートテーブル、ネットワークゲートウェイ、ネットワークインターフェイス、セキュリティを設定します。
+ AWS クラウドをデータセンターの拡張機能にするには、VPC を独自の企業データセンターに接続できます。
+ VPC のインスタンスをインターネットに接続したり、インスタンスをプライベートネットワークから分離したままにできます。
+ 各サブネットのリソースを保護するには、セキュリティグループやネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用できます。
詳細については、[Amazon VPC ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)を参照してください。
デフォルト VPC をお持ちのお客様が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォルト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関する知識は必要ありません。
既存の VPC がない場合や新しい VPC を使用する場合は、*Amazon VPC ユーザーガイド*の [Amazon VPC の開始方法](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) の手順に従って VPC を作成します。このセクションでは、VPC を設定する方法について説明します。このガイダンスには、パブリックサブネットとプライベートサブネットのオプションと、企業ネットワークの for AWS Site-to-Site VPN アクセス (*オンプレミスアクセス*と呼ばれる) のオプションが含まれています。VPC ピアリングまたは を使用して、オンプレミスのデータベースインスタンス Direct Connect に到達することもできます。
**の使用 AWS CLI**
Amazon EC2 で VPC の設定を開始するには、[https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html) コマンドを使用します。 AWS CLIの VPC 設定の詳細については、「Amazon VPC ユーザーガイド」の「[VPC の例](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html)」を参照してください。
**Amazon EC2 コンソールの使用**
VPC を表示したり、Amazon EC2 で新しい VPC を作成するには、 にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。新しい VPC を作成するには、[**Launch VPC Wizard (VPC ウィザードの起動)**] を選択し、手順に従います。今後参照できるように、新しい VPC の ID を書き留めておきます。VPC を表示するには、左側で **[お使いの VPC]** を選択します。
**VPC ガイドと AWS サポート記事の Amazon VPC リソース**
一般的な情報については、[VPC とサブネットの使用](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html)を参照してください。
VPC のステップバイステップの設定手順については、以下のトピックを参照してください (シナリオに該当するトピックを選択してください)。
+ [を使用して IPv4 VPC とサブネットを作成する AWS CLI](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-subnets-commands-example.html)
+ [パブリックサブネットとプライベートサブネットの共有](https://docs.aws.amazon.com/vpc/latest/userguide/example-vpc-share.html)
+ [Site-to-Site VPN の使用](https://docs.aws.amazon.com/vpn/latest/s2svpn/working-with-site-site.html)
+ [AWS Site-to-Site VPN ネットワーク管理者ガイド](https://docs.aws.amazon.com/vpc/latest/adminguide/Welcome.html) (該当するネットワークデバイスを選択して手順を参照してください)
+ [ボーダーゲートウェイプロトコルを使用しない汎用カスタマーゲートウェイデバイス](https://docs.aws.amazon.com/vpc/latest/adminguide/GenericConfigNoBGP.html#DetailedViewCustomerGateway6) (カスタマーゲートウェイに推奨)
データソースインスタンスを同じ VPC 内に移行する場合は、次の AWS サポートの記事を参照してください。
+ [VPC を Amazon RDS DB インスタンス用に変更する方法](https://aws.amazon.com/premiumsupport/knowledge-center/change-vpc-rds-db-instance/)
+ [EC2 インスタンスを別のサブネット、アベイラビリティーゾーン、または VPC に移動するにはどうすればよいですか?](https://aws.amazon.com/premiumsupport/knowledge-center/move-ec2-instance/)
+ [Amazon Redshift クラスターを特定の VPC から別の VPC に移動する方法を教えてください。](https://aws.amazon.com/premiumsupport/knowledge-center/move-redshift-cluster-vpcs/)
トラブルシューティングの詳細については、[「VPC ルートテーブルに関する問題のトラブルシューティング方法」を参照してください。これは](https://aws.amazon.com/premiumsupport/knowledge-center/troubleshoot-vpc-route-table/)、 AWS サポートによって作成された動画を含む記事です。
