翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Quick Sight から AWS データストアへの接続を許可する
<a name="enabling-access"></a>


|  | 
| --- |
|    適用先: Enterprise Edition と Standard Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Quick Sight が AWS リソースにアクセスするには、Amazon Quick Sight サーバーで使用される IP アドレス範囲からの接続を許可するセキュリティグループを作成する必要があります。これらの AWS リソースにアクセスしてセキュリティグループを変更できるようにする AWS 認証情報が必要です。

以下のセクションの手順を使用して、Amazon Quick Sight 接続を有効にします。

**Topics**
+ [Amazon Quick Sight から Amazon RDS DB インスタンスへの接続を承認する](enabling-access-rds.md)
+ [Amazon Quick Sight から Amazon Redshift クラスターへの接続の許可](enabling-access-redshift.md)
+ [Amazon Quick から Amazon EC2 インスタンスへの接続の承認](enabling-access-ec2.md)
+ [を介した接続の認可 AWS Lake Formation](lake-formation.md)
+ [Amazon OpenSearch Service への接続の認証](opensearch.md)
+ [Amazon Athena への接続の認可](athena.md)
+ [データアクセス統合](data-access-integrations.md)

# Amazon Quick Sight から Amazon RDS DB インスタンスへの接続を承認する
<a name="enabling-access-rds"></a>


|  | 
| --- |
|    適用先: Enterprise Edition と Standard Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Quick Sight が Amazon RDS DB インスタンスに接続するには、その DB インスタンスの新しいセキュリティグループを作成する必要があります。このセキュリティグループには、その のクイックサーバーの適切な IP アドレス範囲からのアクセスを許可するインバウンドルールが含まれています AWS リージョン。クイック接続の承認の詳細については、「VPC [内の Amazon RDS インスタンスへのアクセスを手動で有効にする](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html)」または[「VPC 内にない Amazon RDS インスタンスへのアクセスを手動で有効にする](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html)」を参照してください。

Amazon Quick Sight 接続を手動で承認する方法の詳細については、「VPC [内の Amazon RDS インスタンスへのアクセスを手動で有効にする](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html)」または[「Amazon VPC 内にない Amazon RDS インスタンスへのアクセスを手動で有効にする](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html)」を参照してください。

Amazon RDS DB インスタンスのセキュリティグループを作成して割り当てるには、その DB インスタンスへのアクセスを許可する AWS 認証情報が必要です。

Amazon Quick サーバーからインスタンスへの接続を有効にすることは、 AWS データベースデータソースに基づいてデータセットを作成するためのいくつかの前提条件の 1 つにすぎません。必要なものの詳細については、[「データベースからデータセットを作成する](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html)」を参照してください。

**Topics**
+ [VPC 内の Amazon RDS インスタンスへの Amazon Quick Sight アクセスを手動で有効にする](#rds-vpc-access)
+ [Amazon Quick Sight から VPC にない Amazon RDS インスタンスへのアクセスを手動で有効にする](#rds-classic-access)

## VPC 内の Amazon RDS インスタンスへの Amazon Quick Sight アクセスを手動で有効にする
<a name="rds-vpc-access"></a>

次の手順を使用して、VPC 内の Amazon RDS DB インスタンスへの Amazon Quick Sight アクセスを有効にします。Amazon RDS DB インスタンスがプライベート (Amazon Quick に関連して) またはインターネットゲートウェイがアタッチされているサブネットにある場合は、[「Amazon Quick を使用した VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)」を参照してください。

**VPC 内の Amazon RDS DB インスタンスへの Amazon Quick Sight アクセスを有効にするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) で Amazon RDS コンソールを開きます。

1. [**Databases (データベース)**] を選択し、[DB instance (DB インスタンス)] を見つけて詳細を表示します。これを行うには、名前（[**DB identifier (DB 識別子)**] 列のハイパーリンク）を直接クリックします。

1. [**ポート**] を見つけ、[**ポート**] の値をメモします。数値または範囲を指定できます。

1. [**VPC**] を見つけ、[**VPC**] の値をメモします。

1. [**VPC**] 値を選択して、VPC コンソールを開きます。Amazon VPC Management Console で、ナビゲーションペインの **[Security Groups]** (セキュリティグループ) を選択します。

1. [**Create Security Group** (セキュリティグループの作成)] を選択します。

1. [**Create Security Group**] ページで、以下のようにセキュリティグループの情報を入力します。
   + [**名前タグ**] と [**グループ名**] に、「**Amazon-QuickSight-access**」と入力します。​
   + **[説明]** に **Amazon-QuickSight-access** と入力します。
   + [**VPC**] で、インスタンスの VPC を選択します。これは、先ほど記録した [**VPC ID**] に関連付けられた VPC です。

1. **[作成]** を選択します。確認ページで、[**セキュリティグループ ID**] を書き留めます。[**閉じる**] を選択して、この画面を終了します。

1. リストから新しいセキュリティグループを選択し、下のタブリストから [**Inbound Rules (インバウンドルール)**] を選択します。

1. [**Edit rules (ルールの編集)**] を選択して、新しいルールを作成します。

1. [**Edit inbound rules (インバウンドルールの編集)**] ページで、[**Add rule (ルールの追加)**] を選択して新しいルールを作成します。

   以下の値を使用します。
   + [**タイプ**] で [**カスタム TCP ルール**] を選択します。
   + [**プロトコル**] で [**TCP**] を選択します。
   + **[Port Range]** (ポート範囲) に、Amazon RDS クラスターのポート番号または範囲を入力します。このポート番号（または範囲）は、前にメモしたポート番号（または範囲）です。
   + [**ソース**] で、リストから [**カスタム**] を選択します。「カスタム」という単語の横に、Amazon Quick を使用する予定の AWS リージョン の CIDR アドレスブロックを入力します。

     たとえば、欧州 (アイルランド) の場合は、欧州 (アイルランド) の CIDR アドレスブロック: `52.210.255.224/27` を入力します。サポートされている の Amazon Quick の IP アドレス範囲の詳細については AWS リージョン、[AWS 「リージョン、ウェブサイト、IP アドレス範囲、エンドポイント](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)」を参照してください。
**注記**  
複数の で Amazon Quick をアクティブ化している場合は AWS リージョン、Amazon Quick エンドポイント CIDR ごとにインバウンドルールを作成できます。これにより、Amazon Quick はインバウンドルールで定義された任意の AWS リージョンから Amazon RDS DB インスタンスにアクセスできます。  
複数の で Amazon Quick を使用するすべてのユーザーは AWS リージョン 、単一のユーザーとして扱われます。つまり、すべての で Amazon Quick を使用している場合でも AWS リージョン、Amazon Quick サブスクリプション (「アカウント」と呼ばれることもあります) とユーザーの両方がグローバルです。

1. **[Description]** (説明) に、有用な説明を入力します (例:「*ヨーロッパ (アイルランド) QuickSight*」など)。

1. [**Save Rules（ルールの保存）**] を選択して、新しいインバウンドルールを保存します。次に、[**Close**] (閉じる) を選択します。

1. DB インスタンスの詳細ビューに戻ります。Amazon RDS コンソール ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)) に戻り、**[Databases]** (データベース) を選択します

1. 関連する RDS インスタンスの DB 識別子を選択します。**[Modify]** (変更) を選択します。データベース画面または DB インスタンス画面で [Modify (変更)] を選択したかどうかは、同じ画面に表示されます: [**Modify DB Instance (DB インスタンスの変更)**]

1. [**Network&Security (ネットワークとセキュリティ)**] セクション（上から 3 番目のセクション）を見つけます。

   現在割り当てられているセキュリティグループは [**セキュリティグループ**] ですでに選択されています。確信がない限り、既存のものを削除しないでください。

   代わりに、新しいセキュリティグループを選択して、選択した他のグループに追加します。前に提案された名前に従っていれば、このグループの名前は、[**Amazon-QuickSight-access**] に似ています。

1. 画面の下部までスクロールします。[**続行**] を選択してから、[**\$1DB インスタンスの変更\$1**] を選択します。

1. [**Apply when the next scheduled maintenance (次回の定期メンテナンス時に適用)**] を選択します（このタイミングが画面に表示されます）。

