Schnittstellen-VPC-Endpunkte - Amazon Managed Grafana
Verwendung von Amazon Managed Grafana mit Schnittstellen-VPC-EndpunktenEinen VPC-Endpunkt erstellen, um eine AWS PrivateLink Verbindung zu Amazon Managed Grafana herzustellen Verwenden Sie die Netzwerkzugriffskontrolle, um den Zugriff auf Ihren Grafana-Arbeitsbereich zu beschränkenSteuern des Zugriffs auf Ihren VPC-Endpunkt der Amazon Managed Grafana-API mit einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schnittstellen-VPC-Endpunkte

Wir bieten AWS PrivateLink Support zwischen Amazon VPC und Amazon Managed Grafana. Sie können den Zugriff auf den Amazon Managed Grafana-Service von den Virtual Private Cloud (VPC) -Endpunkten aus steuern, indem Sie eine IAM-Ressourcenrichtlinie für Amazon VPC-Endpunkte anhängen.

Amazon Managed Grafana unterstützt zwei verschiedene Arten von VPC-Endpunkten. Sie können eine Verbindung zum Amazon Managed Grafana-Service herstellen und so Zugriff auf Amazon Managed Grafana APIs zur Verwaltung von Workspaces gewähren. Oder Sie können einen VPC-Endpunkt für einen bestimmten Workspace erstellen.

Verwendung von Amazon Managed Grafana mit Schnittstellen-VPC-Endpunkten

Es gibt zwei Möglichkeiten, VPC-Endpunkte mit Amazon Managed Grafana zu verwenden. Sie können einen VPC-Endpunkt verwenden, um AWS Ressourcen wie EC2 Amazon-Instances den Zugriff auf die Amazon Managed Grafana-API zur Verwaltung von Ressourcen zu ermöglichen, oder Sie können einen VPC-Endpunkt verwenden, um den Netzwerkzugriff auf Ihre Amazon Managed Grafana-Workspaces zu beschränken.

  • Wenn Sie Amazon VPC zum Hosten Ihrer AWS -Ressourcen verwenden, können Sie mithilfe des Endpunkts für den com.amazonaws.region.grafana Servicenamen eine private Verbindung zwischen Ihrer VPC und der Amazon Managed Grafana-API herstellen.

  • Wenn Sie versuchen, mithilfe der Netzwerkzugriffskontrolle die Sicherheit Ihres Amazon Managed Grafana-Workspace zu erhöhen, können Sie mithilfe des Service Name-Endpunkts eine private Verbindung zwischen Ihrer VPC und dem Grafana-Workspaces-Endpunkt herstellen. com.amazonaws.region.grafana-workspace

Amazon VPC ist eine AWS-Service , die Sie verwenden können, um AWS -Ressourcen in einem von Ihnen definierten virtuellen Netzwerk auszuführen. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit Ihrer Amazon Managed Grafana-API zu verbinden, definieren Sie einen Schnittstellen-VPC-Endpunkt. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon Managed Grafana, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

Schnittstellen-VPC-Endpunkte werden über bereitgestellt AWS PrivateLink, eine AWS -Technologie, die eine private Kommunikation AWS-Services unter Verwendung einer elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter Neu — AWS PrivateLink für AWS Dienste.

Informationen zu ersten Schritten mit Amazon VPC finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.

Einen VPC-Endpunkt erstellen, um eine AWS PrivateLink Verbindung zu Amazon Managed Grafana herzustellen

Erstellen Sie einen VPC-Schnittstellen-Endpunkt zu Amazon Managed Grafana mit einem der folgenden Servicenamen-Endpunkte:

  • Um eine Verbindung zur Amazon Managed Grafana-API zur Verwaltung von Workspaces herzustellen, wählen Sie:

    com.amazonaws.region.grafana.

  • Um eine Verbindung zu einem Amazon Managed Grafana-Workspace herzustellen (z. B. um die Grafana-API zu verwenden), wählen Sie:

    com.amazonaws.region.grafana-workspace

Einzelheiten zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter Erstellen eines Schnittstellen-VPC-Endpunkts im Amazon VPC Benutzerhandbuch.

Um Grafana aufzurufen APIs, müssen Sie auch privates DNS für Ihren VPC-Endpunkt aktivieren, indem Sie den Anweisungen im Amazon VPC-Benutzerhandbuch folgen. Dies ermöglicht die lokale Auflösung von in der Form URLs *.grafana-workspace.region.amazonaws.com

Verwenden Sie die Netzwerkzugriffskontrolle, um den Zugriff auf Ihren Grafana-Arbeitsbereich zu beschränken

Wenn Sie einschränken möchten, welche IP-Adressen oder VPC-Endpunkte für den Zugriff auf einen bestimmten Grafana-Workspace verwendet werden können, können Sie die Netzwerkzugriffskontrolle für diesen Workspace konfigurieren.

Für VPC-Endpoints, denen Sie Zugriff auf Ihren Workspace gewähren, können Sie deren Zugriff weiter einschränken, indem Sie Sicherheitsgruppen für die Endpoints konfigurieren. Weitere Informationen finden Sie unter Sicherheitsgruppen zuordnen und Sicherheitsgruppenregeln in der Amazon VPC-Dokumentation.

Steuern des Zugriffs auf Ihren VPC-Endpunkt der Amazon Managed Grafana-API mit einer Endpunktrichtlinie

Für VPC-Endpunkte, die über die Amazon Managed Grafana-API (mithilfecom.amazonaws.region.grafana) verbunden sind, können Sie eine VPC-Endpunktrichtlinie hinzufügen, um den Zugriff auf den Service einzuschränken.

Anmerkung

VPC-Endpunkte, die mit Workspaces verbunden sind (übercom.amazonaws.region.grafana-workspace), unterstützen keine VPC-Endpunktrichtlinien.

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-identitätsbasierte Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Endpunktrichtlinien müssen im JSON-Format erstellt werden.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Service mit VPC-Endpunkten im Amazon VPC Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon Managed Grafana. Diese Richtlinie ermöglicht es Benutzern, die sich über die VPC mit Amazon Managed Grafana verbinden, Daten an den Amazon Managed Grafana-Service zu senden. Es verhindert auch, dass sie andere Amazon Managed Grafana-Aktionen ausführen. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
So bearbeiten Sie die VPC-Endpunktrichtlinie für Grafana

  1. Öffnen Sie die Amazon-VPC-Konsole unter VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Sofern Sie noch keine Endpunkte erstellt haben, wählen Sie Create Endpunkt (Endpunkt erstellen).

  4. Wählen Sie den com.amazonaws.region.grafana Endpunkt und dann die Registerkarte Richtlinie aus.

  5. Klicken Sie auf Edit Policy (Richtlinie bearbeiten) und nehmen Sie Ihre Änderungen vor.