# サブネット
*サブネット*は、VPC の IP アドレスの範囲です。VPC 接続を作成するには、少なくとも 2 つのサブネットを提供する必要があります。各サブネットが異なるアベイラビリティーゾーンに属している必要があります。Amazon EC2 インスタンスや Amazon RDS DB インスタンスなどの AWS リソースをサブネットにアタッチできます。セキュリティや運用上の必要に応じて、複数のインスタンスをグループ化するためにサブネットを作成できます。
Amazon Quick がデータベースに接続するには、Amazon Quick ネットワークインターフェイスで使用されるサブネットのいずれかから到達するデータソースにトラフィックをルーティングする必要があります。Amazon Quick は、バックエンドでトラフィックをルーティングするサブネットを決定します。サブネットがアタッチされているアベイラビリティーゾーンで停止が発生した場合、Amazon Quick は VPC 接続で設定された他のサブネットのいずれかにトラフィックを再ルーティングします。データソースが異なるサブネットにある場合は、Amazon Quick Network Interface からデータベースインスタンスへのルートがあることを確認してください。デフォルトでは、VPC 内の各サブネットは 1 つのメインルートテーブルに関連付けられており、他のサブネットに到達できます。詳細については、*Amazon VPC ユーザーガイド*の[VPC とサブネット](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)および[ネットワーク ACL](https://docs.aws.amazon.com/vpc//latest/userguide/vpc-connection-network-acls.html) を参照してください。
Amazon RDS DB を使用する場合、DB インスタンスは Amazon RDS コンソール ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)) または VPC コンソールで表示できるサブネットグループに関連付けられます。Amazon RDS への接続のトラブルシューティングについては、 AWS サポートの記事[「VPC のパブリックサブネットまたはプライベートサブネットを使用する Amazon RDS インスタンスへの接続のトラブルシューティング方法を教えてください。」を参照してください。](https://aws.amazon.com/premiumsupport/knowledge-center/rds-connectivity-instance-subnet-vpc/)
# セキュリティグループ: インバウンドルールとアウトバウンドルール
*セキュリティグループ*は、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルールと、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。
VPC 接続の場合は、`QuickSight-VPC` の説明で新しいセキュリティグループを作成します。このセキュリティグループは、到達するデータ送信先のセキュリティグループからのすべてのインバウンド TCP トラフィックを許可する必要があります。次の例では、VPC 内に新しいセキュリティグループを作成し、その新しいセキュリティグループの ID を返します。
```
aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
```
**重要**
ネットワーク設定は十分に複雑であるため、Amazon Quick で使用する新しいセキュリティグループを作成することを強くお勧めします。そうすることで、 AWS Support に問い合わせる際にも、サポートを受けやすくなります。新しいグループを作成することは必須ではありません。次のトピックは、このレコメンデーションに従うことを前提としています。
Quick が VPC 内のインスタンスに正常に接続できるようにするには、Amazon Quick ネットワークインターフェイスとデータを含むインスタンス間のトラフィックを許可するようにセキュリティグループルールを設定します。これを行うには、データベースのインスタンスのインバウンドルールにアタッチされたセキュリティグループが以下のトラフィックを許可するように設定します。
+ Amazon Quick が接続しているポートから
+ 次のいずれかのオプションからのトラフィック:
+ Amazon Quick Network Interface に関連付けられているセキュリティグループ ID (推奨)
または
+ Amazon Quick Network Interface のプライベート IP アドレス
詳細については、*Amazon VPC ユーザーガイド*の [VPC のセキュリティグループ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)および [VPC とサブネット](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html)を参照してください。
インバウンドルールとアウトバウンドルールの詳細については、以下のトピックを参照してください。
**Topics**
+ [インバウンドルール](#vpc-inbound-rules)
+ [アウトバウンドルール](#vpc-outbound-rules)
## インバウンドルール
**重要**
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
セキュリティグループを作成するときには、インバウンドルールはありません。インバウンドルールをセキュリティグループに追加するまでは、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されません。