   [**すぐに適用**] を選択しないでください。これにより、保留中の変更キューにある追加の変更にも適用されます。これらの変更の一部には、ダウンタイムが必要になる場合があります。メンテナンスウィンドウ外でサーバーを停止すると、この DB インスタンスのユーザーに問題が発生する可能性があります。即時変更を適用する前に、システム管理者に問い合わせてください。

1. [**DB インスタンスの変更**] を選択して、変更を確定します。続いて、次のメインテナンスウィンドウが通過するのを待ちます。

## Amazon Quick Sight から VPC にない Amazon RDS インスタンスへのアクセスを手動で有効にする
<a name="rds-classic-access"></a>

以下の手順を使用して、VPC にない Amazon RDS DB インスタンスにアクセスします。RDS コンソール、`ModifyDBInstance`Amazon RDS API、または `modify-db-instance` AWS CLI コマンドで**変更**を使用して、セキュリティグループを DB インスタンスに関連付けることができます。

**注記**  
このセクションは、下位互換性のために含まれています。

**コンソールを使用して VPC にない Amazon RDS DB インスタンスにアクセスするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/) で Amazon RDS コンソールを開きます。

1. [**Databases (データベース)**] を選択し、DB インスタンスを選択して、[**Modify (変更)**] を選択します。

1. ナビゲーションペインで、[**Security Groups**] を選択します。

1. [**DB セキュリティグループの作成**] を選択します。

1. **[Name]** (名前) および **[Description]** (説明) 値に **Amazon-QuickSight-access** を入力して、**[Create]** (作成) を選択します。

1. デフォルトで新しいセキュリティグループが選択されています。

   以下に示しているように、セキュリティグループの横にある詳細アイコンを選択します。

1. [**Connection Type**] で、[**CIDR/IP**] を選択します。

1. [**CIDR/IP to Authorize**] に、適切な CIDR アドレスブロックを入力します。サポートされている の Amazon Quick の IP アドレス範囲の詳細については AWS リージョン、[AWS 「リージョン、ウェブサイト、IP アドレス範囲、エンドポイント](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)」を参照してください。

1. [**承認**] を選択します。

1. Amazon RDS Management Console の **[Instances]** (インスタンス) ページに戻り、アクセスを有効にするインスタンスを選択し、**[Instance Actions]** (インスタンスアクション) を選択してから、**[Modify]** (変更) を選択します。

1. [**Network & Security**] セクションでは、現在割り当てられている 1 つ以上のセキュリティグループが [**Security Group**] ですでに選択されています。Ctrl キーを押しながら、他の選択されているグループに加えて、[**Amazon-QuickSight-access**] を選択します。

1. [**Continue**] を選択してから、[**Modify DB Instance**] を選択します。

# Amazon Quick Sight から Amazon Redshift クラスターへの接続の許可
<a name="enabling-access-redshift"></a>


|  | 
| --- |
|    適用先: Enterprise Edition と Standard Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Redshift データへのアクセスを提供するには、信頼できる ID の伝達、IAM ロールとして実行、Amazon Redshift データベース認証情報の 3 つの認証方法があります。

信頼できる ID の伝達により、ユーザーの ID は IAM アイデンティティセンターによって管理されるシングルサインオンで Amazon Redshift に渡されます。Amazon Quick Sight のダッシュボードにアクセスするユーザーは、ID が Amazon Redshift に伝播されます。Amazon Redshift では、データが Amazon Quick アセットでユーザーに提示される前に、きめ細かなデータアクセス許可がデータに適用されます。Amazon Quick 作成者は、パスワード入力や IAM ロールなしで Amazon Redshift データソースに接続することもできます。Amazon Redshift Spectrum を使用する場合、すべての権限管理は Amazon Redshift で一元化されます。Amazon Quick と Amazon Redshift が IAM Identity Center の同じ組織インスタンスを使用する場合、信頼できる ID の伝播がサポートされます。信頼できる ID の伝達は、以下の機能では現在サポートされていません。
+ SPICE データセット
+ データソースのカスタム SQL
+ アラート
+ メールレポート
+ Amazon Quick Q
+ CSV、エクセル、PDF のエクスポート
+ 異常検出

Amazon Quick が Amazon Redshift インスタンスに接続するには、そのインスタンスの新しいセキュリティグループを作成する必要があります。このセキュリティグループには、その中の Amazon Quick サーバーの適切な IP アドレス範囲からのアクセスを許可するインバウンドルールが含まれています AWS リージョン。Amazon Quick 接続の承認の詳細については、「VPC [内の Amazon Redshift クラスターへのアクセスを手動で有効にする](https://docs.aws.amazon.com/quicksight/latest/user/redshift-vpc-access.html)」を参照してください。

Amazon Quick サーバーからクラスターへの接続を有効にすることは、 AWS データベースデータソースに基づいてデータセットを作成するためのいくつかの前提条件の 1 つにすぎません。必要なものの詳細については、[「データベースからデータセットを作成する](https://docs.aws.amazon.com/quicksuite/latest/userguide/create-a-database-data-set.html)」を参照してください。

**Topics**
+ [Amazon Redshift で信頼できる ID の伝達を有効にする](#redshift-trusted-identity-propagation)
+ [VPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化](#redshift-vpc-access)
+ [Amazon Redshift Spectrum へのアクセスの有効化](#redshift-spectrum-access)

## Amazon Redshift で信頼できる ID の伝達を有効にする
<a name="redshift-trusted-identity-propagation"></a>

信頼できる ID 伝達は、信頼できる ID 伝達が有効なデータソースを利用する Amazon Quick アセットにアクセスするときに、Amazon Redshift のエンドユーザーを認証します。作成者が信頼できる ID 伝達を使用してデータソースを作成すると、Amazon Quick Sight のデータソースコンシューマーの ID が伝達され、CloudTrail に記録されます。これにより、データベース管理者は Amazon Redshift でデータセキュリティを一元管理し、すべてのデータセキュリティルールを Amazon Quick のデータコンシューマーに自動的に適用できます。他の認証方法では、データソースを作成した作成者のデータ権限がすべてのデータソースコンシューマーに適用されます。データソース作成者は、Amazon Quick Sight で作成するデータソースに追加の行レベルと列レベルのセキュリティを適用できます。

信頼できる ID 伝達データソースは Direct Query データセットでのみサポートされます。SPICE データセットは現在、信頼できる ID の伝達をサポートしていません。

**Topics**
+ [前提条件](#redshift-trusted-identity-propagation-prerequisites)
+ [Amazon Quick Sight での信頼できる ID の伝播の有効化](#redshift-trusted-identity-propagation-enable)
+ [信頼できる ID の伝達を使用して Amazon Redshift に接続します](#redshift-trusted-identity-propagation-connect)

### 前提条件
<a name="redshift-trusted-identity-propagation-prerequisites"></a>

開始する前に、すべての前提条件を満たしていることを確認してください。
+ 信頼できる ID の伝播は、IAM アイデンティティセンターと統合された Amazon Quick アカウントでのみサポートされます。詳細については、[「IAM アイデンティティセンターで Amazon Quick アカウントを設定する](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)」を参照してください。
+ IAM アイデンティティセンターと統合された Amazon Redshift アプリケーション。使用する Amazon Redshift クラスターは、使用する Amazon Quick アカウント AWS Organizations と同じ組織内に存在する必要があります。また、クラスターは、Amazon Quick アカウントが設定されている IAM Identity Center の同じ組織インスタンスで設定する必要があります。Amazon Redshift クラスターの設定の詳細については、「[IAM アイデンティティセンターの統合](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-idp-connect.html)」を参照してください。

### Amazon Quick Sight での信頼できる ID の伝播の有効化
<a name="redshift-trusted-identity-propagation-enable"></a>

信頼できる ID 伝達を使用して Amazon Redshift データソースに接続するように Amazon Quick Sight を設定するには、Amazon Redshift OAuth スコープを Amazon Quick アカウントに設定します。

