本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Amazon Quick 中管理 VPC 连接
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:系统管理员和 Amazon Quick 管理员 |
借助 Amazon Quick Enterprise 版,账户管理员可以从 Amazon Quick 控制台或 Amazon Quick CLI 配置与 Amazon Quick 账户的安全私有 VPC 连接。阅读以下演练,了解如何创建、编辑和删除 Amazon Quick 账户中的 VPC 连接。
**Topics**
+ [在 Amazon Quick 控制台中配置 VPC 连接](vpc-creating-a-connection-in-quicksight-console.md)
+ [使用 Amazon Quick CLI 配置 VPC 连接](vpc-creating-a-connection-in-quicksight-cli.md)
+ [测试与您的 VPC 数据来源的连接](vpc-creating-a-quicksight-data-source-profile.md)
# 在 Amazon Quick 控制台中配置 VPC 连接
要从 Amazon Quick 控制台创建与 Amazon VPC 服务的安全私有连接,请使用以下步骤。
**先决条件**
+ 以 Amazon Quick 管理员身份登录 Amazon Quick,在 Amazon Quick 中设置 VPC 连接。要验证您是否是 Amazon Quick 管理员,请在右上角选择您的个人资料图标。如果您的个人资料菜单包含 “**管理 Amazon Quick**” 选项,那么您就是 Amazon Quick 管理员。确保您在 IAM 中的管理员角色拥有以下权限。`"iam:PassRole"` 权限只需要应用于在以下过程中创建的执行角色。
+ `"quicksight:ListVPCConnections"`
+ `"quicksight:CreateVPCConnection"`
+ `"quicksight:DescribeVPCConnection"`
+ `"quicksight:DeleteVPCConnection"`
+ `"quicksight:UpdateVPCConnection"`
+ `"ec2:describeSubnets"`
+ `"ec2:describeVpcs"`
+ `"ec2:describeSecurityGroups"`
+ `"iam:ListRoles"`
+ `"iam:PassRole"`
以下示例显示了一个仅将 `"iam:PassRole"` 应用于执行角色的 IAM 策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/vpc-role-for-qs"
}
]
}
```
------
+ 在开始之前,您必须具有以下信息,才能复制并粘贴到 **VPC 连接**屏幕。有关更多信息,请参阅[查找连接到 VPC 的信息](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)。
+ AWS 区域— 您计划在 AWS 区域 哪里创建与数据源的连接。
+ VPC ID – 包含您计划使用的数据、子网和安全组的 VPC 的 ID。
+ 执行角色 — 一个 IAM 角色,其中包含信任策略,允许 Amazon Quick 在您的账户中创建、更新和删除网络基础设施。所有 VPC 连接都需要此策略。IAM 策略至少需要以下 Amazon EC2 权限:
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
以下示例显示了一个 IAM 策略,您可以将其添加到现有 IAM 角色以创建、删除或修改 VPC 连接。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
向 IAM 角色添加必要的权限后,请附加信任策略,允许 Amazon Quick 为您的账户配置 VPC 连接。以下示例显示了一个信任策略,您可以将其添加到现有 IAM 角色中,以允许 Amazon Quick 访问该角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ 子网 IDs — Amazon Quick 网络接口正在使用的子网。 IDs 每个 VPC 连接至少需要两个子网。
+ 安全组 IDs-安全 IDs 组中的安全组。每个 VPC 连接至少需要一个安全组。
**从 Quick Enterprise 版创建与 Amazon VPC 服务的安全私有连接**
1. 在 Amazon Quick 中,选择右上角的个人资料图标,然后选择 “管理 **Amazon** Quick”。
只有 Amazon Quick 管理员才能查看 “**管理亚马逊快速**” 选项。如果您在配置文件菜单上没有看到此选项,则表明您不是管理员。在这种情况下,请联系您的 Amazon Quick 账户管理员寻求帮助。
1. 在左侧导航窗格中选择**管理 VPC 连接**。
1. 在打开的**管理 VPC 连接**页面上,选择**添加 VPC 连接**。
1. 对于 **VPC 连接名称**,输入一个您选择的唯一描述性名称。此名称不需要是实际 VPC ID 或名称。
1. 在 **VPC ID** 下拉菜单中,选择要连接到 Amazon Quick 账户的 Amazon EC2 中的 VPC 的 ID。稍后无法更改此字段。
1. 在**执行角色**下拉菜单中,选择要用于 VPC 连接的相应的 IAM 角色。**执行角色**下拉列表仅显示包含信任策略的 IAM 策略,该策略允许 Amazon Quick 配置与您的账户的 VPC 连接。
