Schnittstellen-VPC-Endpunkte - Amazon Managed Grafana
Verwendung von Amazon Managed Grafana mit VPC-Endpunkten mit SchnittstellenEinen VPC-Endpunkt erstellen, um eine AWS PrivateLink Verbindung zu Amazon Managed Grafana herzustellen Verwenden Sie die Netzwerkzugriffskontrolle, um den Zugriff auf Ihren Grafana-Arbeitsbereich zu beschränkenSteuern des Zugriffs auf Ihren Amazon Managed Grafana-API-VPC-Endpunkt mit einer Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schnittstellen-VPC-Endpunkte

Wir bieten AWS PrivateLink Support zwischen Amazon VPC und Amazon Managed Grafana. Sie können den Zugriff auf den Amazon Managed Grafana-Service von den Virtual Private Cloud (VPC) -Endpunkten aus steuern, indem Sie eine IAM-Ressourcenrichtlinie für Amazon VPC-Endpunkte anhängen.

Amazon Managed Grafana unterstützt zwei verschiedene Arten von VPC-Endpunkten. Sie können eine Verbindung zum Amazon Managed Grafana-Service herstellen und so Zugriff auf die Amazon Managed Grafana-APIs zur Verwaltung von Workspaces gewähren. Oder Sie können einen VPC-Endpunkt für einen bestimmten Workspace erstellen.

Verwendung von Amazon Managed Grafana mit VPC-Endpunkten mit Schnittstellen

Es gibt zwei Möglichkeiten, VPC-Endpunkte mit Amazon Managed Grafana zu verwenden. Sie können einen VPC-Endpunkt verwenden, um AWS Ressourcen wie Amazon EC2 EC2-Instances den Zugriff auf die Amazon Managed Grafana-API zur Verwaltung von Ressourcen zu ermöglichen, oder Sie können einen VPC-Endpunkt verwenden, um den Netzwerkzugriff auf Ihre Amazon Managed Grafana-Workspaces zu beschränken.

  • Wenn Sie Amazon VPC zum Hosten Ihrer AWS Ressourcen verwenden, können Sie mithilfe des com.amazonaws.region.grafana Service Name-Endpunkts eine private Verbindung zwischen Ihrer VPC und der Amazon Managed Grafana-API herstellen.

  • Wenn Sie versuchen, mithilfe der Netzwerkzugriffskontrolle die Sicherheit Ihres Amazon Managed Grafana-Workspace zu erhöhen, können Sie mithilfe des Service Name-Endpunkts eine private Verbindung zwischen Ihrer VPC und dem Grafana-Workspaces-Endpunkt herstellen. com.amazonaws.region.grafana-workspace

Amazon VPC ist eine AWS-Service , mit der Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit Ihrer Amazon Managed Grafana-API zu verbinden, definieren Sie einen VPC-Schnittstellen-Endpunkt. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon Managed Grafana, ohne dass ein Internet-Gateway, eine Network Address Translation (NAT) -Instance oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen Benutzern AWS-Services über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter Neu — AWS PrivateLink für AWS Dienste.

Informationen zu den ersten Schritten mit Amazon VPC finden Sie unter Erste Schritte im Amazon VPC-Benutzerhandbuch.

Einen VPC-Endpunkt erstellen, um eine AWS PrivateLink Verbindung zu Amazon Managed Grafana herzustellen

Erstellen Sie einen VPC-Schnittstellen-Endpunkt zu Amazon Managed Grafana mit einem der folgenden Servicenamen-Endpunkte:

  • Um eine Verbindung zur Amazon Managed Grafana-API zur Verwaltung von Workspaces herzustellen, wählen Sie:

    com.amazonaws.region.grafana.

  • Um eine Verbindung zu einem Amazon Managed Grafana-Workspace herzustellen (z. B. um die Grafana-API zu verwenden), wählen Sie:

    com.amazonaws.region.grafana-workspace

Einzelheiten zur Erstellung eines Schnittstellen-VPC-Endpunkts finden Sie unter Erstellen eines Schnittstellen-Endpunkts im Amazon VPC-Benutzerhandbuch.

Um Grafana-APIs aufzurufen, müssen Sie auch privates DNS für Ihren VPC-Endpunkt aktivieren, indem Sie den Anweisungen im Amazon VPC-Benutzerhandbuch folgen. Dies ermöglicht die lokale Auflösung von URLs in der Form *.grafana-workspace.region.amazonaws.com

Verwenden Sie die Netzwerkzugriffskontrolle, um den Zugriff auf Ihren Grafana-Arbeitsbereich zu beschränken

Wenn Sie einschränken möchten, welche IP-Adressen oder VPC-Endpunkte für den Zugriff auf einen bestimmten Grafana-Workspace verwendet werden können, können Sie die Netzwerkzugriffskontrolle für diesen Workspace konfigurieren.

Für VPC-Endpoints, denen Sie Zugriff auf Ihren Workspace gewähren, können Sie deren Zugriff weiter einschränken, indem Sie Sicherheitsgruppen für die Endpoints konfigurieren. Weitere Informationen finden Sie unter Sicherheitsgruppen zuordnen und Sicherheitsgruppenregeln in der Amazon VPC-Dokumentation.

Steuern des Zugriffs auf Ihren Amazon Managed Grafana-API-VPC-Endpunkt mit einer Endpunktrichtlinie

Für VPC-Endpunkte, die über die Amazon Managed Grafana-API (mithilfecom.amazonaws.region.grafana) verbunden sind, können Sie eine VPC-Endpunktrichtlinie hinzufügen, um den Zugriff auf den Service einzuschränken.

Anmerkung

VPC-Endpunkte, die mit Workspaces verbunden sind (übercom.amazonaws.region.grafana-workspace), unterstützen keine VPC-Endpunktrichtlinien.

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-identitätsbasierte Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Endpunktrichtlinien müssen im JSON-Format erstellt werden.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC-Endpunkten im Amazon VPC-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon Managed Grafana. Diese Richtlinie ermöglicht es Benutzern, die sich über die VPC mit Amazon Managed Grafana verbinden, Daten an den Amazon Managed Grafana-Service zu senden. Es verhindert auch, dass sie andere Amazon Managed Grafana-Aktionen ausführen. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
Um die VPC-Endpunktrichtlinie für Grafana zu bearbeiten

  1. Öffnen Sie die Amazon VPC-Konsole unter VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wenn Sie noch keine Endpoints erstellt haben, wählen Sie Create Endpoint.

  4. Wählen Sie den com.amazonaws.region.grafana Endpunkt und dann die Registerkarte Richtlinie aus.

  5. Klicken Sie auf Edit Policy (Richtlinie bearbeiten) und nehmen Sie Ihre Änderungen vor.