Amazon Quick が Amazon Redshift への ID の伝播を承認できるようにするスコープを追加するには、Amazon Quick アカウントの AWS アカウント ID と、ID の伝播を承認するサービスの ID を指定します。この場合は です`'REDSHIFT'`。

Amazon Quick にユーザー ID の伝播を許可する Amazon Redshift クラスターの IAM Identity Center アプリケーション ARN を指定します。この情報は Amazon Redshift コンソールで確認できます。Amazon Redshift スコープの許可されたターゲットを指定しない場合、Amazon Quick は同じ IAM アイデンティティセンターインスタンスを共有する Amazon Redshift クラスターのユーザーを承認します。以下の例では、信頼できる ID 伝達を使用して Amazon Redshift データソースに接続するように Amazon Quick を設定します。

```
aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

次の の例では、Amazon Quick アカウントから OAuth スコープを削除します。

```
aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

次の の例では、現在 Amazon Quick アカウントにあるすべての OAuth スコープを一覧表示します。

```
aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"
```

### 信頼できる ID の伝達を使用して Amazon Redshift に接続します
<a name="redshift-trusted-identity-propagation-connect"></a>

以下の手順を使用して、Amazon Redshift の信頼できる ID の伝達に接続します。

**信頼できる ID の伝達を使用して Amazon Redshift に接続するには**

1. Amazon Quick で新しいデータセットを作成します。データセットの作成の詳細については、[「データセットの作成](https://docs.aws.amazon.com/quicksight/latest/user/creating-data-sets.html)」を参照してください。

1. 新しいデータセットのデータソースとして Amazon Redshift を選択します。
**注記**  
既存のデータソースの認証タイプを信頼できる ID の伝達に変更することはできません。

1. データソースの ID オプションとして IAM アイデンティティセンターを選択し、次に **[データソースの作成]** を選択します。

## VPC 内の Amazon Redshift クラスターへのアクセスの手動での有効化
<a name="redshift-vpc-access"></a>


|  | 
| --- |
|  適用対象: Enterprise Edition  | 

次の手順を使用して、VPC 内の Amazon Redshift クラスターへの Amazon Quick Sight アクセスを有効にします。

**VPC 内の Amazon Redshift クラスターへの Amazon Quick Sight アクセスを有効にするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/) で Amazon Redshift コンソールを開きます。

1. Amazon Quick で利用可能にするクラスターに移動します。

1. **[Cluster Properties]** セクションで **[Port]** を見つけます。[**Port**] の値を記録します。

1. **[クラスターのプロパティ]** セクションで **[VPC ID]** を見つけ、**[VPC ID]** の値を記録します。**[VPC ID]** を選択して、Amazon VPC コンソールを開きます。

1. Amazon VPC コンソールのナビゲーションペインで、**[セキュリティグループ]** を選択します。

1. [**Create Security Group** (セキュリティグループの作成)] を選択します。

1. [**Create Security Group**] ページで、以下のようにセキュリティグループの情報を入力します。
   + **[Security group name]** (セキュリティグループ名) に **redshift-security-group** と入力します。
   + **[Description]** (説明) に **redshift-security-group** と入力します。
   + **[VPC]** については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。

1. **[セキュリティグループの作成]** を選択してください。

   新しいセキュリティグループが画面に表示されます。

1. 次のプロパティで 2 つ目のセキュリティグループを作成します。
   + **[Security group name]** (セキュリティグループ名) に **quicksight-security-group** と入力します。
   + **[Description]** (説明) に **quicksight-security-group** と入力します。
   + **[VPC]** については、Amazon Redshift クラスターに VPC を選択します。これは、記録した VPC ID に関連付けられた VPC です。

1. **[セキュリティグループの作成]** を選択してください。

1. 新しいセキュリティグループを作成したら、新しいグループのインバウンドルールを作成します。

   新しい `redshift-security-group` セキュリティグループを選択し、次の値を入力します。
   + **[タイプ]** には **[Amazon Redshift]** を選択します。
   + [**プロトコル**] で [**TCP**] を選択します。
   + **[Port Range]** (ポート範囲) に、アクセスを許可する Amazon Redshift クラスターのポート番号を入力します。これは、前の手順で記録したポート番号です。
   + **[ソース]** には `quicksight-security-group` のセキュリティグループ ID を入力します。

1. [**Save Rules（ルールの保存）**] を選択して、新しいインバウンドルールを保存します。

1. `quicksight-security-group` の前のステップを繰り返し、次の値を入力します。
   + [**タイプ**] で、[**すべてのトラフィック**] を選択します。
   + **[プロトコル]** で **[すべて]** を選択します。
   + **[ポート範囲]** には **[すべて]** を選択します。
   + **[ソース]** には `redshift-security-group` のセキュリティグループ ID を入力します。

1. [**Save Rules（ルールの保存）**] を選択して、新しいインバウンドルールを保存します。

1. Amazon Quick で、**Amazon Quick の管理**メニューに移動します。

1. **[VPC 接続を管理]** を選択し、**[VPC 接続を追加]** を選択します。

1. 次の値を使って新しい VPC 接続を設定します。
   + **[VPC 接続名]** には、VPC 接続の分かりやすい名前を選択します。
   + **[VPC ID]** で、Amazon Redshift クラスターが存在する VPC を選択します。
   + **[サブネット ID]** で、Amazon Redshift によって使用されるアベイラビリティーゾーン (AZ) のサブネットを選択します。
   + **[セキュリティグループ ID]** には、`quicksight-security-group` のセキュリティグループ ID をコピーして貼り付けます。

1. **[作成]** を選択します。新しい VPC が生成されるまでに数分かかる場合があります。

1. Amazon Redshift コンソールで、`redshift-security-group` に設定されている Amazon Redshift クラスターに移動します。**[プロパティ]** を選択し、**[ネットワークとセキュリティ設定]** で、セキュリティグループの名前を入力します。

1. Amazon Quick **で、データセット**を選択し、**新しいデータセット**を選択します。次の値を使用して新しいデータセットを作成します。
   + **[データソース]** には、**[Amazon Redshift 自動検出]** を選択します。
   + データソースにわかりやすい名前を選択します。
   + インスタンス ID には、Amazon Quick で作成した VPC 接続が自動的に入力されます。インスタンス ID が自動入力されない場合は、ドロップダウンリストから作成した VPC を選択します。
   + データベース認証情報を入力します。Amazon Quick アカウントが信頼できる ID 伝達を使用している場合は、**シングルサインオン**を選択します。

1. 接続を検証し、**[データソースの作成]** を選択します。

デフォルトのアウトバウンドルールをさらに制限したい場合は、`quicksight-security-group` のアウトバウンドルールを更新し、`redshift-security-group` の Amazon Redshift トラフィックのみ許可するようにします。`redshift-security-group` にあるアウトバウンドルールを削除することもできます。

## Amazon Redshift Spectrum へのアクセスの有効化
<a name="redshift-spectrum-access"></a>

Amazon Redshift Spectrum を使用すると、Amazon Quick を Amazon Redshift の外部カタログに接続できます。たとえば、Amazon Athena カタログにアクセスし、Athena クエリエンジンの代わりに Amazon Redshift クラスターを使用して、Amazon S3 データレイクの非構造化データを照会できます。

Amazon Redshift と S3 に保存されたデータを含むデータセットを結合することもできます。その後、Amazon Redshift で SQL 構文を使用してそれらのデータセットにアクセスできます。

データカタログ (Athena 用) または外部スキーマ ([Hive メタストア](https://aws.amazon.com/blogs/big-data/migrate-external-table-definitions-from-a-hive-metastore-to-amazon-athena/)用) を登録したら、Amazon Quick を使用して外部スキーマと Amazon Redshift Spectrum テーブルを選択できます。このプロセスは、クラスター内の他のいずれの Amazon Redshift テーブルに対しても同様に機能します。データをロードまたは変換する必要はありません。

Amazon Redshift Spectrum の使用に関する詳細については、「*Amazon Redshift データベースデベロッパーガイド*」の「[Amazon Redshift Spectrum を使用した外部データのクエリ](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html)」を参照してください。

