メトリクスのクエリを保護する

Amazon Managed Service for Prometheus には、メトリクスのクエリの実行を保護するための手段が用意されています。

Amazon Managed Service for Prometheus での AWS PrivateLink の使用

Amazon Managed Service for Prometheus のメトリクスにクエリを実行するためのネットワークトラフィックは、パブリックインターネットエンドポイントを経由することも、AWS PrivateLink を通じて VPC エンドポイントを経由することもできます。AWS PrivateLink を使用すると、VPC からのネットワークトラフィックはパブリックインターネットを経由せず、AWS のネットワーク内で保護されます。Amazon Managed Service for Prometheus 用の AWS PrivateLink VPC エンドポイントを作成するには、「インターフェイス VPC エンドポイントでの Amazon Managed Service for Prometheus の使用」を参照してください。

認証と認可

AWS Identity and Access Management は、AWS リソースへのアクセスを安全に制御するためのウェブサービスです。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。Amazon Managed Service for Prometheus は IAM と統合されているため、データを安全に保つことができます。Amazon Managed Service for Prometheus をセットアップするときは、Amazon Managed Service for Prometheus ワークスペースに保存されたメトリクスに対して Grafana サーバーからクエリを実行できるようにする IAM ロールを作成する必要があります。IAM の詳細については、「IAM とは」を参照してください。

Amazon Managed Service for Prometheus のセットアップに役立つもう 1 つの AWS のセキュリティ機能として、AWS Signature Version 4 の署名プロセス (AWS SigV4) があります。Signature Version 4 は、HTTP で送信される AWS リクエストに認証情報を追加するプロセスです。セキュリティ対策として、AWS へのほとんどのリクエストは、アクセスキーを使用して署名する必要があります。アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これらの 2 つのキーは、一般的にセキュリティ認証情報と呼ばれます。SigV4 の詳細については、「Signature Version 4 の署名プロセス」を参照してください。