本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon Quick 中管理 VPC 連線
| |
| --- |
| 適用於:企業版 |
| |
| --- |
| 目標對象:系統管理員和 Amazon Quick 管理員 |
使用 Amazon Quick Enterprise Edition,帳戶管理員可以從 Amazon Quick 主控台或 Amazon Quick CLI 設定與 Amazon Quick 帳戶的安全私有 VPC 連線。閱讀下列逐步解說,了解如何從 Amazon Quick 帳戶建立、編輯和刪除 VPC 連線。
**Topics**
+ [在 Amazon Quick 主控台中設定 VPC 連線](vpc-creating-a-connection-in-quicksight-console.md)
+ [使用 Amazon Quick CLI 設定 VPC 連線](vpc-creating-a-connection-in-quicksight-cli.md)
+ [測試與 VPC 資料來源的連線](vpc-creating-a-quicksight-data-source-profile.md)
# 在 Amazon Quick 主控台中設定 VPC 連線
若要從 Amazon Quick 主控台建立與 Amazon VPC 服務的安全私有連線,請使用下列程序。
**先決條件**
+ 以 Amazon Quick 管理員身分登入 Amazon Quick,以在 Amazon Quick 中設定 VPC 連線。若要驗證您是 Amazon Quick 管理員,請選擇右上角的設定檔圖示。如果您的設定檔功能表包含**管理 Amazon Quick** 選項,則您是 Amazon Quick 管理員。請確定您在 IAM 中的管理員角色包含以下許可。`"iam:PassRole"` 許可只需套用至在下列程序中建立的執行角色。
+ `"quicksight:ListVPCConnections"`
+ `"quicksight:CreateVPCConnection"`
+ `"quicksight:DescribeVPCConnection"`
+ `"quicksight:DeleteVPCConnection"`
+ `"quicksight:UpdateVPCConnection"`
+ `"ec2:describeSubnets"`
+ `"ec2:describeVpcs"`
+ `"ec2:describeSecurityGroups"`
+ `"iam:ListRoles"`
+ `"iam:PassRole"`
下列範例所顯示的 IAM 政策僅將 `"iam:PassRole"` 套用到執行角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/vpc-role-for-qs"
}
]
}
```
------
+ 開始前,請確定您擁有下列資訊,才能將其複製並貼到 **VPC 連線**畫面中。如需詳細資訊,請參閱[尋找連接到 VPC 的資訊](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)。
+ AWS 區域 – 您計劃建立資料來源連線 AWS 區域 的 。
+ VPC ID – 包含您規劃使用的資料、子網路和安全群組的 VPC ID。
+ 執行角色 – 包含信任政策的 IAM 角色,允許 Amazon Quick 在您的帳戶中建立、更新和刪除網路基礎設施。所有 VPC 連線都需要此政策。IAM 政策至少需要以下 Amazon EC2 許可:
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
下列範例所顯示的 IAM 政策可新增至現有 IAM 角色,以建立、刪除或修改 VPC 連線:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
將必要的許可新增至 IAM 角色後,請連接信任政策,以允許 Amazon Quick 設定您帳戶的 VPC 連線。下列範例顯示您可以新增至現有 IAM 角色的信任政策,以允許 Amazon Quick 存取該角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ 子網路 IDs – Amazon Quick 網路介面正在使用IDs。每個 VPC 連線至少需要兩個子網路。
+ 安全群組 ID – 安全群組的 ID。每個 VPC 連線至少需要一個安全群組。
**從 Quick Enterprise Edition 建立與 Amazon VPC 服務的安全私有連線**
1. 在 Amazon Quick 中,選擇右上角的設定檔圖示,然後選擇**管理 Amazon Quick**。
