重要:我们已经重新设计了 Amazon QuickSight 分析工作空间。您可能会遇到无法反映 QuickSight 控制台新外观的屏幕截图或程序化文本。我们正在更新屏幕截图和过程文本。
要查找特征或项目,请使用快速搜索栏。
有关新外观 QuickSight的更多信息,请参阅在 Amazon 上引入全新的分析体验 QuickSight
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 QuickSight 控制台中配置 VPC 连接
要从亚马逊 QuickSight 控制台创建与 Amazon VPC 服务的安全私有连接,请使用以下步骤。
先决条件
-
以 QuickSight 管理员 QuickSight 身份登录以在中设置 VPC 连接 QuickSight。要确认您是 QuickSight 管理员,请选择右上角的个人资料图标。如果您的个人资料菜单包含管理选项 QuickSight,那么您就是管理 QuickSight 员。确保您在 IAM 中的管理员角色拥有以下权限。
"iam:PassRole"权限只需要应用于在以下过程中创建的执行角色。-
"quicksight:ListVPCConnections" -
"quicksight:CreateVPCConnection" -
"quicksight:DescribeVPCConnection" -
"quicksight:DeleteVPCConnection" -
"quicksight:UpdateVPCConnection" -
"ec2:describeSubnets" -
"ec2:describeVpcs" -
"ec2:describeSecurityGroups" -
"iam:ListRoles" -
"iam:PassRole"以下示例显示了一个仅将
"iam:PassRole"应用于执行角色的 IAM policy。{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/vpc-role-for-qs" }] }
-
-
在开始之前,您必须具有以下信息,才能复制并粘贴到 VPC 连接屏幕。有关更多信息,请参阅 查找连接到 VPC 所需的信息。
-
Amazon Web Services 区域— 您计划在 Amazon Web Services 区域 哪里创建与数据源的连接。
-
VPC ID – 包含您计划使用的数据、子网和安全组的 VPC 的 ID。
-
执行角色-包含信任策略的 IAM 角色, QuickSight 允许在您的账户中创建、更新和删除网络基础设施。所有 VPC 连接都需要此策略。IAM policy 至少需要以下 Amazon EC2 权限:
-
DescribeSecurityGroups -
DescribeSubnets -
CreateNetworkInterface -
DeleteNetworkInterface -
ModifyNetworkInterfaceAttribute
以下示例显示了一个 IAM policy,您可以将其添加到现有 IAM 角色以创建、删除或修改 VPC 连接。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" } ] }向 IAM 角色添加必要权限后,请将信任策略附加到您的账户QuickSight 以允许配置 VPC 连接。以下示例显示了一个信任策略,您可以将其添加到现有 IAM 角色以允许QuickSight 访问该角色:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "quicksight.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
-
子网 ID- QuickSight 网络接口正在使用的子网的 ID。每个 VPC 连接至少需要两个子网。
-
安全组 ID – 安全组的 ID。每个 VPC 连接至少需要一个安全组。
-
从亚马逊 QuickSight企业版创建到亚马逊 VPC 服务的安全私有连接
-
在中 QuickSight,选择右上角的个人资料图标,然后选择管理。 QuickSight
只有 QuickSight 管理员才能查看 “管理 QuickSight” 选项。如果您在配置文件菜单上没有看到此选项,则表明您不是管理员。在这种情况下,请联系您的 QuickSight 账户管理员寻求帮助。
-
在左侧导航窗格中选择管理 VPC 连接。
-
在打开的管理 VPC 连接页面上,选择添加 VPC 连接。
-
对于 VPC 连接名称,输入一个您选择的唯一描述性名称。此名称不需要是实际 VPC ID 或名称。
-
在 VPC ID 下拉菜单中,选择要连接到 QuickSight 账户的 Amazon EC2 中的 VPC 的 ID。稍后无法更改此字段。
-
在执行角色下拉菜单中,选择要用于 VPC 连接的相应的 IAM 角色。执行角色下拉列表仅显示包含允许 QuickSight 配置与您的账户的 VPC 连接的信任策略的 IAM 策略。
-
在子网表中,从列出的至少两个可用区的子网 ID 下拉菜单中选择子网 ID。子网表中列出的可用区是根据您在 Amazon EC2 控制台中配置 VPC 连接的方式确定的。
-
(可选)如果您未使用 DNS 解析器终端节点,请跳至下一步。
如果您的数据库主机 IP 地址必须通过您 Amazon 账户中的专用 DNS 服务器进行解析,请输入 Route 53 Resolver 入站终端节点的 IP 地址(每行一个)。
确保您输入的是终端节点,而不是您计划在中使用的数据库地址 QuickSight。由托管的大多数数据库 Amazon 不需要解析 VPC 和客户网络之间的 DNS 查询。有关更多信息,请参阅 Amazon Route 53 开发人员指南中的解析 VPC 与网络之间的 DNS 查询。只有在您无法使用公有 DNS 服务器系统解析连接到您的数据库的 IP 地址时,才需要此端点。
-
检查您的选择,然后选择添加。
完成创建 VPC 连接后,新连接将显示在管理 VPC 连接表中。在某些情况下,在后端配置连接之前,新 VPC 的状态可能为 UNAVAILABLE。配置 QuickSight 完新连接后,连接的状态将切换为 “可用”,表示连接已建立。下表描述了 VPC 连接的不同状态值。
| Status | 描述 |
|---|---|
|
AVAILABLE |
VPC 连接已建立并可以使用。 |
|
PARTIALLY AVAILABLE |
配置为 VPC 连接的其中一个网络接口不可用。VPC 连接仍然可以使用。 |
|
UNAVAILABLE |
VPC 连接未建立且不可使用。 |
要查看 VPC 连接的摘要,可从管理 VPC 连接表的 VPC 连接名称行中选择 VPC 连接。出现的弹出框显示了与 VPC 连接关联的网络接口的相关信息。
下表描述了网络接口的不同状态值。
| Status | 描述 |
|---|---|
|
CREATING |
正在创建网络接口。 |
|
AVAILABLE |
网络接口可供使用。 |
|
CREATION_FAILURE |
无法创建网络接口。 |
|
UPDATING |
正在更新与网络接口关联的安全组。 |
|
UPDATE_FAILED |
与网络接口关联的安全组未成功更新。 |
|
DELETING |
正在删除网络接口。 |
|
DELETED |
网络接口已删除,无法再使用。 |
|
DELETION_FAILED |
删除网络接口失败,仍然可以使用。 |
|
DELETION_SCHEDULED |
已计划删除此网络接口。 |
|
ATTACHMENT_FAILED_ROLLBACK_FAILED |
弹性接口无法连接, QuickSight 也无法删除在您的账户中创建的弹性网络接口。 |
从 VPC 连接删除网络接口时,该连接的状态会更改为 PARTIALLY AVAILABLE,表示网络接口已丢失。
要更改现有 VPC 连接,选择要修改的连接右侧的更多操作(三点)按钮,然后选择编辑。在出现的编辑 VPC 连接窗口中进行更改,然后选择保存。
要删除 VPC 连接,选择要删除的连接右侧的更多操作(三点)按钮,然后选择删除。在出现的 “删除 QuickSight VPC 连接” 弹出窗口中,确认要删除该连接,然后选择删除。