Amazon Quick ネットワークインターフェイスにアタッチされたセキュリティグループは、ステートフルではないため、ほとんどのセキュリティグループとは異なる動作をします。他のセキュリティグループは通常*ステートフル*です。つまり、これらのセキュリティグループは、リソースのセキュリティグループへのアウトバウンド接続を確立すると、リターントラフィックを自動的に許可します。対照的に、Amazon Quick ネットワークインターフェイスセキュリティグループは、リターントラフィックを自動的に許可しません。このため、Amazon Quick Network Interface セキュリティグループに Egress ルールを追加することはできません。Amazon Quick Network Interface セキュリティグループで機能させるには、データベースホストからのリターントラフィックを明示的に許可するインバウンドルールを必ず追加してください。
この場合、セキュリティグループのインバウンドルールは、すべてのポートでトラフィックを許可する必要があります。すべてのインバウンドリターンパケットの送信先ポート番号はランダムに割り当てられたポート番号に設定されているため、これを行う必要があります。
Amazon Quick が特定のインスタンスにのみ接続するように制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定できます。どちらを指定する場合でも、セキュリティグループのインバウンドルールは依然としてすべてのポート (0~65535) でトラフィックを許可する必要があります。
Amazon Quick が VPC 内の任意のインスタンスに接続できるようにするには、Amazon Quick ネットワークインターフェイスのセキュリティグループを設定できます。この場合、すべてのポート (0~65535) で 0.0.0.0/0 のトラフィックを許可するインバウンドルールを指定します。Amazon Quick ネットワークインターフェイスで使用されるセキュリティグループは、データベースに使用されるセキュリティグループとは異なる必要があります。VPC 接続には別個のセキュリティグループを使用することをお勧めします。
**重要**
Amazon RDS DB インスタンスを長期間使用する場合は、DB セキュリティグループを使用する設定になっているかどうかをチェックしてください。DB セキュリティグループは、VPC 内ではなく、EC2-Classic プラットフォームにある DB インスタンスで使用されます。
この設定で、Amazon Quick で使用する DB インスタンスを VPC に移動しない場合は、DB セキュリティグループのインバウンドルールを更新してください。Amazon Quick に使用している VPC セキュリティグループからのインバウンドトラフィックを許可するように更新します。詳細については、*Amazon RDS ユーザーガイド*の[セキュリティグループによるアクセスのコントロール](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)を参照してください。
## アウトバウンドルール
**重要**
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。このデフォルトのルールを削除し、特定のアウトバウンドトラフィックのみを許可するアウトバウンドルールを追加することをお勧めします。
**警告**
すべてのポートでトラフィックを許可するアウトバウンドルールを使用して、Amazon Quick Network Interface のセキュリティグループを設定しないでください。VPC からのネットワーク送信トラフィックを管理するための重要な検討事項と推奨事項については、*Amazon VPC ユーザーガイド*の [VPC のセキュリティのベストプラクティス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)を参照してください。
Amazon Quick ネットワークインターフェイスにアタッチされたセキュリティグループには、Amazon Quick が接続する VPC 内の各データベースインスタンスへのトラフィックを許可するアウトバウンドルールが必要です。Amazon Quick が特定のインスタンスにのみ接続するように制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定します。これをインスタンスの適切なポート番号 (インスタンスがリッスンするポート) とともに、アウトバウンドルールで設定します。
また、VPC セキュリティグループは、データ送信先のセキュリティグループへのアウトバウンドトラフィックを許可する必要があります (特にデータベースがリッスンするポートで)。
# サンプルルール
以下に、Amazon RDS および Amazon Redshift のインバウンドおよびアウトバウンドルールの設定例を示します。
## VPC 接続ルール: Amazon Quick Sight: Amazon RDS for MySQL
次の表は、Amazon Quick Sight を Amazon RDS for MySQL に接続するためのルール設定を示しています。
**Amazon Quick Sight Network インターフェイスセキュリティグループ: インバウンドルール**
| | |
| --- |--- |
| タイプ | すべての TCP |
| プロトコル | TCP |
| ポート範囲 | 0~65535 |
| 送信元 | sg-RDS11111111 |
| 説明 | Amazon Quick Sight - RDS MySQL |
**Amazon Quick Sight Network インターフェイスセキュリティグループ: アウトバウンドルール**
| | |
| --- |--- |
| タイプ | MYSQL/Aurora |
| プロトコル | TCP |
| ポート範囲 | 3306 |
| 送信元 | sg-RDS11111111 |
| 説明 | Amazon Quick Sight から RDS MySQL へ |
**RDS MySQL: インバウンドルール**
| | |
| --- |--- |
