Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de Amazon Managed Service para Prometheus con los puntos de conexión de VPC de tipo interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión privada entre la VPC y Amazon Managed Service para Prometheus. Puede utilizar estas conexiones para habilitar que Amazon Managed Service para Prometheus se comunique con los recursos en la VPC sin pasar por la red pública de Internet.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtual que defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de ruteo y las gateways de red. Para conectar la VPC a Amazon Managed Service para Prometheus, defina un punto de conexión de VPC de tipo interfaz para conectar la VPC a los servicios de AWS. Con el punto de conexión, se ofrece conectividad escalable de confianza con Amazon Managed Service para Prometheus sin necesidad de utilizar una puerta de enlace de Internet, una instancia de Traducción de direcciones de red (NAT) (instancia NAT) o una conexión de VPN. Para obtener más información, consulte ¿Qué es Amazon VPC?) en la Guía del usuario de Amazon VPC.

Los puntos de conexión de VPC de tipo interfaz utilizan AWS PrivateLink, una tecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte la publicación de blog New – AWS PrivateLink for AWS Services.

La siguiente información va dirigida a los usuarios de Amazon VPC: Para obtener información sobre cómo empezar a utilizar Amazon VPC, consulte la Introducción en la Guía del usuario de Amazon VPC.

Creación de un punto de conexión de VPC de tipo interfaz para Amazon Managed Service para Prometheus

Cree un punto de conexión de VPC de tipo interfaz para empezar a utilizar Amazon Managed Service para Prometheus. Elija uno de los siguientes puntos de conexión de nombre de servicio:

Para obtener más información, incluidas las instrucciones paso a paso para crear un punto de conexión de VPC de tipo interfaz, consulte Creación de un punto de conexión de tipo interfaz en la Guía del usuario de Amazon VPC.

Si ha creado un punto de conexión de VPC de tipo interfaz para Amazon Managed Service para Prometheus y ya tiene datos que circulan por los espacios de trabajo que se encuentran en la VPC, las métricas circularán por el punto de conexión de VPC de tipo interfaz de forma predeterminada. Amazon Managed Service para Prometheus utiliza puntos de conexión públicos o puntos de conexión de interfaz privada (los que se encuentren en uso) para realizar esta tarea.

Control del acceso al punto de conexión de VPC de Amazon Managed Service para Prometheus

Puede utilizar las políticas de punto de conexión de VPC para controlar el acceso al punto de conexión de VPC de tipo interfaz de Amazon Managed Service para Prometheus. Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no adjunta una política al crear un punto de enlace, Amazon VPC adjunta una política predeterminada que le conceda acceso completo al servicio. Una política de punto de conexión no anula ni reemplaza las políticas basadas en identidad de IAM ni las políticas específicas del servicio. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de punto de conexión para Amazon Managed Service para Prometheus. Esta política permite que los usuarios con el rol PromUser se conecten a Amazon Managed Service para Prometheus a través de la VPC para ver los espacios de trabajo y los grupos de reglas, pero no, por ejemplo, para crear o eliminar espacios de trabajo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonManagedPrometheusPermissions",
            "Effect": "Allow",
            "Action": [
                "aps:DescribeWorkspace",
                "aps:DescribeRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespace",
                "aps:ListWorkspaces"
            ],
            "Resource": "arn:aws:aps:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/PromUser"
                ]
            }
        }
    ]
}

En el siguiente ejemplo, se muestra una política que solo permite que las solicitudes procedentes de una dirección IP específica en la VPC especificada se ejecuten correctamente. Las solicitudes de otras direcciones IP devolverán un error.

{
    "Statement": [
        {
            "Action": "aps:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}