Configuración del acceso a la red para un espacio de trabajo de Amazon Managed Grafana - Amazon Managed Grafana
Configuración del control de acceso a la red

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del acceso a la red para un espacio de trabajo de Amazon Managed Grafana

Puede controlar la forma en que los usuarios y hosts acceden a sus espacios de trabajo de Grafana.

Grafana requiere que todos los usuarios estén autenticados y autorizados. Sin embargo, de forma predeterminada, los espacios de trabajo de Amazon Managed Grafana están abiertos a todo el tráfico de la red. Puede configurar el control de acceso a la red para un espacio de trabajo a fin de controlar qué tráfico de red puede llegar a él.

Puede controlar el tráfico a su espacio de trabajo de dos maneras.

  • Direcciones IP (listas de prefijos): puede crear una lista de prefijos administrada con los intervalos de IP que pueden acceder a los espacios de trabajo. Amazon Managed Grafana solo admite direcciones IPv4 públicas para el control de acceso a la red.

  • Puntos de conexión de VPC: puede crear una lista de puntos de conexión de VPC para sus espacios de trabajo a los que se les permite acceder a un espacio de trabajo específico.

Al configurar el control de acceso a la red, debe incluir al menos una lista de prefijos o un punto de conexión de VPC.

Amazon Managed Grafana utiliza las listas de prefijos y los puntos de conexión de VPC para decidir qué solicitudes al espacio de trabajo de Grafana pueden conectarse. En el siguiente diagrama se muestra esta filtración.

Imagen en la que se muestra el control de acceso a la red de Amazon Managed Grafana, que permite algunas solicitudes y bloquea otras que intentan acceder a un espacio de trabajo de Amazon Managed Grafana.

La configuración del control de acceso a la red (1) para un espacio de trabajo de Amazon Managed Grafana especifica qué solicitudes deben poder acceder al espacio de trabajo. El control de acceso a la red puede permitir o bloquear el tráfico por dirección IP (2) o por el punto de conexión de interfaz que se utilice (3).

En la sección siguiente, se describe cómo configurar el control de acceso a la red.

Configuración del control de acceso a la red

Puede agregar el control de acceso a la red a un espacio de trabajo existente o configurarlo como parte de la creación inicial del espacio de trabajo.

Requisitos previos 

Para configurar el control de acceso a la red, primero debe crear un punto de conexión de VPC de interfaz para sus espacios de trabajo o al menos una lista de prefijos de IP para las direcciones IP que desee permitir. También puede crear ambas opciones o más de una de las dos.

  • Punto de conexión de VPC: puede crear un punto de conexión de VPC de interfaz que dé acceso a todos sus espacios de trabajo. Una vez creado el punto de conexión, necesitará el ID del punto de conexión de VPC para cada punto de conexión que desee permitir. Los ID de los puntos de conexión de VPC tienen el formato vpce-1a2b3c4d.

    Para obtener más información acerca de cómo crear un punto de conexión de VPC para sus espacios de trabajo de Grafana, consulte Puntos de conexión de VPC de tipo interfaz. Para crear un punto de conexión de VPC específico para sus espacios de trabajo, utilice el nombre de punto de conexión com.amazonaws.region.grafana-workspace.

    En el caso de los puntos de conexión de VPC a los que dé acceso a su espacio de trabajo, puede limitar aún más su acceso configurando grupos de seguridad para los puntos de conexión. Para obtener más información, consulte Asociación de grupos de seguridad y Reglas de grupos de seguridad en la documentación de Amazon VPC.

  • Lista de prefijos administrada (para intervalos de direcciones IP): para permitir direcciones IP, debe crear una o más listas de prefijos en Amazon VPC con la lista de intervalos de IP que desee permitir. Existen algunas limitaciones para las listas de prefijos cuando se utilizan para Amazon Managed Grafana:

    • Cada lista de prefijos puede contener hasta 100 intervalos de direcciones IP.

    • Los intervalos de direcciones IP privadas (por ejemplo, 10.0.0.0/16) se ignoran. Puede incluir intervalos de direcciones IP privadas en una lista de prefijos, pero Amazon Managed Grafana los ignora al filtrar el tráfico al espacio de trabajo. Para permitir que esos hosts lleguen al espacio de trabajo, cree un punto de conexión de VPC para sus espacios de trabajo y concédales acceso.

    • Amazon Managed Grafana solo admite direcciones IPv4 en las listas de prefijos, no IPv6. Las direcciones IPv6 se ignoran.

    Las listas de prefijos administradas se crean a través de la consola de Amazon VPC. Una vez que haya creado las listas de prefijos, necesitará el ID de cada lista de prefijos que desee permitir en Amazon Managed Grafana. Los ID de las listas de prefijos tienen el formato pl-1a2b3c4d.

    Para obtener más información sobre cómo crear listas de prefijos, consulte Agrupación de bloques de CIDR con listas de prefijos administradas en la Guía del usuario de Amazon Virtual Private Cloud.

  • Debe tener los permisos necesarios para configurar o crear un espacio de trabajo de Amazon Managed Grafana. Por ejemplo, podría usar la política administrada por AWS (AWSGrafanaAccountAdministrator).

Una vez que tenga la lista de ID de las listas de prefijos o los puntos de conexión de VPC a los que quiere dar acceso a su espacio de trabajo, tendrá todo listo para crear la configuración de control de acceso a la red.

nota

Si habilita el control de acceso a la red, pero no agrega una lista de prefijos a la configuración, no se permitirá el acceso a su espacio de trabajo, excepto a través de los puntos de conexión de VPC permitidos.

Del mismo modo, si habilita el control de acceso a la red, pero no agrega un punto de conexión de VPC a la configuración, no se permitirá el acceso a su espacio de trabajo, excepto a través de las direcciones IP permitidas.

Debe incluir al menos una lista de prefijos o un punto de conexión de VPC en la configuración de control de acceso a la red o no podrá acceder a su espacio de trabajo desde ningún lugar.

Configuración del control de acceso a la red para un espacio de trabajo

  1. Abra la consola de Amazon Managed Grafana.

  2. En el panel de navegación izquierdo, elija Todos los espacios de trabajo.

  3. Seleccione el nombre del espacio de trabajo en el que desea configurar el control de acceso a la red.

  4. En la pestaña Control de acceso a la red, en Control de acceso a la red, elija Acceso restringido para configurar el control de acceso a la red.

    nota

    Puede acceder a estas mismas opciones al crear un espacio de trabajo.

  5. En el menú desplegable, seleccione si va a agregar una lista de prefijos o un punto de conexión de VPC.

  6. Seleccione el ID de la lista de prefijos o el punto de conexión de VPC que desee agregar (también puede escribir el ID que desee utilizar). Debe elegir al menos uno.

  7. Para agregar más puntos de conexión o listas, seleccione Agregar nuevo recurso para cada uno que desee agregar.

    nota

    Puede agregar hasta 5 listas de prefijos y 5 puntos de conexión de VPC.

  8. Elija Guardar cambios para completar la configuración.

aviso

Si ya tiene usuarios en su espacio de trabajo, incluya sus intervalos de IP o puntos de conexión de VPC en la configuración; de lo contrario, perderán el acceso con un error 403 Forbidden. Se recomienda probar los puntos de acceso existentes después de configurar o modificar la configuración del control de acceso a la red.