翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する
デフォルトでは、Amazon Managed Grafana ワークスペースからデータソースまたは通知チャネルへのトラフィックは、パブリックインターネット経由で流れます。このため、Amazon Managed Grafana ワークスペースがアクセスできるのは、パブリックにアクセス可能なサービスに限定されます。
**注記**
プライベート VPC を設定しておらず、Amazon Managed Grafana がパブリックにアクセス可能なデータソースに接続している場合、 を介して同じリージョンの一部 AWS のサービスに接続します AWS PrivateLink。CloudWatch 、Amazon Managed Service for Prometheus、 AWS X-Rayなどのサービスがこれに該当します。これらのサービスへのトラフィックは、パブリックインターネットに流れることはありません。
VPC内のプライベートなデータソースに接続する場合 (トラフィックを VPC にローカルに保持したい場合) は、Amazon Managed Grafana ワークスペースをこれらのデータソースが配置されている Amazon Virtual Private Cloud (Amazon VPC) に接続することができます。この VPC データソース接続を設定すると、すべてのトラフィックが VPC 経由で流れるようになります。
Virtual *Private Cloud* (VPC) は、 専用の仮想ネットワークです AWS アカウント。これは、他の仮想ネットワーク (他の VPC やパブリックインターネットを含む) から論理的に分離されます。Amazon VPC を使用して、 AWS クラウドで VPC を作成および管理します。Amazon VPC では、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。Amazon Managed Grafana データソースやその他のリソースを、VPC 内に作成できます。Amazon VPC の詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
**注記**
Amazon Managed Grafana ワークスペースを VPC の外部、別のネットワーク、またはパブリックインターネットのデータに接続する場合は、他のネットワークへのルーティングを追加する必要があります。VPC を別のネットワークに接続する方法については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[VPC を他のネットワークに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)」を参照してください。
## VPC 接続の仕組み
[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) では、環境を自由に管理でき、アプリケーションを接続するためのパブリックおよびプライベート*サブネット*の作成や、サービスやリソースへのアクセス権を管理するための*セキュリティグループ*を作成することができます。
VPC 内のリソースで Amazon Managed Grafana を使用するには、Amazon Managed Grafana ワークスペースのその VPC への接続を作成する必要があります。接続を設定すると、Amazon Managed Grafana はワークスペースをその VPC の各アベイラビリティーゾーン内の各提供されたサブネットに接続し、Amazon Managed Grafana ワークスペースとの間で送受信されるすべてのトラフィックは VPC を経由します。以下の図に、この接続の論理構成を視覚的に示します。
![\[Amazon Managed Grafana が複数のアベイラビリティゾーンにまたがるVPCに接続されているイメージ図。\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/grafana-vpc-connection.png)
Amazon Managed Grafana は、VPC (**2**) に接続するための接続 (**1**) をサブネット ([Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)、ENI) を使用) ごとに作成します。Amazon Managed Grafana VPC 接続は、VPC と Amazon Managed Grafana ワークスペース間のトラフィックを制御する一連のセキュリティグループ (**3**) に関連付けられています。アラートの送信先やデータソースの接続など、すべてのトラフィックは設定された VPC 経由でルーティングされます。別の VPC やインターネットにあるデータソースやアラート先 (**4**) に接続するには、他のネットワークと VPC の間に[ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) を作成します。
## VPC への接続を作成する
このセクションでは、既存の Amazon Managed Grafana ワークスペースから VPC に接続する手順について説明します。ワークスペースを作成する際にも、この手順と同じ内容を実行します。ワークスペース作成の詳細については、「[Amazon Managed Grafana ワークスペースを作成する](AMG-create-workspace.md)」を参照してください。
### 前提条件
以下は、既存の Amazon Managed Grafana ワークスペースから VPC への接続を確立するために必要な前提条件です。
+ Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。たとえば、 AWS 管理ポリシー を使用できます`AWSGrafanaAccountAdministrator`。
+ アカウントには、それぞれに 1 つの*プライベートサブネット*が設定された少なくとも 2 つのアベイラビリティーゾーンを持つ VPC 設定が必要です。VPC のサブネットとセキュリティグループの情報を把握しておく必要があります。
**注記**
[Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) と [Wavelength Zones](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) はサポートされていません。
`Tenancy` が `Dedicated` に[設定された VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) はサポートされません。
**重要**
Amazon Managed Grafana ワークスペースに接続されている各サブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。VPC サブネットの [IP 使用状況をモニタリング](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)するようにアラームを設定することを強くお勧めします。サブネットで使用可能な IP アドレスの数が 15 を下回ると、次の問題が発生する可能性があります。
追加の IP アドレスを解放するか、追加の IP アドレスを持つサブネットをアタッチするまで、ワークスペースの設定を変更できない
ワークスペースがセキュリティ更新プログラムやパッチを受信できない
まれに、ワークスペースが完全に使用できなくなることがあり、その結果、アラートが機能せず、ダッシュボードにアクセスできなくなる
+ データソースが設定されている既存の Amazon Managed Grafana ワークスペースを接続する場合は、Amazon Managed Grafana を VPC に接続する前に、それらのデータソースに接続ための VPC の設定を行っておくことをお勧めします。これには、 AWS PrivateLinkを介して接続される CloudWatch などのサービスも含まれます。これを行っていない場合、これらのデータソースへの接続が失われます。
+ VPC に他のネットワークへの複数のゲートウェイがすでにある場合は、複数のゲートウェイ間で DNS 解決を設定する必要があります。詳細については、「[ルート 53 リゾルバ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照してください。
### 既存の Amazon Managed Grafana ワークスペースから VPC に接続する
以下の手順では、既存の Amazon Managed Grafana ワークスペースに Amazon VPC データソース接続を追加する方法について説明します。
**注記**
Amazon VPC への接続を設定すると、IAM ロールが作成されます。Amazon Managed Grafana は VPC への接続を作成する際に、このロールを使用します。IAM ロールは、サービスリンクロールポリシー「`AmazonGrafanaServiceLinkedRolePolicy`」を使用します。サービスリンクロールの詳細については、「[Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可](using-service-linked-roles.md#slr-permissions)」を参照してください。
**既存の Amazon Managed Grafana ワークスペースから VPC に接続する方法**
1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana/home/)を開きます。
1. 左のナビゲーションペインの **[すべてのワークスペース]** を選択します。
1. VPC データソース接続を追加するワークスペースの名前を選択します。
1. [**ネットワークアクセス設定**] タブで、**アウトバウンド VPC 接続**の横にある [**編集**] を選択して VPC 接続を作成します。
1. 接続する **VPC** を選択します。
1. **マッピング**で、使用するアベイラビリティーゾーンを選択します。少なくとも 2 つ選択する必要があります。
1. 各アベイラビリティーゾーンで少なくとも 1 つの*プライベートサブネット*を選択します。サブネットは IPv4 形式である必要があります。
1. VPC に少なくとも 1 つの**セキュリティグループ**を選択します。最大 5 つのセキュリティグループを指定できます。または、この接続に適用するセキュリティグループを作成することもできます。
1. 設定を完了するには、[**変更の保存**] を選択します。
VPC 接続の設定が完了したので、その VPC から Amazon Managed Grafana ワークスペースにアクセス可能な [データソースに接続する](AMG-data-sources.md) を追加できます。
**アウトバウンド VPC 設定内容の変更**
設定内容を変更するには、ワークスペース設定の **[ネットワークアクセス設定]** タブに戻るか、[UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API を使用します。
**重要**
VPC 設定の管理は、Amazon Managed Grafana が行います。これらの VPC 設定の編集は、Amazon EC2 コンソールまたは API からは行わないでください。設定が同期されなくなります。