Redshift Spectrum を使用して接続するには、次の操作を行います。
+ Amazon Redshift クラスターに関連付けられた IAM ロールを作成または指定します。
+ IAM ポリシー `AmazonS3ReadOnlyAccess` と `AmazonAthenaFullAccess` をその IAM ロールに追加します。
+ 使用する予定のテーブルの外部スキーマまたはデータカタログを登録します。

Redshift Spectrum を使用すると、ストレージをコンピューティングから切り離すことができるため、個別にスケーリングできます。実行するクエリに対してのみ料金が発生します。

Redshift Spectrum テーブルに接続するには、Amazon S3 または Athena への Amazon Quick Access を付与する必要はありません。Amazon Quick は、Amazon Redshift クラスターにのみアクセスする必要があります。Redshift Spectrum の設定の詳細については、「*Amazon Redshift データベースデベロッパーガイド*」の「[Amazon Redshift Spectrum の開始方法](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html)」を参照してください。

# Amazon Quick から Amazon EC2 インスタンスへの接続の承認
<a name="enabling-access-ec2"></a>


|  | 
| --- |
|    適用先: Enterprise Edition と Standard Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Quick Sight が Amazon EC2 インスタンスに接続するには、そのインスタンスの新しいセキュリティグループを作成する必要があります。このセキュリティグループには、クイックサーバーの適切な IP アドレス範囲からのアクセスを許可するインバウンドルールが含まれています AWS リージョン。

これらの Amazon EC2 インスタンスのセキュリティグループを変更するには、対象のインスタンスにアクセスするための AWS 認証情報が必要です。

クイックサーバーからインスタンスへの接続を有効にすることは、 AWS データベースデータソースに基づいてデータセットを作成するためのいくつかの前提条件の 1 つにすぎません。必要なものの詳細については、[「データベースからデータセットを作成する](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html)」を参照してください。

**Amazon EC2 インスタンスへの Amazon Quick Access を有効にするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) で Amazon EC2 コンソールを開きます。

1. EC2 インスタンスが VPC にある場合は、そのインスタンスを選択して、インスタンスの詳細ペインを表示します。VPC ID を探して、後に使用できるようにその ID を書き留めます。

1. ナビゲーションペインの **[NETWORK & SECURITY]** (ネットワークおよびセキュリティ) セクションで、**[Security Groups]** (セキュリティグループ) を選択します。次に、以下のように [**Create Security Group**] を選択します。

1. セキュリティグループ情報を次のように入力します。
   + **[Security group name]** (セキュリティグループ名) に **Amazon-QuickSight-access** と入力します。
   + **[Description]** (説明) に **Amazon-QuickSight-access** と入力します。
   + **[VPC]** で、Amazon EC2 インスタンスが VPC にある場合は、ステップ 2 で記録した VPC ID を選択します。それ以外の場合、[**No VPC**] を選択します。

1. [**Inbound**] タブで、[**Add Rule**] を選択します。

1. 次の値を使用して新しいルールを作成します。
   + [**タイプ**] で [**カスタム TCP ルール**] を選択します。
   + [**プロトコル**] で [**TCP**] を選択します。
   + (オプション) **[Port Range]** (ポート範囲) では、アクセスを提供するこの Amazon EC2 インスタンスの、インスタンスで使用されているポート番号を入力します。
   + **Source** には、Amazon Quick を使用する予定の AWS リージョン の CIDR アドレスブロックを入力します。たとえば、ヨーロッパ (アイルランド) の CIDR アドレスブロックは `52.210.255.224/27` です。サポートされている AWS リージョンでの Amazon Quick の IP アドレス範囲の詳細については、[AWS 「リージョン、ウェブサイト、IP アドレス範囲、エンドポイント](https://docs.aws.amazon.com/quicksight/latest/user/regions.html)」を参照してください。
**注記**  
複数の で Amazon Quick をアクティブ化している場合は AWS リージョン、Amazon Quick エンドポイント CIDR ごとにインバウンドルールを作成できます。これにより、Amazon Quick はインバウンドルールで AWS リージョン 定義された任意の から Amazon RDS DB インスタンスにアクセスできます。  
複数の AWS リージョンで Amazon Quick を使用する Amazon Quick ユーザーまたは管理者は、単一のユーザーとして扱われます。つまり、すべての で Amazon Quick を使用している場合でも AWS リージョン、Amazon Quick アカウントとユーザーの両方がグローバルです。

1. **[作成]** を選択します。

1. ナビゲーションペインの [**INSTANCES**] セクションで [**Instances**] を選択した後、アクセスを有効にするインスタンスを選択します。

1. [**Actions**]、[**Networking**]、[**Change Security Groups**] の順に選択します。

1. [**Change Security Groups**] で、[**Amazon-QuickSight-access**] セキュリティグループを選択します。

   その後、以下のように [**Assign Security Groups (セキュリティグループの割り当て)**] を選択します。

# を介した接続の認可 AWS Lake Formation
<a name="lake-formation"></a>


|  | 
| --- |
|  適用先: Enterprise Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

でデータをクエリする場合は Amazon Athena、 AWS Lake Formation を使用して、Amazon Quick Sight からデータを保護して接続する方法を簡素化できます。Lake Formation は、分析および機械学習サービスに適用される AWS 独自のアクセス許可モデルを提供することで、 AWS Identity and Access Management (IAM) アクセス許可モデルに追加します。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。

Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalogとシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。

次の図は、関連する AWS サービスの関係を示しています。

![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/quick/latest/userguide/images/lake-formation-architecture-drawing-1.png)


Lake Formation を設定したら、Amazon Quick を使用して、データベースとテーブルに名前または SQL クエリでアクセスできます。Amazon Quick には、SQL クエリを記述できるフル機能のエディタが用意されています。または、Athena コンソール、 AWS CLI、または任意のクエリエディタを使用できます。詳細については、*Amazon Athena ユーザーガイド* の [Athena へのアクセス](https://docs.aws.amazon.com/athena/latest/ug/accessing-ate.html)を参照してください。

以下のトピックを使用して、Lake Formation または Amazon Quick を介して Lake Formation 接続を設定します。

**Topics**
+ [Lake Formation からの接続の有効化](#lake-formation-lf-steps)
+ [Amazon Quick からの接続の有効化](#lake-formation-qs-steps)

## Lake Formation からの接続の有効化
<a name="lake-formation-lf-steps"></a>

Quick でこのソリューションの使用を開始する前に、Lake Formation で Athena を使用してデータにアクセスできることを確認してください。接続が Athena で動作していることを確認したら、Amazon Quick が Athena に接続できることのみを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、[Athena クエリコンソール](https://console.aws.amazon.com/athena/)を使用して、`SELECT 1 FROM table` などの単純な SQL コマンドを実行する方法です。

Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「*AWS Lake Formation デベロッパーガイド*」の「[Lake Formation の設定](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html)」を参照してください。
+ Lake Formation のデータにアクセスする必要がある Quick ユーザーとグループの Amazon リソースネーム (ARNs) を収集します。これらのユーザーは、Amazon Quick の作成者または管理者である必要があります。

**Amazon Quick ユーザーおよびグループ ARNs を検索するには**

  1. を使用して AWS CLI 、Amazon Quick の作成者と管理者ARNs を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で `list-users` コマンドを実行します。

     ```
     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。

     ```
     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar
     ```

     を使用しないようにするには AWS CLI、各ユーザーの ARNs を手動で作成できます。

  1. (オプション) ターミナル (Linux または Mac) または`list-group`コマンドプロンプト (Windows) で次のコマンドを実行して、 AWS CLI を使用して Amazon Quick グループの ARNs を検索します。

     ```
     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。

     ```
     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200
     ```

     Amazon Quick グループがない場合は、 AWS CLI を使用して `create-group` コマンドを実行してグループを追加します。現在、Amazon Quick コンソールからこれを行うオプションはありません。詳細については、[「Amazon Quick でのグループの作成と管理](https://docs.aws.amazon.com/quicksight/latest/user/creating-quicksight-groups.html)」を参照してください。

