翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# インターフェイス VPC エンドポイントでの Amazon Managed Service for Prometheus の使用
<a name="AMP-and-interface-VPC"></a>

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合は、VPC と Amazon Managed Service for Prometheus 間のプライベート接続を確立できます。これらの接続を使用すると、Amazon Managed Service for Prometheus はパブリックインターネットを経由せずに VPC のリソースと通信できます。

Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS サービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を Amazon Managed Service for Prometheus に接続するには、VPC を AWS のサービスに接続するためのインターフェイス VPC エンドポイント**を定義します。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とすることなく、Amazon Managed Service for Prometheus へのスケーラブルで信頼性の高い接続を提供します。詳細については、「Amazon VPC ユーザーガイド**」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/)」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink、プライベート IP アドレスを持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーを利用しています。詳細については、[「New – AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/)」ブログ記事を参照してください。

以下の情報は Amazon VPC ユーザーを対象としています。詳細については、「Amazon VPC ユーザーガイド**」の「[開始方法](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)」を参照してください。

## Amazon Managed Service for Prometheus 用のインターフェイス VPC エンドポイントの作成
<a name="create-VPC-endpoint-for-AMP"></a>

インターフェイス VPC エンドポイントを作成して、Amazon Managed Service for Prometheus の使用を開始します。次のいずれかのサービス名エンドポイントを選択します。
+ `com.amazonaws.{{region}}.aps-workspaces`

  Prometheus 互換 API を使用するには、このサービス名を選択します。詳細については、「Amazon Managed Service for Prometheus ユーザーガイド**」の「[Prometheus 互換 API](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-APIReference.html#AMP-APIReference-Prometheus-Compatible-Apis)」を参照してください。
+ `com.amazonaws.{{region}}.aps`

  ワークスペースの管理タスクを実行するには、このサービス名を選択します。詳細については、「Amazon Managed Service for Prometheus ユーザーガイド**」の「[Amazon Managed Service for Prometheus API](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-APIReference.html#AMP-APIReference-AMPApis)」を参照してください。

**注記**  
直接インターネットアクセスのない VPC で remote\_write を使用している場合は、sigv4 がエンドポイントを経由できるように AWS Security Token Service、 のインターフェイス VPC エンドポイントも作成する必要があります。の VPC エンドポイントの作成の詳細については AWS STS、「 *AWS Identity and Access Management *[AWS STS ユーザーガイド」の「インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html)の使用」を参照してください。[リージョン化されたエンドポイント](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)を使用する AWS STS ように を設定する必要があります。

インターフェイス VPC エンドポイントの作成手順を含む詳細については、「Amazon VPC ユーザーガイド**」の「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。

**注記**  
**VPC エンドポイントポリシー**を使用すると、Amazon Managed Service for Prometheus インターフェイス VPC エンドポイントへのアクセスを制御できます。詳細については、次のセクションを参照してください。

Amazon Managed Service for Prometheus のインターフェイス VPC エンドポイントを作成済みで、VPC に配置されたワークスペースに既にデータが流れている場合、メトリクスはデフォルトでインターフェイス VPC エンドポイントを通じて送信されます。Amazon Managed Service for Prometheus は、パブリックエンドポイントまたはプライベートインターフェイスエンドポイント (どちらか使用中のもの) を使用してこのタスクを実行します。

### Amazon Managed Service for Prometheus VPC エンドポイントへのアクセスの制御
<a name="AMP-VPC-endpoint-policy"></a>

VPC エンドポイントポリシーを使用すると、Amazon Managed Service for Prometheus インターフェイス VPC エンドポイントへのアクセスを制御できます。VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントに加える IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーが Amazon VPC によって自動的にアタッチされます。エンドポイントポリシーは、IAM アイデンティティベースのポリシーやサービス固有のポリシーを上書きしたり置き換えたりするものではありません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

詳細については、「Amazon VPC ユーザーガイド**」の「[VPC エンドポイントによるサービスのアクセス制御](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。

Amazon Managed Service for Prometheus のエンドポイントポリシーの例を次に示します。このポリシーは、`PromUser` というロールを持ち、VPC 経由で Amazon Managed Service for Prometheus に接続するユーザーに、ワークスペースとルールグループの表示を許可しますが、例えば、ワークスペースの作成や削除は許可しません。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonManagedPrometheusPermissions",
            "Effect": "Allow",
            "Action": [
                "aps:DescribeWorkspace",
                "aps:DescribeRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespaces",
                "aps:ListWorkspaces"
            ],
            "Resource": "arn:aws:aps:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/PromUser"
                ]
            }
        }
    ]
}
```

------

次の例は、指定した VPC 内の指定した IP アドレスから送信されたリクエストのみが成功するように許可するポリシーを示しています。他の IP アドレスからのリクエストは失敗します。

```
{
    "Statement": [
        {
            "Action": "aps:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}
```