| タイプ | MYSQL/Aurora |
| プロトコル | TCP |
| ポート範囲 | 3306 |
| 送信元 | sg-ENI3333333 |
| 説明 | Amazon Quick Sight から RDS MySQL へ |
## VPC 接続ルール: Amazon Quick Sight の Amazon Redshift
次の表は、Amazon Quick Sight を Amazon Redshift に接続するためのルール設定を示しています。
**Amazon Quick Sight ネットワークインターフェイスセキュリティグループ: インバウンドルール**
| | |
| --- |--- |
| タイプ | すべての TCP |
| プロトコル | TCP |
| ポート範囲 | 0~65535 |
| 送信元 | sg-RedSh222222 |
| 説明 | Amazon Quick Sight – Amazon Redshift |
**Amazon Quick Sight ネットワークインターフェイスセキュリティグループ: アウトバウンドルール**
| | |
| --- |--- |
| タイプ | Amazon Redshift |
| プロトコル | TCP |
| ポート範囲 | 5439 |
| 送信元 | sg-RedSh222222 |
| 説明 | Amazon Quick Sight – Amazon Redshift |
**Amazon Redshift: インバウンドルール**
| | |
| --- |--- |
| タイプ | Amazon Redshift |
| プロトコル | TCP |
| ポート範囲 | 5439 |
| 送信元 | sg-ENI3333333 |
| 説明 | Amazon Quick Sight – Amazon Redshift |
# ルートテーブル
VPC ピアリングを使用するか、オンプレミスデータベースインスタンス Direct Connect にアクセスするには、Amazon Quick で使用している VPC に関連付けられているルートテーブルを更新します。ルートテーブルの詳細については、*Amazon VPC ユーザーガイド*の[ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)を参照してください。
VPC ピアリング、およびサンプルシナリオと設定の表示の詳細については、*Amazon VPC ピアリングガイド*の [VPC ピア機能とは](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)を参照してください。設定例については、Amazon [VPC ユーザーガイドの「例: AWS PrivateLink と VPC ピアリングを使用するサービス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peer-region-example.html)」を参照してください。 **
**の使用 AWS CLI**
次の例では、新しいルートテーブルを作成します。
```
aws ec2 create-route-table --vpc-id vpc-0daeb67adda59e0cd
```
`create-route` コマンドを使用すると、ルートを作成できます。詳細および例については、「*AWS CLI コマンドリファレンス*」の「[create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html)」を参照してください。
以下の例が動作するために、ルートテーブルに関連付けられた VPC 内にサブネットがあることを確認してください。最初の例では、指定された VPC ID を持つルートテーブルについて説明します。2 番目の例では、指定されたルートテーブル ID を持つルートテーブルについて説明します。
```
aws ec2 describe-route-tables \
--filters "Name=vpc-id,Values=vpc-0daeb67adda59e0cd"
aws ec2 describe-route-tables \
--route-table-ids rtb-45ac473a
```
次の例では、特定の VPC とローカルゲートウェイルートテーブル間の指定された関連付けについて説明します。
```
aws ec2 describe-local-gateway-route-table-vpc-associations
--filters "Name=vpc-id,Values=vpc-0daeb67adda59e0cd"
```
# Amazon Quick Elastic Network Interface
*Amazon Quick Elastic Network Interface* は、仮想ネットワークカードを表す VPC 内の論理ネットワークコンポーネントです。Quick は、アタッチされているサブネットに基づいて、VPC 接続で使用するネットワークインターフェイスを少なくとも 2 つ作成します。次に、作成した各 Amazon Quick Sight データソースに VPC 接続を追加します。Quick Network Interface だけでは、データベースへの Quick direct アクセスは許可されません。VPC 接続は、それを使用するように設定された Amazon Quick Sight データソースでのみ機能します。
Amazon Quick Sight データソースを使用して VPC 内のデータベースまたは他のインスタンスをクエリすると、Amazon Quick からのすべてのネットワークトラフィックはこの Amazon Quick ネットワークインターフェイスから発信されます。Amazon Quick ネットワークインターフェイスは VPC 内に存在するため、そこから発信されるトラフィックは、プライベート IP アドレスを使用して VPC 内の宛先に到達できます。各 Amazon Quick ネットワークインターフェイスは、設定したサブネットから独自のプライベート IP アドレスを取得します。プライベート IP アドレスは、パブリック IP 範囲とは異なり、 AWS アカウントごとに一意です。
