本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon Managed Service for Prometheus 和介面 VPC 端點
如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC 與 Amazon Managed Service for Prometheus 之間建立私有連線。您可以使用這些連線來啟用 Amazon Managed Service for Prometheus 與 VPC 資源溝通而不經歷公有網際網路。
Amazon VPC 是一項 AWS 服務,可用來在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連接到 Amazon Managed Service for Prometheus,您會定義*介面 VPC 端點*以將 VPC 連接到 AWS 服務。端點提供 Amazon Managed Service for Prometheus 的可靠、可擴展連線,但不需要網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[什麼是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)。
介面 VPC 端點採用 AWS PrivateLink技術,這項 AWS 技術可使用具有私有 IP 地址的彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱 [New – AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) 部落格文章。
以下資訊適用於 Amazon VPC 的使用者。如需開始使用 Amazon VPC 的詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。
## 為 Amazon Managed Service for Prometheus 建立介面 VPC 端點
建立介面 VPC 端點,以開始使用 Amazon Managed Service for Prometheus。您可以從以下服務名稱端點中選擇:
+ `com.amazonaws.{{region}}.aps-workspaces`
選擇此服務名稱,即可使用與 Prometheus 相容的 API。如需詳細資訊,請參閱《*Amazon Managed Service for Prometheus 使用者指南*》中的[與 Prometheus 相容 API](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-APIReference.html#AMP-APIReference-Prometheus-Compatible-Apis)。
+ `com.amazonaws.{{region}}.aps`
選擇此服務名稱可執行工作區管理任務。如需詳細資訊,請參閱《*Amazon Managed Service for Prometheus 使用者指南*》中的 [Amazon Managed Service for Prometheus API](https://docs.aws.amazon.com/prometheus/latest/userguide/AMP-APIReference.html#AMP-APIReference-AMPApis)。
**注意**
如果您在沒有直接網際網路存取的 VPC 中使用 remote\_write,您還必須為 建立介面 VPC 端點 AWS Security Token Service,以允許 sigv4 透過端點運作。如需建立 VPC 端點的相關資訊 AWS STS,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用 AWS STS 介面 VPC 端點](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html)。您必須 AWS STS 將 設定為使用[區域化端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sts-regionalized-endpoints.html)。
如需詳細資訊,包括建立介面 VPC 端點的逐步指示,請參閱《*Amazon VPC 使用者指南*》中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。
**注意**
您可以使用 **VPC 端點政策**來控制 Amazon Managed Service for Prometheus 介面 VPC 端點的存取權。如需詳細資訊,請參閱下一節。
如果您建立 Amazon Managed Service for Prometheus 的介面 VPC 端點,而且已有流動至您 VPC 所在工作區的資料,這些指標則會依預設透過介面 VPC 端點傳入。Amazon Managed Service for Prometheus 會使用公有端點或私有界面端點 (使用中) 來執行此任務。
### 控制 Amazon Managed Service for Prometheus VPC 端點的存取權
您可以使用 VPC 端點政策來控制 Amazon Managed Service for Prometheus 介面 VPC 端點的存取權。當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 身分基礎政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。
如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用 VPC 端點控制服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
以下是 Amazon Managed Service for Prometheus 端點政策的範例。此政策允許角色為 `PromUser` 的使用者透過 VPC 連線到 Amazon Managed Service for Prometheus 以檢視工作區和規則群組,但不能檢視例如建立或刪除工作區。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonManagedPrometheusPermissions",
"Effect": "Allow",
"Action": [
"aps:DescribeWorkspace",
"aps:DescribeRuleGroupsNamespace",
"aps:ListRuleGroupsNamespaces",
"aps:ListWorkspaces"
],
"Resource": "arn:aws:aps:*:*:/workspaces*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/PromUser"
]
}
}
]
}
```
------
下列範例顯示的原則僅允許來自指定 VPC 中指定 IP 位址的要求成功。來自其他 IP 位址的要求將會失敗。
```
{
"Statement": [
{
"Action": "aps:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": "192.0.2.123"
},
"StringEquals": {
"aws:SourceVpc": "vpc-555555555555"
}
}
}
]
}
```