确保指标查询安全

Amazon Managed Service for Prometheus 提供了帮助您保护指标查询的方法。

将 AWS PrivateLink 与 Amazon Managed Service for Prometheus 配合使用

在 Amazon Managed Service for Prometheus 中查询指标的网络流量可以通过公共 Internet 终端节点完成，也可以借助 AWS PrivateLink 通过 VPC 终端节点完成。使用 AWS PrivateLink 时，可确保来自您 VPC 的网络流量在 AWS 网络中受到保护，而无需通过公共 Internet 完成。要为 Amazon Managed Service for Prometheus 创建 AWS PrivateLink VPC 端点，请参阅将 Amazon Managed Service for Prometheus 与接口 VPC 终端节点结合使用。

身份验证和授权

AWS Identity and Access Management 是一种 Web 服务，可以帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。Amazon Managed Service for Prometheus 与 IAM 集成，可帮助您保护数据安全。当设置 Amazon Managed Service for Prometheus 时，您需要创建一些 IAM 角色，让 Grafana 服务器能够查询存储在 Amazon Managed Service for Prometheus 工作区中的指标。有关 IAM 的更多信息，请参阅什么是 IAM？。

另一项有助于您设置 Amazon Managed Service for Prometheus 的 AWS 安全功能是 AWS 签名版本 4 签名流程（AWS SigV4）。签名版本 4 是将身份验证信息添加到通过 HTTP 发送的 AWS 请求的流程。出于安全考虑，大多数 AWS 请求都必须使用访问密钥（包括访问密钥 ID 和秘密访问密钥）进行签名。这两个密钥通常称为您的安全凭证。有关 SigV4 的更多信息，请参阅签名版本 4 签名流程。