@emikitani さん、ご質問ありがとうございます。
ご参照いただいているドキュメントにも記載がございます通り、Quick SightのVPCエンドポイントはQuick Sightのウェブサイト(<region>.quicksight.aws.amazon.com)への通信をPrivateLink経由で提供するものとなります。
そのため、その他の通信についてはこちらに記載がございます通りパブリックネットワーク経由もしくはVPCエンドポイント経由(signin、s3)で通信を行う必要がございます。
オンプレミス拠点でプロキシサーバーなどを作成し、インターネット経由の
*.cloudfront.net通信のみを許可する必要があるのではないかと考えています。
よってこちらはご認識の通りでございます。
現状Quick Sightでは完全閉域を実現することは叶いませんが、VPCエンドポイントおよびエンドポイントポリシーの利用により、組織外のQuick Sightアカウントへのアクセスの禁止や、自組織のQuick SightアカウントへのアクセスをVPC経由に限定するといった、追加のセキュリティを実現できるメリットも併せてご検討いただけますと幸いです。どうぞよろしくお願いいたします。