# Amazon Route 53 Resolver のインバウンドエンドポイント
*Amazon Route 53 Resolver* は、VPC に DNS クエリ機能を提供します。Route 53 Resolver はすべてのローカル DNS クエリを解決し、パブリック DNS サーバー上のローカルではない DNS クエリを再帰的に検索します。
Amazon Quick は、Route 53 Resolver を直接使用してプライベート DNS サーバーをクエリすることはできません。Route 53 Resolver のインバウンドエンドポイントをセットアップして、これらのクエリを間接的に実行することは可能です。インバウンドエンドポイントの詳細については、*Route 53 Resolver デベロッパーガイド*の [VPC へのインバウンド DNS クエリの転送](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html)を参照してください。Amazon Quick でインバウンドエンドポイントを使用するには、VPC 接続を作成するときに **DNS リゾルバーエンドポイントのエンドポイント**の IP アドレスを指定します。
# VPC に接続するための情報の検索
| |
| --- |
| 適用先: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者 |
Amazon Quick Enterprise Edition で VPC 接続を作成するときに準備を整えるために情報を収集するには、次の手順を実行します。
**Topics**
+ [使用するデータソースの特定](#vpc-data-sources)
+ [AWS リージョン 使用する を特定する](#vpc-aws-region)
+ [使用する VPC ID を特定する](#vpc-id)
+ [使用するサブネット ID を特定する](#vpc-subnet-id)
+ [使用するセキュリティグループを特定する](#vpc-security-group-id)
## 使用するデータソースの特定
まず、Quick を使用して接続するすべてのデータソースを特定します。各データソースにおいて、データベースのプライベート IP、セキュリティグループ、サブネットを書き留めます。Amazon Quick は、プライベート IP を使用してデータに接続します。ただし、VPC 接続のプライベート IP、セキュリティグループ、サブネット情報を入力する必要はありません。この情報は、Amazon Quick VPC 接続に必要な他のコンポーネントを特定するのに役立ちます。
**注記**
データソースに接続するために、データソースから VPC ID への追跡可能なルートがあることを確認してください。詳細については、[「使用するデータソースを特定する](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)」を参照してください。
## AWS リージョン 使用する を特定する
接続が機能するためには、データ、サブネット、およびセキュリティグループが同じ VPC 内に存在する必要があります。また、VPC と同じ で AWS リージョン Quick を使用していることを確認してください。
Amazon Quick を 1 つの で使用することはできません。 AWS リージョン また、別の の VPC に接続することを想定しています AWS リージョン。
チームが既に Amazon Quick を使用している場合は、Amazon Quick のホーム画面の右上に現在の AWS リージョン が表示されます。Amazon Quick のホーム画面の右上にあるリージョンを変更することで、Amazon Quick で AWS リージョン 使用している を変更できます。VPC でデータを使用する予定のすべてのユーザーは、Amazon Quick AWS リージョン で同じ を使用する必要があります。
**注記**
Amazon Quick コンソール AWS リージョン に表示される は、 AWS CLI 設定と一致する必要はありません。現在の Amazon Quick コンソール設定を、実行する AWS CLI コマンドに適用される設定や他のコンソールの設定と間違えないように注意してください。コンソール AWS リージョン で現在の を変更しても、そのページ以外のリージョンは変更されません。
たとえば、1 つのブラウザウィンドウで 3 つのタブが開いているとします。Amazon Quick コンソールを 1 つの で開き AWS リージョン、Amazon VPC コンソールを 2 番目のリージョンで開き、Amazon RDS コンソールを 3 番目のリージョンで開き、 を 4 番目のリージョンで AWS CLI 実行できます。
## 使用する VPC ID を特定する
VPC ID は、VPC の作成時に割り当てられます。
**の使用 AWS CLI**
次の `describe-vpcs` 例では、すべての VPC に関する詳細を取得します。
```
aws ec2 describe-vpcs
```
次の `describe-vpcs` 例では、指定した VPC に関する詳細を取得します。
```
aws ec2 describe-vpcs \
--vpc-ids vpc-06e4ab6c6cEXAMPLE
```
**Amazon VPC コンソールの使用**
VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) の左側で、[**Your VPCs (ユーザーのVPC)**] を選択します。使用する VPC-ID を選択します。正しいアベイラビリティーゾーンは にあり AWS リージョン 、「VPC [に接続するための情報の検索](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)」で説明されている要件を満たしています。また、[**Main Route Table (メインルートテーブル)**] の ID を書き留めます。これは、関連するサブネットを特定する際に必要になります。