只有 Amazon Quick 管理員可以檢視**管理 Amazon Quick** 選項。如果您在描述檔功能表上沒有看到這個選項,表示您不是管理員。在此情況下,請聯絡您的 Amazon Quick 帳戶管理員尋求協助。
1. 在左側導覽窗格中,選擇**管理 VPC 連線**。
1. 在開啟的**管理 VPC 連線**頁面上,選擇**新增 VPC 連線**。
1. 針對 **VPC 連線名稱**,輸入您所選的唯一描述性名稱。此名稱不需要是實際的 VPC ID 或名稱。
1. 在 **VPC ID** 下拉式選單中,選擇您要連線至 Amazon Quick 帳戶的 Amazon EC2 中 VPC 的 ID。此欄位無法於稍後變更。
1. 在**執行角色**下拉式選單中,選擇要用於 VPC 連線的適當 IAM 角色。**執行角色**下拉式清單只會顯示包含信任政策的 IAM 政策,允許 Amazon Quick 設定與您帳戶的 VPC 連線。
1. 在**子網路**資料表中,從至少兩個列出的**可用區域**的**子網路 ID** 下拉式選單中選擇子網路 ID。**子網路**資料表中列出的可用區域是根據您在 Amazon EC2 主控台中設定 VPC 連線的方式決定的。
1. (選擇性) 如果您未使用 DNS 解析器端點,請跳至下一個步驟。
如果您的資料庫主機 IP 地址必須透過 AWS 帳戶中的私有 DNS 伺服器解析,請輸入 Route 53 Resolver 傳入端點的 IP 地址 (每行一個)。
請確定您輸入的是端點,而不是您計劃在 Amazon Quick 中使用的資料庫地址。大多數由 AWS 託管的資料庫,都不需要解析 VPC 和客戶網路之間的 DNS 查詢。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[在 VPC 和網路之間解析 DNS 查詢](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。只有在您無法使用公有 DNS 伺服器系統來解析連線至資料庫的 IP 地址時,才需要此端點。
1. 檢閱您的選擇,然後選擇**新增**。
完成建立 VPC 連線後,新連線會顯示在**管理 VPC 連線**資料表中。在某些情況下,在後端設定連線之前,新 VPC 的狀態可能是**無法使用**。Amazon Quick 完成設定新連線後,連線的狀態會切換到**「可用**」,這表示已建立連線。下表描述 VPC 連線的不同**狀態**值。
| 狀態 | Description |
| --- | --- |
| **AVAILABLE** | VPC 連線已建立且可使用。 |
| **PARTIALLY AVAILABLE** | 設定為 VPC 連線的其中一個網路介面無法使用。VPC 連線仍然可以使用。 |
| **UNAVAILABLE** | VPC 連線尚未建立且無法使用。 |
若要查看 VPC 連線的摘要,請從**管理 VPC 連線**資料表 **VPC 連線名稱**資料列中選擇 VPC 連線。隨即出現的快顯方塊會顯示與 VPC 連線關聯的網路介面資訊。
下表描述網路介面的不同**狀態**值。
| 狀態 | Description |
| --- | --- |
| **CREATING** | 網路介面建立正進行中。 |
| **AVAILABLE** | 網路介面可供使用。 |
| **CREATION\$1FAILURE** | 無法建立網路介面。 |
| **UPDATING** | 與網路介面關聯的安全群組正在更新。 |
| **UPDATE\$1FAILED** | 與網路介面關聯的安全群組未成功更新。 |
| **DELETING** | 網路介面正在刪除中。 |
| **DELETED** | 網路介面已刪除,且無法再使用。 |
| **DELETION\$1FAILED** | 網路介面刪除失敗,且仍然可以使用。 |
| **DELETION\$1SCHEDULED** | 此網路介面已排程刪除。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | 彈性界面無法連接,Amazon Quick 無法刪除在您的帳戶中建立的彈性網路界面。 |
當您從 VPC 連線中刪除網路介面時,連線狀態會變更為 **PARTIALLY AVAILABLE**,以指示遺失網路介面。
若要變更現有的 VPC 連線,請選擇您要修改的連線右側的更多動作 (三點) 按鈕,然後選擇**編輯**。在顯示的**編輯 VPC 連線**視窗中,進行變更,然後選擇**儲存**。
