本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
入站规则
重要
如果连接是在 2023 年 4 月 27 日之前创建的,则以下部分适用于您的 VPC 连接。
当您创建一个安全组时,它没有入站规则。在您向安全组添加入站规则之前,不允许来自另一台主机的入站流量传输到您的实例。
附加到 QuickSight 网络接口的安全组的行为与大多数安全组不同,因为该安全组不是有状态的。其他安全组通常是有状态的。这意味着,在它们建立指向资源的安全组的出站连接后,将自动允许返回流量。相反, QuickSight 网络接口安全组不自动允许返回流量。因此,向 QuickSight 网络接口安全组添加出口规则不起作用。要对 QuickSight 网络接口安全组起作用,必须添加一个入站规则,该规则明确授权来自数据库主机的返回流量。
安全组中的入站规则必须允许所有端口上的流量。它之所以需要这样做,是因为任何入站返回数据包的目标端口号都设置为随机分配的端口号。
QuickSight 要限制为仅连接到特定实例,您可以指定安全组 ID(推荐)或您希望允许的实例的私有 IP 地址。无论在哪种情况下,您的安全组入站规则仍需要允许所有端口(0–65535)上的流量。
QuickSight 要允许连接到 VPC 中的任何实例,您可以配置 QuickSight网络接口安全组。在这种情况下,请为其提供一条入站规则,允许在所有端口(0–65535)上通过 0.0.0.0/0 的流量。 QuickSight 网络接口使用的安全组应该与用于您数据库的安全组不同。我们建议您对 VPC 连接使用单独的安全组。
重要
如果您使用的是长期 Amazon RDS 数据库实例,请检查您的配置,查看是否正在使用数据库安全组。数据库安全组用于不在 VPC 中但在 EC2-Classic 平台上的数据库实例。
如果这是您的配置,并且您没有将数据库实例移至 VPC 中以便与配合使用 QuickSight,请务必更新数据库安全组的入站规则。更新这些规则,允许来自您使用的 VPC 安全组的入站流量 QuickSight。有关更多信息,请参阅 Amazon RDS 用户指南中的使用安全组控制访问权限。