Configurer l'accès réseau à votre espace de travail Amazon Managed Grafana - Amazon Managed Grafana
Configuration du contrôle d'accès au réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'accès réseau à votre espace de travail Amazon Managed Grafana

Vous pouvez contrôler la manière dont les utilisateurs et les hôtes accèdent à vos espaces de travail Grafana.

Grafana exige que tous les utilisateurs soient authentifiés et autorisés. Toutefois, par défaut, les espaces de travail Amazon Managed Grafana sont ouverts à tout le trafic réseau. Vous pouvez configurer le contrôle d'accès réseau pour un espace de travail afin de contrôler le trafic réseau autorisé à y accéder.

Vous pouvez contrôler le trafic vers votre espace de travail de deux manières.

  • Adresses IP (listes de préfixes) : vous pouvez créer une liste de préfixes gérée avec des plages d'adresses IP autorisées à accéder aux espaces de travail. Amazon Managed Grafana prend uniquement en charge les adresses IPv4 publiques pour le contrôle d'accès au réseau.

  • Points de terminaison VPC : vous pouvez créer une liste de points de terminaison VPC pour vos espaces de travail autorisés à accéder à un espace de travail spécifique.

Lorsque vous configurez le contrôle d'accès réseau, vous devez inclure au moins une liste de préfixes ou un point de terminaison VPC.

Amazon Managed Grafana utilise les listes de préfixes et les points de terminaison VPC pour décider quelles demandes adressées à l'espace de travail Grafana sont autorisées à se connecter. Le schéma suivant illustre ce filtrage.

Image montrant le contrôle d'accès au réseau Amazon Managed Grafana autorisant certaines demandes et bloquant d'autres tentatives d'accès à un espace de travail Amazon Managed Grafana.

La configuration du contrôle d'accès réseau (1) pour un espace de travail Grafana géré par Amazon indique quelles demandes doivent être autorisées pour accéder à l'espace de travail. Le contrôle d'accès au réseau peut autoriser ou bloquer le trafic en fonction de l'adresse IP (2) ou du point de terminaison de l'interface utilisé (3).

La section suivante décrit comment configurer le contrôle d'accès au réseau.

Configuration du contrôle d'accès au réseau

Vous pouvez ajouter un contrôle d'accès réseau à un espace de travail existant ou le configurer dans le cadre de la création initiale de l'espace de travail.

Prérequis

Pour configurer le contrôle d'accès au réseau, vous devez d'abord créer un point de terminaison VPC d'interface pour vos espaces de travail ou au moins une liste de préfixes IP pour les adresses IP que vous souhaitez autoriser. Vous pouvez également créer les deux ou plusieurs des deux.

  • Point de terminaison VPC : vous pouvez créer un point de terminaison VPC d'interface qui donne accès à tous vos espaces de travail. Après avoir créé le point de terminaison, vous avez besoin de l'ID de point de terminaison VPC pour chaque point de terminaison que vous souhaitez autoriser. Les ID de point de terminaison VPC ont le format suivant. vpce-1a2b3c4d

    Pour plus d'informations sur la création d'un point de terminaison VPC pour vos espaces de travail Grafana, consultez. Points de terminaison de VPC d’Interface Pour créer un point de terminaison VPC spécifiquement pour vos espaces de travail, utilisez le nom du com.amazonaws.region.grafana-workspace point de terminaison.

    Pour les points de terminaison VPC auxquels vous donnez accès à votre espace de travail, vous pouvez limiter davantage leur accès en configurant des groupes de sécurité pour les points de terminaison. Pour en savoir plus, consultez Associer des groupes de sécurité et Règles de groupe de sécurité dans la documentation Amazon VPC.

  • Liste de préfixes gérée (pour les plages d'adresses IP) : pour autoriser les adresses IP, vous devez créer une ou plusieurs listes de préfixes dans Amazon VPC avec la liste des plages d'adresses IP à autoriser. Les listes de préfixes sont soumises à quelques restrictions lorsqu'elles sont utilisées pour Amazon Managed Grafana :

    • Chaque liste de préfixes peut contenir jusqu'à 100 plages d'adresses IP.