若要刪除 VPC 連線,請選擇您要刪除的連線右側的更多動作 (三點) 按鈕,然後選擇**刪除**。在出現的**刪除 Amazon Quick VPC Connection** 快顯視窗中,確認要刪除連線,然後選擇**刪除**。
# 使用 Amazon Quick CLI 設定 VPC 連線
若要使用 Amazon Quick CLI 從 Quick 建立 Amazon VPC 服務的安全私有連線,請使用下列程序:
**先決條件**
+ 開始前,請確定您擁有下列資訊,才能將其複製並貼到 **VPC 連線**頁面中。如需詳細資訊,請參閱[尋找連接到 VPC 的資訊](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html)。
+ AWS 區域 – 您計劃建立資料來源連線 AWS 區域 的 。
+ VPC ID – 包含您規劃使用的資料、子網路和安全群組的 VPC ID。
+ 執行角色 – 包含信任政策的 IAM 角色,允許 Amazon Quick 在您的帳戶中建立、更新和刪除網路基礎設施。所有 VPC 連線都需要此政策。IAM 政策至少需要以下 Amazon EC2 許可:
+ `DescribeSecurityGroups`
+ `DescribeSubnets`
+ `CreateNetworkInterface`
+ `DeleteNetworkInterface`
+ `ModifyNetworkInterfaceAttribute`
下列範例所顯示的 IAM 政策可新增至現有 IAM 角色,以建立、刪除或修改 VPC 連線:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
```
------
將必要的許可新增至 IAM 角色後,請連接信任政策,以允許 Amazon Quick 設定您帳戶的 VPC 連線。以下顯示您可以新增至現有 IAM 角色以允許 Amazon Quick 存取角色的範例信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ 子網路 IDs – Amazon Quick 網路介面正在使用IDs。每個 VPC 連線至少需要兩個子網路。
+ 安全群組 ID – 安全群組的 ID。每個 VPC 連線至少需要一個安全群組。
## 使用 AWS CLI
下列範例建立 VPC 連線。
```
aws quicksight create-vpc-connection \
--aws-account-id 123456789012\
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
建立 VPC 連線後,您可以更新、刪除或請求 VPC 連線的摘要。
下列範例更新 VPC 連線。
```
aws quicksight update-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--name test \
--subnet-ids '["subnet-12345678", "subnet-12345678"]' \
--security-group-ids '["sg-12345678"]' \
--role-arn arn:aws:iam::123456789012:role/test-role \
--region us-west-2
```
下列範例刪除 VPC 連線。
```
aws quicksight delete-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
下列範例描述 VPC 連線。
```
aws quicksight describe-vpc-connection \
--aws-account-id 123456789012 \
--vpc-connection-id test \
--region us-west-2
```
下表描述 `describe-vpc-connection` 傳回的網路介面的不同**狀態**值。
| 狀態 | Description |
| --- | --- |
| **CREATING** | 網路介面建立正進行中。 |
| **AVAILABLE** | 網路介面可供使用。 |
| **CREATION\$1FAILURE** | 無法建立網路介面。 |
| **UPDATING** | 與網路介面關聯的安全群組正在更新。 |
| **UPDATE\$1FAILED** | 與網路介面關聯的安全群組未成功更新。 |
| **DELETING** | 網路介面正在刪除中。 |
| **DELETED** | 網路介面已刪除,且無法再使用。 |
| **DELETION\$1FAILED** | 網路介面刪除失敗,且仍然可以使用。 |