1. 在**子网**表中,从列出的至少两个**可用区**的**子网 ID** 下拉菜单中选择子网 ID。**子网**表中列出的可用区是根据您在 Amazon EC2 控制台中配置 VPC 连接的方式确定的。
1. (可选)如果您未使用 DNS 解析器终端节点,请跳至下一步。
如果您的数据库主机 IP 地址必须通过您 AWS 账户中的专用 DNS 服务器进行解析,请输入 Route 53 Resolver 入站终端节点的 IP 地址(每行一个)。
请确保您输入的是终端节点,而不是您计划在 Amazon Quick 中使用的数据库地址。由托管的大多数数据库 AWS 不需要解析客户网络 VPCs 之间的 DNS 查询。有关更多信息,请参阅 *Amazon Route 53 开发者指南中的[解决 VPCs 与您的网络之间的 DNS 查询](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。*只有在您无法使用公有 DNS 服务器系统解析连接到您的数据库的 IP 地址时,才需要此端点。
1. 检查您的选择,然后选择**添加**。
完成创建 VPC 连接后,新连接将显示在**管理 VPC 连接**表中。在某些情况下,在后端配置连接之前,新 VPC 的状态可能为 **UNAVAILABLE**。Amazon Quick 完成新连接的配置后,连接状态将切换为 “**可用**”,表示连接已建立。下表描述了 VPC 连接的不同**状态**值。
| Status | 说明 |
| --- | --- |
| **AVAILABLE** | VPC 连接已建立并可以使用。 |
| **PARTIALLY AVAILABLE** | 配置为 VPC 连接的其中一个网络接口不可用。VPC 连接仍然可以使用。 |
| **UNAVAILABLE** | VPC 连接未建立且不可使用。 |
要查看 VPC 连接的摘要,可从**管理 VPC 连接**表的 **VPC 连接名称**行中选择 VPC 连接。出现的弹出框显示了与 VPC 连接关联的网络接口的相关信息。
下表描述了网络接口的不同**状态**值。
| Status | 说明 |
| --- | --- |
| **CREATING** | 正在创建网络接口。 |
| **AVAILABLE** | 网络接口可供使用。 |
| **CREATION\$1FAILURE** | 无法创建网络接口。 |
| **UPDATING** | 正在更新与网络接口关联的安全组。 |
| **UPDATE\$1FAILED** | 与网络接口关联的安全组未成功更新。 |
| **DELETING** | 正在删除网络接口。 |
| **DELETED** | 网络接口已删除,无法再使用。 |
| **DELETION\$1FAILED** | 删除网络接口失败,仍然可以使用。 |
| **DELETION\$1SCHEDULED** | 已计划删除此网络接口。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | 弹性接口无法连接,Amazon Quick 无法删除在您的账户中创建的弹性网络接口。 |
从 VPC 连接删除网络接口时,该连接的状态会更改为 **PARTIALLY AVAILABLE**,表示网络接口已丢失。
要更改现有 VPC 连接,选择要修改的连接右侧的更多操作(三点)按钮,然后选择**编辑**。在出现的**编辑 VPC 连接**窗口中进行更改,然后选择**保存**。
要删除 VPC 连接,选择要删除的连接右侧的更多操作(三点)按钮,然后选择**删除**。在出现的 **“删除 Amazon Quick VPC 连接**” 弹出窗口中,确认要删除连接,然后选择**删除**。
# 使用 Amazon Quick CLI 配置 VPC 连接
要使用 Amazon Quick CLI 从 Quick 创建与 Amazon VPC 服务的安全私有连接,请按以下步骤操作:
**先决条件**
+ 在开始之前,您必须具有以下信息,才能复制并粘贴到 **VPC 连接**页面中。有关更多信息,请参阅[查找连接到 VPC 的信息](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)。
+ AWS 区域— 您计划在 AWS 区域 哪里创建与数据源的连接。
+ VPC ID – 包含您计划使用的数据、子网和安全组的 VPC 的 ID。
+ 执行角色 — 一个 IAM 角色,其中包含信任策略,允许 Amazon Quick 在您的账户中创建、更新和删除网络基础设施。所有 VPC 连接都需要此策略。IAM 策略至少需要以下 Amazon EC2 权限:
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
以下示例显示了一个 IAM 策略,您可以将其添加到现有 IAM 角色以创建、删除或修改 VPC 连接。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
向 IAM 角色添加必要的权限后,请附加信任策略,允许 Amazon Quick 为您的账户配置 VPC 连接。下面显示了一个信任策略示例,您可以将其添加到现有 IAM 角色以允许 Amazon Quick 访问该角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ 子网 IDs — Amazon Quick 网络接口正在使用的子网。 IDs 每个 VPC 连接至少需要两个子网。
+ 安全组 IDs-安全 IDs 组中的安全组。每个 VPC 连接至少需要一个安全组。
## 使用 AWS CLI
以下示例创建一个 VPC 连接。
```
aws quicksight create-vpc-connection \
--aws-account-id 123456789012\
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
创建 VPC 连接后,您可以更新、删除 VPC 连接或请求 VPC 连接的摘要。