**ヒント**
Amazon VPC コンソールで、VPC によりフィルタリングできます。このオプションは、コンソールの左上に表示されます。VPC ID でフィルタリングすると、他のすべてのメニューには、選択した VPC にあるネットワーク要素のみが表示されます。
## 使用するサブネット ID を特定する
VPC で使用するサブネットのサブネット ID を見つけるには、VPC コンソールを開きます。使用している VPC と、異なるアベイラビリティーゾーンにある少なくとも 2 つのサブネットを見つけます。Amazon Quick は、選択したサブネットの Amazon Quick Elastic Network Interface (Amazon Quick Network Interface) を作成します。次のセクションで説明するように、VPC 接続設定を保存すると、Amazon Quick ネットワークインターフェイスが作成されます。
データベースインスタンスは複数の異なるサブネットに存在する可能性があります。ただし、このサブネットから到達するデータ送信先へのルートを追跡できることを確認してください。
**の使用 AWS CLI**
次の例では、すべての既存のサブネットについて説明します。
```
aws ec2 describe-subnets
```
次の `describe-subnets` 例では、フィルターを使用して、指定した VPC のサブネットに関する詳細を取得します。
```
aws ec2 describe-subnets \
--filters "Name=vpc-id,Values=vpc-06e4ab6c6cEXAMPLE"
```
**Amazon VPC コンソールの使用**
VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) で、[**Subnets (サブネット)**] を選択し、正しい [**Subnet ID (サブネット ID)**] を見つけます。この時点でデータベースのサブネットに、選択したサブネットへのルートがある場合は、すべてのサブネットが正しいサブネットです。通常、VPC ネットワークを自分で設定していない場合は、すべてのサブネットが接続されます。
## 使用するセキュリティグループを特定する
セキュリティグループには、データソースインスタンスのインバウンドおよびアウトバウンドネットワークトラフィックを制御するルールが含まれます。使用しているセキュリティグループには、識別を容易にする説明 `"QuickSight-VPC"` を付ける必要があります。
正しいセキュリティグループが見つかったら、その**グループ ID** 値をコピーします。
**の使用 AWS CLI**
次の の例では、特定の のセキュリティグループを表示します AWS リージョン。グループ ID、名前、説明のみが表示されます。結果をフィルタリングして、`"QuickSight-VPC"` の説明付きの特定の VPC ID のグループのみを表示します。
```
aws ec2 describe-security-groups \
--region us-west-2 \
--query 'SecurityGroups[*].[GroupId, GroupName, Description]' \
--filters "Name=vpc-id,Values=vpc-06e4ab6c6cEXAMPLE" "Name=description,Values=QuickSight-VPC"
```
次の例は、ID `sg-903004f8` のセキュリティグループに関する情報を示しています。EC2-VPC 用セキュリティグループは名前では参照できないことに注意してください。
```
aws ec2 describe-security-groups
--group-ids sg-903004f8
--region us-west-2
```
次の例では、結果をクエリして、特定の AWS リージョン (`us-west-2`) にある特定の ID (`sg-903004f8`) を持つセキュリティグループのインバウンドルールとアウトバウンドルールについて VPC の詳細を取得します。
```
aws ec2 describe-security-groups \
--region us-west-2 \
--group-ids sg-903004f8 \
--query 'SecurityGroups[*].[GroupId, GroupName, Description, IpPermissions,IpPermissionsEgress]'
```
次の例では、フィルターを使用して、SQL Server トラフィック (ポート `1433`) を許可する特定のルールを持つ VPC セキュリティグループの詳細を取得します。また、この例は、すべてのアドレス (`0.0.0.0/0`) からのトラフィックを許可するルールも示しています。出力はフィルタリングされ、セキュリティグループのグループ ID、名前、および説明のみが表示されます。セキュリティグループが結果で返されるようにするには、すべてのフィルターに一致する必要があります。ただし、1 つのルールがすべてのフィルターに一致する必要はありません。(EC2-VPC のみ)
```
aws ec2 describe-security-groups \
--filters Name=ip-permission.from-port,Values=1433 \
Name=ip-permission.to-port,Values=1433 \
Name=ip-permission.cidr,Values='0.0.0.0/0' \
--query 'SecurityGroups[*].[GroupId, GroupName, Description]'
```
**Amazon VPC コンソールの使用**
VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) の左側で、[**Security groups (セキュリティグループ)**] を選択し、正しいグループ ID を見つけます。正しい ID には VPC ID が含まれています。`"QuickSight"` という単語を含むタグまたは説明も含んでいる必要があります。