| **DELETION\$1SCHEDULED** | 此網路介面已排程刪除。 |
| **ATTACHMENT\$1FAILED\$1ROLLBACK\$1FAILED** | 彈性界面無法連接,Amazon Quick 無法刪除在您的帳戶中建立的彈性網路界面。 |
您也可以使用 AWS CLI 來產生 Amazon Quick 帳戶中所有 VPC 連線的清單。
```
aws quicksight list-vpc-connections \
--aws-account-id 123456789012 \
--region us-west-2
```
# 測試與 VPC 資料來源的連線
| |
| --- |
| 適用對象:企業版 |
| |
| --- |
| 目標對象:Amazon Quick 管理員和作者 |
若要測試您是否可以透過現有的 Quick VPC 連線連線到資料來源,請使用下列程序。
開始前,請收集您需要連線的資訊。如果您規劃從檔案複製並貼上設定,請確定其不包含以下任何內容:格式 (清單項目符號或數字)、空格 (空白鍵、Tab 鍵) 或不可見的 "gremlin" (非 ASCII、Null (ASCII 0) 或控制項) 字元。
1. 在 Amazon Quick Start 頁面上,選擇**管理資料**。
1. 在**資料集**頁面上,選擇**新建資料集**。
1. 在**建立資料集**頁面的**從新資料來源**區段中,選擇要連接的受支援資料來源。如需支援 VPC 的資料來源清單,請參閱[識別要使用的資料來源](https://docs.aws.amazon.com/quicksight/latest/user/vpc-finding-setup-information.html#vpc-data-sources)。
您的資料來源執行個體,必須使用與建立 VPC 連線相同的 VPC。此外,相關聯的安全群組也必須正確設定。如需詳細資訊,請參閱[設定 VPC 以搭配 Amazon Quick 使用](https://docs.aws.amazon.com/quicksight/latest/user/vpc-setup-for-quicksight.html)。
1. 輸入資料來源的連線資訊。根據您選擇的資料來源,資料來源的欄位有時會以不同順序顯示。如需詳細資訊,請參閱[建立資料來源](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-source.html)。
+ 在 **Data source name (資料來源名稱)** 中,輸入新資料來源的描述性名稱。該名稱會顯示在**建立資料集**頁面中圖磚上的資料來源標誌旁。為進行測試,將其命名為 **"VPC test-"**,後跟資料庫名稱或位置,以唯一者為準。
+ 針對 **Connection Type (連線類型)**,選擇具有可路由至您資料來源的 VPC 連線名稱。如果清單中缺少正確的 VPC,請要求 Amazon Quick 管理員在 Amazon Quick 中驗證 VPC 連線是否正確。如果它看起來正確,請要求系統管理員確認資料來源和 VPC 是否已針對此目的進行設定。
+ 要連線的伺服器或執行個體名稱,或其他識別符。描述項會因連線的目標而異,但通常是下列一或多項:主機名稱、IP 地址、叢集 ID、執行個體 ID、連接器或網站型 URL。
+ **資料庫名稱**會顯示叢集或執行個體的**執行個體 ID** 的預設資料庫。如果想要在該叢集或執行個體上使用不同的資料庫,請輸入其名稱。
+ 您要使用的資料集合名稱。
描述項會因提供者而異,但通常是下列其中一項:資料庫、倉儲或目錄。在這個主題中,我們使用「資料庫」一詞作為一般術語。
+ 針對**登入**資料,輸入使用者名稱和密碼,供使用此資料來源從 Amazon Quick 連線的每個人使用。使用者名稱必須具有執行下列動作的許可:
+ 存取目標資料庫。
+ 讀取 (即對其執行 `SELECT` 陳述式) 所有要在該資料庫中使用的資料表。
1. 選擇 **Validate connection (驗證連線)** 來驗證您的連線資訊是否正確。如果無法驗證您的連線,請更正連線資訊後再試一次。如果資訊看起來正確但無法驗證,請執行下列其中一項 (或所有) 動作:
+ 請聯絡您的資料來源管理員,以確認您的連線設定。
+ 請聯絡您的 Amazon Quick 管理員以驗證 Amazon Quick VPC 連線中的設定。
+ 請聯絡您的 AWS 管理員,確認 VPC 已正確設定為與 Amazon Quick 搭配使用。
1. 連線驗證完成後,請選擇**建立資料來源**,以儲存連線設定檔。或者,如果測試完成後不需要儲存 (建議),請選擇**取消**。