Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung von Amazon Managed Service for Prometheus mit Schnittstellen-VPC-Endpunkten
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS-Ressourcen verwenden, können Sie private Verbindungen zwischen Ihrem VPC und Amazon Managed Service for Prometheus herstellen. Sie können diese Verbindungen verwenden, damit Amazon Managed Service for Prometheus mit den Ressourcen in der VPC kommunizieren kann, ohne das öffentliche Internet verwenden zu müssen.
Amazon VPC ist ein AWS-Service, den Sie verwenden können, um AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk auszuführen. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit Amazon Managed Service for Prometheus zu verbinden, definieren Sie einen Schnittstellen-VPC-Endpunkt, um Ihre VPC mit AWSServices zu verbinden. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon Managed Service for Prometheus, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.
Schnittstellen-VPC-Endpunkte werden über AWS PrivateLink bereitgestellt, eine AWS-Technologie, die eine private Kommunikation zwischen AWS-Services unter Verwendung einer Elastic Network-Schnittstelle mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie im Blogbeitrag Neu – AWS PrivateLink für AWS-Services
Die folgenden Informationen sind für Benutzer von Amazon VPC vorgesehen. Informationen zu ersten Schritten mit Amazon VPC finden Sie unter Erste Schritte im Amazon-VPC-Benutzerhandbuch.
Erstellen eines Schnittstellen-VPC-Endpunkts für Amazon Managed Service for Prometheus
Erstellen eines Schnittstellen-VPC-Endpunkts, um mit der Nutzung von Amazon Managed Service for Prometheus zu beginnen. Wählen Sie aus den folgenden Endpunkten mit Servicenamen:
com.amazonaws.region.aps-workspacesWählen Sie diesen Servicenamen, um mit Prometheus-kompatiblen APIs zu arbeiten. Weitere Informationen finden Sie unter Prometheus-kompatible APIs im Amazon Managed Service for Prometheus Benutzerhandbuch.
com.amazonaws.region.apsWählen Sie diesen Servicenamen, um Workspace-Management-Aufgaben auszuführen. Weitere Informationen finden Sie unter Amazon Managed Service for Prometheus APIs im Amazon Managed Service for Prometheus Benutzerhandbuch.
Anmerkung
Wenn Sie remote_write in einer VPC ohne direkten Internetzugang verwenden, müssen Sie auch einen VPC-Schnittstellen-Endpunkt für AWS Security Token Service erstellen, damit sigv4 über den Endpunkt arbeiten kann. Weitere Informationen zum Erstellen eines VPC-Endpunktes für AWS STS finden Sie unter AWS STS Schnittstellen-VPC-Endpunkte im AWS Identity and Access Management Benutzerhandbuch. Sie müssen AWS STS festlegen, um regionalisierte Endpunkte zu verwenden.
Weitere Informationen, einschließlich schrittweiser Anleitungen zum Erstellen eines Schnittstellen-VPC-Endpunkts, finden Sie unter Erstellen eines Schnittstellen-Endpunkts im Amazon VPC-Benutzerhandbuch.
Anmerkung
Sie können VPC-Endpunktrichtlinien verwenden, um den Zugriff auf Ihren VPC-Endpunkt der Amazon Managed Service for Prometheus Schnittstelle zu kontrollieren. Weitere Informationen finden Sie im nächsten Abschnitt.
Wenn Sie einen Schnittstellen-VPC-Endpunkt für Amazon Managed Service for Prometheus erstellt haben und bereits an die Workspaces in Ihrer VPC Daten senden, werden die Metriken standardmäßig über den Schnittstellen-VPC-Endpunkt gesendet. Amazon Managed Service for Prometheus verwendet öffentliche Endpunkte oder private Schnittstellenendpunkte (je nachdem, welche verwendet werden), um diese Aufgabe auszuführen.
Steuern des Zugriffs auf Ihren Amazon Managed Service for Prometheus VPC-Endpunkt
Sie können VPC-Endpunktrichtlinien verwenden, um den Zugriff auf Ihren VPC-Endpunkt der Amazon Managed Service for Prometheus-Schnittstelle zu kontrollieren. Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-identitätsbasierte Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon Managed Service for Prometheus. Diese Richtlinie ermöglicht Benutzern mit der Rolle PromUser, die über die VPC eine Verbindung zu Amazon Managed Service for Prometheus herstellen, Workspaces und Regelgruppen anzuzeigen, aber beispielsweise keine Workspaces zu erstellen oder zu löschen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonManagedPrometheusPermissions", "Effect": "Allow", "Action": [ "aps:DescribeWorkspace", "aps:DescribeRuleGroupsNamespace", "aps:ListRuleGroupsNamespace", "aps:ListWorkspaces" ], "Resource": "arn:aws:aps:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/PromUser" ] } } ] }
Das folgende Beispiel zeigt eine Richtlinie, die nur erlaubt, dass Anfragen, die von einer bestimmten IP-Adresse in der angegebenen VPC kommen, erfolgreich sind. Anfragen von anderen IP-Adressen schlagen fehl.
{ "Statement": [ { "Action": "aps:*", "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": "192.0.2.123" }, "StringEquals": { "aws:SourceVpc": "vpc-555555555555" } } } ] }
