セキュリティのベストプラクティス

このセクションのトピックでは、Amazon Managed Grafana デプロイのセキュリティを最も適切に維持するために従うべきベストプラクティスについて説明します。

有効期間の短い API キーを使用する

Amazon Managed Grafana ワークスペースで Grafana API を使用するには、まず認証に使用する API キーを作成する必要があります。キーを作成する際にキーの [有効期限] を指定しますが、これはキーが有効である期間 (最大 30 日間) を定義します。短時間 (数時間以下など) に設定することを強くお勧めします。これにより、長期間有効な API キーを持つ場合と比較してリスクが大幅に軽減されます。

また、API キーのセキュリティ保護の観点から、API キーはパスワードと同じように扱うことをお勧めします。例えば、プレーンテキストで保存しないでください。

自己管理型 Grafana からの移行

このセクションは、既存の自己管理型の Grafana または Grafana Enterprise デプロイを Amazon Managed Grafana に移行する場合に関連します。これは、オンプレミスの Grafana や、自分のアカウントで AWS に展開した Grafana の両方が対象です。

オンプレミスまたは自分の AWS アカウントで Grafana を実行している場合は、アクセスを管理するためにユーザーとチーム、場合によっては組織ロールを定義している可能性があります。Amazon Managed Grafana では、ユーザーとグループは Amazon Managed Grafana の外部から管理されるか、IAM Identity Center を使用または SAML 2.0 統合を介して ID プロバイダー (IdP) から直接管理されます。Amazon Managed Grafana では、ダッシュボードの閲覧権限など、タスクの実行に必要な特定の権限を割り当てることができます。Amazon Managed Grafana でのユーザー管理の詳細については、「Amazon Managed Grafana でワークスペース、ユーザー、ポリシーを管理する」を参照してください。

さらに、オンプレミスの Grafana を実行する場合、データソースにアクセスするために、長期間有効なキーまたはシークレット認証情報を使用しています。Amazon Managed Grafana に移行する際は、これらの IAM ユーザーを IAM ロールに置き換えることを強くお勧めします。例については、「CloudWatch をデータソースとして手動で追加する」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail ログ

インターフェイス VPC エンドポイント