本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 确保指标查询安全
<a name="AMP-secure-querying"></a>

Amazon Managed Service for Prometheus 提供了帮助您保护指标查询的方法。

## 搭 AWS PrivateLink 配适用于 Prometheus 的亚马逊托管服务
<a name="AMP-secure-VPC"></a>

在适用于 Prometheus 的 Amazon 托管服务中查询指标的网络流量可以通过公共互联网终端节点完成，也可以通过 VPC 终端节点通过。 AWS PrivateLink当你使用时 AWS PrivateLink，来自你的 VPCs 网络流量可以在 AWS 网络中得到保护，而无需通过公共互联网。要为适用于 Prometheus 的亚马逊托管服务创建 VP AWS PrivateLink C 终端节点，请参阅。[将 Amazon Managed Service for Prometheus 与接口 VPC 终端节点结合使用](AMP-and-interface-VPC.md)

## 身份验证和授权
<a name="AMP-secure-auth"></a>

AWS Identity and Access Management 是一项 Web 服务，可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。Amazon Managed Service for Prometheus 与 IAM 集成，可帮助您保护数据安全。当设置 Amazon Managed Service for Prometheus 时，您需要创建一些 IAM 角色，让 Grafana 服务器能够查询存储在 Amazon Managed Service for Prometheus 工作区中的指标。有关 IAM 的更多信息，请参阅[什么是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。

另一项可以帮助您为 Prometheus 设置亚马逊托管服务的 AWS 安全功能是 AWS 签名版本 4 签名流程 (Sigv4)。AWS 签名版本 4 是向 HTTP 发送的 AWS 请求添加身份验证信息的过程。为了安全起见，对的大多数请求都 AWS 必须使用访问密钥进行签名，访问密钥由访问密钥 ID 和私有访问密钥组成。这两个密钥通常称为您的安全凭证。有关 SigV4 的更多信息，请参阅[签名版本 4 签名流程](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。