     を使用しないようにするには AWS CLI、各グループの ARNs を手動で作成できます。

## Amazon Quick からの接続の有効化
<a name="lake-formation-qs-steps"></a>

Lake Formation と Athena を使用するには、Amazon Quick で AWS リソースのアクセス許可が設定されていることを確認してください。
+ Amazon Athenaへのアクセスを有効にします。
+ Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。

Quick で AWS リソースのアクセス許可を確認または変更する方法については、[AWS 「リソースの自動検出の許可」および](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html)[「データソースへのアクセス](https://docs.aws.amazon.com/quicksight/latest/user/access-to-aws-resources.html)」を参照してください。

# Amazon OpenSearch Service への接続の認証
<a name="opensearch"></a>


|  | 
| --- |
|  適用先: Enterprise Edition  | 


|  | 
| --- |
|    対象者: システム管理者  | 

Amazon Quick Sight データセットで OpenSearch を使用する前に、クイック管理者が OpenSearch コンソールにアクセスできるユーザーの協力を得て完了するタスクがいくつかあります。

最初に、接続先の各 OpenSearch ドメインを特定します。次に、ドメインごとに次の情報を収集します。
+ OpenSearch ドメインの名前。
+ このドメインで使用される OpenSearch のバージョン。
+ OpenSearch ドメインの Amazon リソースネーム (ARN)。
+ HTTPS エンドポイント 
+ OpenSearch ダッシュボードの URL (ダッシュボードを使用する場合)。エンドポイントに「`/dashboards/`」を追加することで、ダッシュボードの URL を推定できます。
+ ドメインに VPC エンドポイントがある場合は、OpenSearch Service コンソールの VPC タブで、以下の関連するすべての情報を収集します。
  + VPC ID。
  + VPC セキュリティグループ
  + 関連付けられた IAM ロール (1 つもしくは複数)
  + 関連付けられたアベイラビリティーゾーン
  + 関連付けられたサブネット
+ ドメインが (VPC エンドポイントではなく) 通常のエンドポイントを持つ場合は、パブリックネットワークが使用されることに注意します。
+ 毎日の自動スナップショットの開始時間 (ユーザーによる確認用)

続行する前に、Amazon Quick 管理者は Amazon Quick から OpenSearch Service への認可された接続を有効にします。このプロセスは、Amazon Quick から接続するすべての AWS サービスに必要です。これは、データソースとして使用するサービス AWS アカウント ごとに AWS 1 回のみ実行する必要があります。

OpenSearch Service の場合、承認プロセスは AWS 管理ポリシー`AWSQuickSightOpenSearchPolicy`を に追加します AWS アカウント。

**重要**  
OpenSearch ドメインの IAM ポリシーが、`AWSQuickSightOpenSearchPolicy` のアクセス許可と競合していないことを確認します。このドメインのアクセスポリシーは、OpenSearch Service コンソールに表示されています。詳細については、*Amazon OpenSearch Service デベロッパー ガイド*の「[Configuring access policies](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating)」を参照してください。

**Amazon Quick から OpenSearch Service への接続を有効または無効にするには**

1. Amazon Quick 内で、**Administrator** と **Manage Amazon Quick** を選択します。

1. [**Security & Permissions (セキュリティとアクセス許可)**] で、[**Add or remove (追加または削除)**] を選択します。

1. 接続を有効にするには、[**Amazon OpenSearch Service**] のチェックボックスをオンにします。

   接続を無効にするには、[**Amazon OpenSearch Service**] のチェックボックスをオフにします。

1. 選択内容を確認するには、**[Update]** (更新) を選択します。

必要に応じて、以下のトピックを使用して、Amazon Quick が OpenSearch にアクセスするための OpenSearch VPC OpenSearch 接続とアクセス許可を設定します。

**Topics**
+ [VPC 接続の使用](#opensearch-and-vpc-connection)
+ [OpenSearch のアクセス許可の使用](#opensearch-permissions)

## VPC 接続の使用
<a name="opensearch-and-vpc-connection"></a>

一部の OpenSearch ドメインは、Amazon VPC サービスをベースにした仮想プライベートクラウド (VPC) 内に置かれている場合があります。その場合は、Amazon Quick が OpenSearch ドメインが使用する VPC ID に既に接続されているかどうかを確認してください。既存の VPC 接続を再利用できます。動作しているかどうかわからない場合は、テストできます。詳細については、[「Amazon VPC データソースへの接続のテスト](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html)」を参照してください。

使用する VPC の Amazon Quick で接続がまだ定義されていない場合は、接続を作成できます。このタスクは複数ステップからなるプロセスで、次の作業に移る前に完了する必要があります。Amazon Quick を VPC に追加し、Amazon Quick から VPC への接続を追加する方法については、「Amazon Quick [を使用した Amazon VPC への接続](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)」を参照してください。

## OpenSearch のアクセス許可の使用
<a name="opensearch-permissions"></a>

OpenSearch Service に接続するように Amazon Quick を設定した後、OpenSearch でアクセス許可を有効にする必要がある場合があります。セットアッププロセスのこの手順では、各 OpenSearch ドメインの OpenSearch ダッシュボードリンクを使用できます。必要なアクセス許可を決定するには、次のリストを使用します。

1. きめ細かなアクセスコントロールを使用するドメインの場合は、ロール形式でアクセス許可を設定します。このプロセスは、Amazon Quick でスコープダウンポリシーを使用するのと似ています。

1. 役割を作成する各ドメインについて、ロールマッピングを追加します。

詳細については、以下を参照してください。

OpenSearch ドメインで[きめ細かなアクセスコントロール](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)が有効になっている場合、ドメインに Amazon Quick からアクセスできるように を設定するアクセス許可がいくつかあります。使用するドメインごとに、これらの手順を実行します。

次の手順では、OpenSearch ダッシュボードを使用します。このダッシュボードは、OpenSearch で動作するオープンソースのツールです。このダッシュボードへのリンクは、OpenSearch Service コンソールのドメインダッシュボードに表示されています。

**Amazon Quick からのアクセスを許可するアクセス許可をドメインに追加するには**

1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、`opensearch-domain-endpoint/dashboards/` です。

1. ナビゲーションペインで、[**セキュリティ**] をクリックします。

   ナビゲーションペインが表示されない場合は、左上のメニューアイコンを使用してナビゲーションペインを開きます。メニューを開いたままにするには、左下の **[Dock navigation]** (ドックナビゲーション) を選択します。

1. [**ロール**]、[**ロールの作成**] を選択します。

1. ロールに **quicksight\$1role** という名前を付けます。

   別の名前を選択することもできますが、ドキュメントで使用し、サポートが容易なため、この名前をお勧めします。

1. [**クラスターのアクセス許可**] に、以下のアクセス許可を追加します。
   + `cluster:monitor/main`
   + `cluster:monitor/health`
   + `cluster:monitor/state`
   + `indices:data/read/scroll`
   + `indices:data/read/scroll/clear`,

1. [**インデックスのアクセス許可**] では、**\$1** をインデックスパターンに指定します。

1. [**インデックスのアクセス許可**] に、以下のアクセス許可を追加します。
   + `indices:admin/get`
   + `indices:admin/mappings/get`
   + `indices:admin/mappings/fields/get*`
   + `indices:data/read/search*`
   + `indices:monitor/settings/get`

1. **[作成]** を選択します。

1. 使用する予定の各 OpenSearch ドメインに対し、この手順を繰り返します。

前の手順で追加したアクセス許可にロールマッピングを追加するには、以下の手順を使用します。アクセス許可とロールマッピングを 1 つのプロセスの一部として追加する方が効率的です。明確にするため、各手順を個別に説明します。

**追加した IAM ロールのロールマッピングを作成するには**

1. 使用する OpenSearch ドメインで、OpenSearch ダッシュボードを開きます。URL は、`opensearch-domain-endpoint/dashboards/` です。