以下示例更新一个 VPC 连接。
```
aws quicksight update-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
以下示例删除一个 VPC 连接。
```
aws quicksight delete-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
以下示例说明一个 VPC 连接。
```
aws quicksight describe-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
下表描述了 `describe-vpc-connection` 返回的网络接口的不同**状态**值。
| Status | 说明 |
| --- | --- |
| **CREATING** | 正在创建网络接口。 |
| **AVAILABLE** | 网络接口可供使用。 |
| **CREATION\$1FAILURE** | 无法创建网络接口。 |
| **UPDATING** | 正在更新与网络接口关联的安全组。 |
| **UPDATE\$1FAILED** | 与网络接口关联的安全组未成功更新。 |
| **DELETING** | 正在删除网络接口。 |
| **DELETED** | 网络接口已删除,无法再使用。 |
| **DELETION\$1FAILED** | 删除网络接口失败,仍然可以使用。 |
| **DELETION\$1SCHEDULED** | 已计划删除此网络接口。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | 弹性接口无法连接,Amazon Quick 无法删除在您的账户中创建的弹性网络接口。 |
您还可以使用 AWS CLI 生成您的 Amazon Quick 账户中所有 VPC 连接的列表。
```
aws quicksight list-vpc-connections \
--aws-account-id 123456789012 \
--region us-west-2
```
# 测试与您的 VPC 数据来源的连接
| |
| --- |
| 适用于:企业版 |
| |
| --- |
| 目标受众:Amazon Quick 管理员和作者 |
要测试是否可以通过现有 Quick VPC 连接连接到数据源,请按以下步骤操作。
在开始之前,请收集连接所需的信息。如果您打算从文件中复制和粘贴设置,请确保文件中不包含任何以下内容:格式(列表项目符号或编号)、空格(空格、制表符)或不可见的“乱码”[非 ASCII、空值(ASCII 0)或控制] 字符。
1. 在 Amazon 快速入门页面上,选择**管理数据**。
1. 在**数据集**页面上,选择**新数据集**。
1. 在**创建数据集**页面的**来自新数据来源** 部分,选择要连接到的受支持数据来源。有关支持 VPC 的数据源列表,请参阅[确定要使用的数据源](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html#vpc-data-sources)。
您的数据来源实例必须使用用于创建 VPC 连接的相同 VPC。此外,必须正确地配置关联的安全组。有关更多信息,请参阅[设置 VPC 以与 Amazon Quick 配合使用](https://docs.aws.amazon.com/quicksight/latest/user/vpc-setup-for-quicksight.html)。
1. 输入数据来源的连接信息。数据来源的字段有时会按照不同的顺序显示,具体取决于您选择的数据来源。有关更多信息,请参阅[创建数据源](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-source.html)。
+ 对于**数据来源名称**,输入新数据来源的描述性名称。此名称将显示在**创建数据集**页面上的磁贴的数据来源徽标旁边。出于测试目的,请将它命名为 **"VPC test-"**,后跟数据库名称或位置(以唯一者为准)。
+ 对于**连接类型**,选择具有数据来源路由的 VPC 连接的名称。如果列表中缺少正确的 VPC,请让 Amazon Quick 管理员验证 Amazon Quick 中的 VPC 连接是否正确。如果看起来正确,请让系统管理员验证是否为此目的设置了数据来源和 VPC。
+ 要连接到的服务器或实例的名称或其他标识符。描述符取决于您要连接的服务器或实例,但通常是以下一个或多个:主机名、IP 地址、集群 ID、实例 ID、连接器或基于站点的 URL。
+ **Database name** 会显示 **Instance ID** 集群或实例的默认数据库。如果要在该集群或实例上使用不同的数据库,请输入其名称。
+ 要使用的数据集合的名称。
描述符因提供商而异,但通常是以下之一:数据库、数据仓库或目录。在本主题中,我们使用“数据库”一词作为通用术语。
+ 对于**凭证**,请输入用户名和密码,供所有使用此数据源从 Amazon Quick 连接的用户使用。用户名必须具有执行以下操作的权限:
+ 访问目标数据库。
+ 在该数据库中读取(执行 `SELECT` 语句)要使用的所有表。
1. 选择 **Validate connection** 验证您的连接信息是否正确。如果您的连接未验证,请更正连接信息,然后重试。如果信息看起来正确但无法验证成功,请执行以下一项或全部操作:
+ 请与数据来源管理员联系以验证您的连接设置。
+ 请联系您的 Amazon Quick 管理员以验证 Amazon Quick VPC 连接中的设置。
+ 请联系您的 AWS 管理员以验证 VPC 的配置是否正确,可与 Amazon Quick 配合使用。
1. 在连接验证成功后,选择**创建数据来源**,以保存连接配置文件。或者,如果在测试完成后不需要保存(推荐),请选择**取消**。