    • Les plages d'adresses IP privées (par exemple, 10.0.0.0/16 sont ignorées). Vous pouvez inclure des plages d'adresses IP privées dans une liste de préfixes, mais Amazon Managed Grafana les ignore lorsqu'il filtre le trafic vers l'espace de travail. Pour permettre à ces hôtes d'accéder à l'espace de travail, créez un point de terminaison VPC pour vos espaces de travail et donnez-leur accès.

    • Amazon Managed Grafana prend uniquement en charge les adresses IPv4 dans les listes de préfixes, et non les adresses IPv6. Les adresses IPv6 sont ignorées.

    Vous créez des listes de préfixes gérées via la console Amazon VPC. Après avoir créé les listes de préfixes, vous avez besoin de l'ID de liste de préfixes pour chaque liste que vous souhaitez autoriser dans Amazon Managed Grafana. Les ID des listes de préfixes ont le format suivant. pl-1a2b3c4d

    Pour plus d'informations sur la création de listes de préfixes, consultez la section Groupes d'adresses CIDR à l'aide de listes de préfixes gérées dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

  • Vous devez disposer des autorisations nécessaires pour configurer ou créer un espace de travail Amazon Managed Grafana. Par exemple, vous pouvez utiliser la politique AWS gérée,AWSGrafanaAccountAdministrator.

Une fois que vous avez la liste des identifiants des listes de préfixes ou des points de terminaison VPC auxquels vous souhaitez donner accès à votre espace de travail, vous êtes prêt à créer la configuration du contrôle d'accès réseau.

Note

Si vous activez le contrôle d'accès réseau, mais que vous n'ajoutez pas de liste de préfixes à la configuration, aucun accès à votre espace de travail n'est autorisé, sauf via les points de terminaison VPC autorisés.

De même, si vous activez le contrôle d'accès réseau, mais que vous n'ajoutez pas de point de terminaison VPC à la configuration, aucun accès à votre espace de travail n'est autorisé, sauf via les adresses IP autorisées.

Vous devez inclure au moins une liste de préfixes ou un point de terminaison VPC dans la configuration du contrôle d'accès réseau, sinon vous ne pourrez accéder à votre espace de travail de n'importe où.

Pour configurer le contrôle d'accès réseau pour un espace de travail

  1. Ouvrez la console Amazon Managed Grafana.

  2. Dans le volet de navigation de gauche, sélectionnez Tous les espaces de travail.

  3. Sélectionnez le nom de l'espace de travail dans lequel vous souhaitez configurer le contrôle d'accès au réseau.

  4. Dans l'onglet Contrôle d'accès réseau, sous Contrôle d'accès réseau, choisissez Accès restreint pour configurer le contrôle d'accès réseau.

    Note

    Vous pouvez accéder à ces mêmes options lors de la création d'un espace de travail.

  5. Dans le menu déroulant, sélectionnez si vous ajoutez une liste de préfixes ou un point de terminaison VPC.

  6. Sélectionnez le point de terminaison ou l'ID de liste de préfixes VPC que vous souhaitez ajouter (vous pouvez également saisir l'ID que vous souhaitez utiliser). Vous devez en choisir au moins un.

  7. Pour ajouter d'autres points de terminaison ou listes, sélectionnez Ajouter une nouvelle ressource pour chacun d'entre eux que vous souhaitez ajouter.

    Note

    Vous pouvez ajouter jusqu'à 5 listes de préfixes et 5 points de terminaison VPC.

  8. Choisissez Enregistrer les modifications pour terminer la configuration.

Avertissement

Si des utilisateurs utilisent déjà votre espace de travail, incluez leurs plages d'adresses IP ou leurs points de terminaison VPC dans la configuration, sinon ils perdront l'accès en cas d'erreur. 403 Forbidden Il est recommandé de tester les points d'accès existants après avoir configuré ou modifié la configuration du contrôle d'accès au réseau.