1. ナビゲーションペインで、[**セキュリティ**] をクリックします。

1. リストから **quicksight\$1role** を検索し、それを開きます。

1. [**マップされたユーザー**] タブで、[**マッピングを管理**] をクリックします。

1. **バックエンドロール**セクションで、Amazon Quick の AWSマネージド IAM ロールの ARN を入力します。次に例を示します。

   ```
   arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
   ```

1. [**マップ**] をクリックします。

1. 使用する各 OpenSearch ドメインについて、この手順を繰り返します。

# Amazon Athena への接続の認可
<a name="athena"></a>

 Amazon Athena または Amazon Athena フェデレーティッドクエリで Amazon Quick Sight を使用する必要がある場合は、まず Amazon Simple Storage Service (Amazon S3) で Athena および関連するバケットへの接続を許可する必要があります。Amazon Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータをスタンダード SQL を使用して直接、簡単に分析します。Athena フェデレーティッドクエリは、 を使用してより多くのタイプのデータにアクセスできます AWS Lambda。Quick から Athena への接続を使用すると、SQL クエリを記述して、リレーショナルデータソース、非リレーショナルデータソース、オブジェクトデータソース、カスタムデータソースに保存されているデータを調査できます。詳細については、「Amazon Athena ユーザーガイド」の「[Amazon Athena 横串検索の使用](https://docs.aws.amazon.com/athena/latest/ug/connect-to-a-data-source.html)」を参照してください。

Quick から Athena へのアクセスを設定するときは、次の考慮事項を確認してください。
+ Athena は Amazon Quick Sight からのクエリ結果をバケットに保存します。デフォルトでは、このバケットには `aws-athena-query-results-us-east-2-111111111111` のような `aws-athena-query-results-AWSREGION-AWSACCOUNTID` に似た名前が付いています。したがって、Amazon Quick Sight に Athena が現在使用しているバケットへのアクセス許可があることを確認することが重要です。
+ データファイルが AWS KMS キーで暗号化されている場合は、Amazon Quick Sight IAM ロールにキーを復号するためのアクセス許可を付与します。そのための最も簡単な方法は、 AWS CLIを使用することです。

  これを行う AWS CLI には、 で KMS [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) API オペレーションを実行できます。

  ```
  aws kms create-grant --key-id <KMS_KEY_ARN> /
  --grantee-principal <QS_ROLE_ARN> --operations Decrypt
  ```

  Amazon Quick ロールの Amazon リソースネーム (ARN) は 形式であり`arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>`、IAM コンソールからアクセスできます。KMS キー ARN を見つけるには、S3 コンソールを使用します。データファイルが格納されているバケットに移動し、[**Overview (概要)**] タブを選択します。キーは [**KMS key ID (KMS キー ID)**] の近くにあります。
+ Amazon Athena、Amazon S3、および Athena クエリフェデレーション接続の場合、Amazon Quick はデフォルトで次の IAM ロールを使用します。

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
  ```

  が存在しない場合、Amazon Quick `aws-quicksight-s3-consumers-role-v0`は以下を使用します。

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
  ```
+ ユーザーにスコープダウンポリシーを割り当てた場合は、ポリシーに`lambda:InvokeFunction`アクセス許可。この権限がないと、ユーザーは Athena フェデレーションクエリにアクセスできません。Amazon Quick で IAM ポリシーをユーザーに割り当てる方法の詳細については、[「IAM を介した AWS サービスへのきめ細かなアクセスの設定](https://docs.aws.amazon.com/quicksight/latest/user/scoping-policies-iam-interface.html)」を参照してください。Lambda: InvokeFunction アクセス許可の詳細については、[アクション、リソース、条件キー AWS Lambda](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslambda.html)*IAM ユーザーガイド*でご参照ください。

**Amazon Quick が Athena または Athena フェデレーティッドデータソースに接続することを許可するには**

1. (オプション) Athena AWS Lake Formation で を使用している場合は、Lake Formation も有効にする必要があります。詳細については、「 [を介した接続の承認 AWS Lake Formation](https://docs.aws.amazon.com/quicksight/latest/user/lake-formation.html)」を参照してください。

1. 右上のプロファイルメニュー を開いて、[**Manage QuickSight (QuickSight の管理)**] を選択します。これを行うには、Amazon Quick 管理者である必要があります。表示されない場合は、プロファイルメニューの**Manage QuickSight (QuickSight の管理)** へアクセスするのに十分なアクセス許可がありません。

1. [**Security & Permissions (セキュリティとアクセス許可)**] で、[**Add or remove (追加または削除)**] を選択します。

1. Amazon Athena の近くのボックスで、[**Next (次へ)**] を選択します。

   既に有効になっている場合は、ダブルクリックする必要があります。Amazon Athena がすでに有効になっている場合でもこれを実行し、設定を表示できるようにしてください。この手順の最後にある [**Update (更新)**] を選択するまで、変更は保存されません。

1.  アクセスする S3 バケットを有効にします。

1. (オプション) Athena 横串検索を有効にするには、使用する Lambda 関数を選択します。
**注記**  
Athena カタログの Lambda 関数は、Amazon Quick の同じリージョンでのみ表示できます。

1. [**Finish (完了)**] を選択し、変更を保存します。

   キャンセルするには、[**Cancel (キャンセル)**] を選択します。

1. セキュリティおよびアクセス許可の変更を保存するには、[**Update (更新)**] を選択します。

**接続認可設定をテストするには**

1. Amazon クイックスタートページから、**データセット**、**新しいデータセット**を選択します。

1. Athena カードを選択する。

1. 画面のプロンプトに従って、接続する必要のあるリソースを使用して新しい Athena データソースを作成します。[**Validate connection (接続を検証)**] を選択して、接続を検証します。

1. 接続が検証されると、Athena または Athena 横串検索の接続が設定されます。

   Athena データセットに接続したり、Athena クエリを実行したりするのに十分なアクセス許可がない場合、Amazon Quick 管理者に連絡するように指示するエラーが表示されます。このエラーは、不一致を見つけるために接続認可設定を再確認する必要があることを意味します。

1. 正常に接続できたら、ユーザーまたは Amazon Quick 作成者はデータソース接続を作成し、他の Amazon Quick 作成者と共有できます。その後、作成者は接続から複数のデータセットを作成し、Amazon Quick ダッシュボードで使用できます。

   Athena のトラブルシューティング情報については、[「Amazon Quick で Athena を使用する際の接続の問題](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-athena.html)」を参照してください。

## 信頼できる ID の伝播で Data API を使用する
<a name="athena-trusted-identity-propagation"></a>

信頼できる ID 伝達は、ユーザーの ID コンテキストに基づいて AWS リソースへのアクセスを AWS サービスに許可し、このユーザーの ID を他の AWS サービスと安全に共有します。これらの機能により、ユーザーアクセスをより簡単に定義、付与、記録できます。

管理者が Quick、Athena、Amazon S3 Access Grants、および IAM Identity Center AWS Lake Formation を設定すると、これらのサービス間で信頼できる ID の伝播を有効にし、ユーザーの ID をサービス間で伝播できるようになりました。IAM Identity Center ユーザーが Quick からデータにアクセスすると、Athena または Lake Formation は、組織の ID プロバイダーからのユーザーまたはグループのメンバーシップに定義されたアクセス許可を使用して、承認を決定できます。

Athena による信頼できる ID の伝播は、アクセス許可が Lake Formation を通じて管理されている場合にのみ機能します。データレジデンシーへのユーザーアクセス許可は Lake Formation にあります。

