現在完全に閉域で Quick Sight を利用することを検討中です。
以下の方法で、閉域環境から Quick Sight の利用が可能ではないかと考えました。
しかし、以下ドキュメントの「Domains accessed by Quick Sight」を見ると、Quick Sight コンソール表示時に CSS や JS などの静的アセットのダウンロードに必要な *.cloudfront.net は VPC エンドポイントがサポートされていないことが読み取れます。
これらの情報から、完全な閉域環境ではパブリックな環境と同じように Quick Sight を利用することが難しく、オンプレミス拠点でプロキシサーバーなどを作成し、インターネット経由の *.cloudfront.net 通信のみを許可する必要があるのではないかと考えています。
こちらの認識は正しいでしょうか?
この方法では使えない、他にも許可すべき通信があるなどの情報があれば教えてください。
@emikitani さん、ご質問ありがとうございます。
ご参照いただいているドキュメントにも記載がございます通り、Quick SightのVPCエンドポイントはQuick Sightのウェブサイト(<region>.quicksight.aws.amazon.com)への通信をPrivateLink経由で提供するものとなります。
そのため、その他の通信についてはこちらに記載がございます通りパブリックネットワーク経由もしくはVPCエンドポイント経由(signin、s3)で通信を行う必要がございます。
オンプレミス拠点でプロキシサーバーなどを作成し、インターネット経由の
*.cloudfront.net通信のみを許可する必要があるのではないかと考えています。
よってこちらはご認識の通りでございます。
現状Quick Sightでは完全閉域を実現することは叶いませんが、VPCエンドポイントおよびエンドポイントポリシーの利用により、組織外のQuick Sightアカウントへのアクセスの禁止や、自組織のQuick SightアカウントへのアクセスをVPC経由に限定するといった、追加のセキュリティを実現できるメリットも併せてご検討いただけますと幸いです。どうぞよろしくお願いいたします。
@emikitani さん、
蛇足ですが、以下Quick Sight Learning Seriesでも、Quick Sightの閉域接続に関する情報を日本語動画にて説明しておりますので、よろしければ合わせてご参考にしてください。