### 前提条件
<a name="athena-trusted-identity-propagation-prerequisites"></a>

開始する前に、次の前提条件を満たしていることを確認してください。

**重要**  
次の前提条件を完了すると、IAM Identity Center インスタンス、Athena ワークグループ、Lake Formation、Amazon S3 Access Grants がすべて同じ AWS リージョンにデプロイされる必要があることに注意してください。
+ IAM アイデンティティセンターでクイックアカウントを設定します。信頼できる ID の伝播は、IAM アイデンティティセンターと統合されたクイックアカウントでのみサポートされます。詳細については、「[IAM Identity Center で Amazon Quick アカウントを設定する](setting-up-sso.md#sec-identity-management-identity-center)」を参照してください。
**注記**  
Athena データソースを作成するには、IAM Identity Center を使用するクイックアカウントの IAM Identity Center ユーザー (作成者) である必要があります。
+ IAM アイデンティティセンターが有効な Athena ワークグループ 使用する Athena ワークグループは、クイックアカウントと同じ IAM Identity Center インスタンスを使用している必要があります。Athena ワークグループの設定の詳細については、「*Amazon Athena ユーザーガイド*」の「[IAM アイデンティティセンターが有効な Athena ワークグループの作成](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)」を参照してください。
+ Athena クエリ結果バケットへのアクセスは、Amazon S3 Access Grants で管理されます。詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 Access Grants でのアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)」を参照してください。クエリ結果が AWS KMS キーで暗号化されている場合、Amazon S3 Access Grant IAM ロールと Athena ワークグループロールの両方に アクセス許可が必要です AWS KMS。
  + 詳細については、「Amazon S3 ユーザーガイド」の「[Amazon S3 Access Grants と社内ディレクトリのアイデンティティ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)」を参照してください。
  + Amazon S3 Access Grant ロールには、ID 伝播の信頼ポリシーに `STS:SetContext` アクションが必要です。例については、「Amazon S3 ユーザーガイド」の「[ロケーションを登録する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html)」を参照してください。
+ データへのアクセス許可は Lake Formation で管理し、Lake Formation は Quick および Athena ワークグループと同じ IAM Identity Center インスタンスで設定する必要があります。設定情報については、「*AWS Lake Formation デベロッパーガイドガイド*」の「[Integrating IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)」を参照してください。
+ データレイク管理者は、Lake Formation の IAM アイデンティティセンターユーザーとグループにアクセス許可を付与する必要があります。詳細については、「*AWS Lake Formation デベロッパーガイド*」の「[Granting permissions to users and groups](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html)」を参照してください。
+ クイック管理者は、Athena への接続を承認する必要があります。詳細については、「[Amazon Athena への接続の認可](#athena)」を参照してください。信頼できる ID 伝達では、クイックロール Amazon S3 バケットのアクセス許可や AWS KMS アクセス許可を付与する必要はありません。Athena のワークグループへのアクセス許可を持つユーザーとグループを Amazon S3 Access Grants のアクセス許可を持つクエリ結果を保存する Amazon S3 バケットと同期させる必要があります。これにより、ユーザーは信頼できる ID を使用して Amazon S3 バケットでクエリを正常に実行し、クエリ結果を取得できます。

### 必要なアクセス許可を持つ IAM ロールを設定する
<a name="athena-trusted-identity-propagation-configure-role"></a>

Athena で信頼できる ID 伝達を使用するには、クイックアカウントに リソースにアクセスするために必要なアクセス許可が必要です。これらのアクセス許可を付与するには、アクセス許可を持つ IAM ロールを使用するようにクイックアカウントを設定する必要があります。

クイックアカウントで既にカスタム IAM ロールを使用している場合は、そのロールを変更できます。既存の IAM ロールがない場合は、「*IAM ユーザーガイド*」の「[IAM ユーザーのロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」の手順に従って作成してください。

作成または変更する IAM ロールには、次の信頼ポリシーとアクセス許可が含まれている必要があります。

#### 必要な信頼ポリシー
<a name="athena-trusted-identity-propagation-configure-role-trust-policy"></a>

IAM ロールの信頼ポリシーの更新については、「[ロール信頼ポリシーを更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)」を参照してください。

#### 必要な Athena のアクセス許可
<a name="athena-trusted-identity-propagation-configure-role-permissions"></a>

IAM ロールの信頼ポリシーの更新については、「[ロールに対するアクセス許可を更新する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html)」を参照してください。

**注記**  
`Resource` は `*` ワイルドカードを使用します。Quick で使用する Athena リソースのみを含めるように更新することをお勧めします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### IAM ロールを使用するようにクイックアカウントを設定する
<a name="athena-trusted-identity-propagation-configure-role"></a>

前のステップで IAM ロールを設定したら、それを使用するようにクイックアカウントを設定する必要があります。それを行う方法については、「[Quick での既存の IAM ロールの使用](security-create-iam-role.md#security-create-iam-role-use)」を参照してください。

### で ID 伝達設定を更新する AWS CLI
<a name="athena-trusted-identity-propagation-update-config"></a>

Quick がエンドユーザー ID を Athena ワークグループに伝達することを許可するには、 から次の `update-identity-propagation-config` API を実行し AWS CLI、次の値を置き換えます。
+ *us-west-2* を IAM Identity Center インスタンスがある AWS リージョンに置き換えます。
+ *111122223333* を自分の AWS アカウント ID に置き換えます。

```
aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333
```

### Quick で Athena データセットを作成する
<a name="athena-trusted-identity-propagation-create-dataset"></a>

次に、接続する IAM Identity Center が有効な Athena ワークグループで設定された Quick で Athena データセットを作成します。Athena データセットの作成方法の詳細については、「[Amazon Athena データを使用したデータセットの作成](create-a-data-set-athena.md)」を参照してください。

### 主なコールアウト、考慮事項、制限
<a name="athena-trusted-identity-propagation-callouts-considerations"></a>

次のリストには、Quick と Athena で信頼できる ID 伝達を使用する場合の重要な考慮事項が含まれています。
+ 信頼できる ID 伝達を使用するクイック Athena データソースには、IAM Identity Center エンドユーザーおよびユーザーが属する可能性のある IAM Identity Center グループに対して評価される Lake Formation アクセス許可があります。
+ 信頼できる ID 伝播を使用する Athena データソースを使用する場合は、Lake Formation で微調整されたアクセスコントロールを実行することをお勧めします。ただし、Quick のスコープダウンポリシー機能を使用する場合、スコープダウンポリシーはエンドユーザーに対して評価されます。
+ 信頼できる ID 伝播を使用するデータソースとデータセットでは、SPICE データセット、データソースのカスタム SQL、しきい値アラート、E メールレポート、Q トピック、ストーリー、シナリオ、CSV、Excel、PDF エクスポート、異常検出の機能が無効になっています。
+ レイテンシーやタイムアウトが高い場合は、多数の IAM アイデンティティセンターグループ、Athena データベース、テーブル、Lake Formation ルールの組み合わせが原因である可能性があります。必要な数のリソースのみを使用することをお勧めします。

# データアクセス統合
<a name="data-access-integrations"></a>

Amazon Quick のデータアクセス統合により、外部データソースへの安全な接続が確立されます。ナレッジベースを作成するための基盤として機能します。アクションを実行するアクションコネクタとは異なり、データアクセス統合は、サードパーティーのアプリケーションやサービスからのコンテンツへのアクセスとインデックス作成に重点を置いています。

データアクセス統合は認証のみを設定し、サービスのプロジェクトまたは組織を指します。分析や AI エージェントに直接使用することはできません。データにアクセスできるようにするには、接続されたナレッジベースを作成する必要があります。

## データアクセス統合の仕組み
<a name="data-access-integrations-overview"></a>

データアクセス統合は、認証を設定し、サードパーティーのサービス組織またはプロジェクトへの接続を確立します。これらの統合を分析に直接使用することはできません。AI エージェント、チャットインターフェイス、スペースがデータにアクセスできるようにするには、データアクセス統合に接続されたナレッジベースを作成する必要があります。

データアクセス統合とナレッジベースの関係はone-to-manyです。
+ 1 つのデータアクセス統合で複数のナレッジベースをサポートできます。
+ 各ナレッジベースは、接続されたデータソースから特定のコンテンツを選択します。
+ ナレッジベースは、親データアクセス統合から認証とアクセス許可を継承します。

## データアクセス統合を作成する
<a name="data-access-integrations-create"></a>

ナレッジベース作成の認証と接続の詳細を確立するデータアクセス統合を作成するには、次の手順に従います。次の例は、Microsoft OneDrive データアクセス統合を設定するプロセスを示していますが、一般的な手順は他のデータアクセス統合に適用されます。

**データアクセス統合を作成するには**

1. ページの新しい統合エリアのセットアップまでスクロールします。統合とナレッジベースを作成するアプリケーションを見つけます。「OneDrive」を選択します。
**注記**  
統合ページにはデフォルトでナレッジベースタブがあり、他のユーザーによって設定され、共有されている既存のナレッジベースがある場合があります。以前に統合をセットアップしたことがある場合は、データタブをチェックし、アクションメニューを使用してそこからナレッジベースを作成します。

1. アプリケーションのプラス (\$1) アイコンボタンを選択して、新しい統合とナレッジベースを作成します。

1. Microsoft OneDrive からデータを取り込む オプションを選択し、次へ ボタンをクリックします。
**注記**  
一部のアプリケーション統合では、データの取り込みと読み取り/書き込みアクションがサポートされています。セットアップは、それぞれ異なります。アクションを設定するには、管理者からの詳細な情報が必要です。

1. 認証プロセスを完了します。

   1. Microsoft OneDrive のサインインポップアップが自動的に表示されます。そうでない場合は、Microsoft OneDrive にサインインボタンをクリックします。

   1. Amazon 認証情報を使用してサインインします。

   1. 成功バナーが表示されるまで待ちます。

   1. 「次へ」ボタンをクリックします。

1. OneDrive のファイルピッカーを使用してナレッジベースに取り込むデータを選択し、追加ボタンをクリックします。

1. ナレッジベースに名前と説明 (オプション) を入力し、作成をクリックします。

1. トーストが正常に通知され、データの取り込みと同期が開始されます。

1. 取り込まれるファイルの数によっては、データの同期に数分かかる場合があります。ステータス列は、使用可能に変わる準備ができるまで、同期ステータスのままになります。

1. ナレッジベースの準備ができたら、チャットを使用して質問し、操作します。
**注記**  
デフォルトでは、チャットは、アクセスできる「すべてのデータとアプリ」を使用し、ユーザーに代わって設定されます。単一のナレッジベースとチャットする場合は、チャットデータピッカーでナレッジベースを選択します。
**注記**  
ナレッジベースをスペースにアタッチするには、スペースに移動して追加します。

正常に作成されると、データアクセス統合が統合リストに表示されます。この統合を使用して、接続されたデータソースからコンテンツにアクセスしてインデックスを作成するナレッジベースを作成できるようになりました。

**注記**  
各データソースに固有の詳細な設定手順については、「」を参照してください[サポートされている統合](supported-integrations.md)。

## サポートされているデータソース
<a name="data-access-integrations-supported-sources"></a>

Amazon Quick は、以下のアプリケーションおよびサービスとのデータアクセス統合をサポートしています。これらの統合により、外部データソースからナレッジベースを作成できます。
+ **Amazon S3** - AWS 認証情報を使用して S3 バケットに保存されているドキュメントとファイルにアクセスします。
+ **Atlassian Confluence** - ユーザー認証またはサービス認証を使用してページ、スペース、添付ファイルをインデックス化します。
+ **Google Drive** - OAuth 2.0 認証を使用して個人用ドライブと共有ドライブに接続します。
+ **Microsoft OneDrive** - ユーザー認証またはサービス認証を使用して OneDrive for Business コンテンツにアクセスします。
+ **Microsoft SharePoint** - OAuth 2.0 認証を使用して SharePoint Online および Server のコンテンツのインデックスを作成します。
+ **ウェブクローラー** - 基本認証またはフォーム/SAML 認証を使用して、内部ウェブサイトと外部ウェブサイトのコンテンツのインデックスを作成します。

各データソースは、さまざまな認証方法とコンテンツアクセス機能をサポートしています。データアクセス統合とナレッジベースの関係は one-to-manyです。1 つの統合で複数のナレッジベースをサポートでき、それぞれが接続されたデータソースから特定のコンテンツを選択できます。

## データソースカテゴリ
<a name="data-access-integrations-categories"></a>

データアクセス統合は、コンテンツのタイプとアクセスパターンに基づいて、次のカテゴリに分類されます。

**クラウドストレージとファイルシステム**  
+ AWS S3 - S3 バケットに保存されているドキュメントとファイルにアクセスします。
+ Google Drive - 個人用ドライブと共有ドライブのインデックスコンテンツ。
+ Microsoft OneDrive - OneDrive for Business コンテンツに接続します。

**コンテンツ管理システム**  
+ Atlassian Confluence - ページ、スペース、添付ファイルにアクセスします。
+ Microsoft SharePoint - SharePoint Online と Server のコンテンツのインデックスを作成します。

**ウェブコンテンツ**  
+ Web Crawler - 内部ウェブサイトと外部ウェブサイトのコンテンツのインデックスを作成します。

### 認証とセキュリティ
<a name="data-access-integrations-authentication"></a>

データアクセス統合では、安全な認証方法を使用してデータを保護し、アクセスコントロールを維持します。認証方法は、特定のデータソースと組織のセキュリティ要件によって異なります。

**OAuth 認証**  
ほとんどのクラウドベースの統合 (Google Drive、OneDrive、Confluence Cloud) は、OAuth 2.0 を使用して安全なトークンベースの認証を行います。この方法では、Amazon Quick は認証情報を保存せずにデータにアクセスできます。

**サービスアカウントの認証**  
エンタープライズ統合では、プログラムによるアクセスにサービスアカウントを使用する場合があります。この方法は、 AWS S3 およびその他のインフラストラクチャベースのデータソースで一般的です。

**認証なし**  
パブリックウェブサイトにアクセスするウェブクローラーなどの一部の統合では、認証を必要としない場合があります。ただし、アクセスコントロールは Amazon Quick のアクセス許可に基づいて引き続き適用されます。

**注記**  
認証要件と使用可能な方法は、ユーザー層によって異なります。閲覧者は、作成者と比較して認証オプションが限られている場合があります。

### アクセスコントロールとアクセス許可
<a name="data-access-integrations-permissions"></a>

データアクセス統合は、複数のレベルでアクセスコントロールを適用することでセキュリティを維持します。ユーザーがナレッジベースを介してコンテンツをクエリすると、Amazon Quick は表示するアクセス許可を持つコンテンツにのみアクセスできるようにします。
+ **ソースレベルのアクセス許可** - ユーザーは、ソースシステム (Google Drive、SharePoint など) で適切なアクセス許可を持っている必要があります。
+ **統合レベルのアクセス許可** - 統合自体へのアクセスは、Amazon Quick のアクセス許可によって制御されます。
+ **ナレッジベースのアクセス許可** - 個々のナレッジベースは、独自のアクセスコントロールを持つことができます。
+ **エンティティレベルのアクセスコントロール** - ユーザーがコンテンツをクエリすると、Amazon Quick は各ドキュメントまたは項目のアクセス許可を検証します。

### 主な機能と機能
<a name="data-access-integrations-features"></a>

データアクセス統合には、データ統合エクスペリエンスを向上させるためのいくつかの機能があります。
+ **リアルタイム同期** - ソースシステムで変更が発生すると、コンテンツは自動的に更新されます。
+ **選択的インデックス作成** - ナレッジベースに含める特定のフォルダ、サイト、またはコンテンツタイプを選択します。
+ **コンテンツタイプのサポート** - ドキュメント、スプレッドシート、プレゼンテーション、ウェブページなど、さまざまなファイル形式のインデックスを作成します。
+ **メタデータの保存** - 作成日、作成者、タグなどの重要なメタデータを維持します。
+ **自然言語クエリ** - インデックス付きコンテンツ全体で AI を活用した検索と質問への回答を有効にします。

### [開始する前に]
<a name="data-access-integrations-prerequisites"></a>

データアクセス統合を作成する前に、次の要件が設定されていることを確認してください。
+ **Amazon Quick permissions** - 統合を作成および管理するための作成者または管理者ロール。
+ **ソースシステムアクセス** - ターゲットシステム内の適切なアクセス許可 (一部の統合では管理アクセスが必要になる場合があります）。
+ **認証認証情報** - ターゲットシステムの有効な認証情報またはサービスアカウント。
+ **ネットワーク接続** - Amazon Quick がデータソースにアクセスできることを確認します。ネットワーク要件は統合タイプによって異なります。
  + **ナレッジベース** - VPC 接続をサポートしていません。データソースは、パブリックインターネット経由でアクセスできる必要があります。
  + **アクションコネクタ** - VPC 内のリソースサーバーの VPC 接続をサポートします。ただし、認証サーバーはパブリックにアクセス可能である必要があります。