Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'Amazon Managed Service for Prometheus avec des points de terminaison de VPC d'interface

Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos ressources AWS, vous pouvez établir des connexions privées entre votre VPC et Amazon Managed Service for Prometheus. Vous pouvez utiliser ces connexions pour permettre à Amazon Managed Service for Prometheus de communiquer avec vos ressources sur votre VPC sans passer par le réseau Internet public.

Amazon VPC est un service AWS que vous pouvez utiliser pour lancer des ressources AWS dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d'adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC à Amazon Managed Service for Prometheus, vous définissez un point de terminaison de VPC d'interface pour connecter votre VPC aux services AWS. Le point de terminaison assure une connectivité fiable et évolutive à Amazon Managed Service for Prometheus sans qu'une passerelle Internet, une instance NAT (Network Address Translation) ou une connexion VPN ne soit nécessaire. Pour de plus amples informations, veuillez consulter Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Les points de terminaison de VPC d'interface reposent sur AWS PrivateLink, une technologie AWS qui permet une communication privée entre les services AWS à l'aide d'une interface réseau Elastic avec des adresses IP privées. Pour plus d'informations, consultez le billet de blog New – AWS PrivateLink for AWS Services.

Les informations suivantes sont destinés aux utilisateurs d'Amazon VPC. Pour plus d'informations sur la mise en route d'Amazon VPC, consultez la section Mise en route dans le Guide de l'utilisateur Amazon VPC.

Création d'un point de terminaison de VPC d'interface pour Amazon Managed Service for Prometheus

Créez un point de terminaison de VPC d'interface pour commencer à utiliser Amazon Managed Service for Prometheus. Choisissez parmi les points de terminaison de nom de service suivants :

Pour plus d'informations, notamment des instructions étape par étape pour créer un point de terminaison de VPC d'interface, consultez la section Création d'un point de terminaison d'interface dans le Guide de l'utilisateur Amazon VPC.

Si vous avez créé un point de terminaison de VPC d'interface pour Amazon Managed Service for Prometheus et que vous disposez déjà de données qui transitent vers les espaces de travail situés sur votre VPC, les métriques transiteront par le point de terminaison de VPC d'interface par défaut. Amazon Managed Service for Prometheus utilise des points de terminaison publics ou des points de terminaison d'interface privés (selon ceux utilisés) pour effectuer cette tâche.

Contrôle de l'accès à votre point de terminaison de VPC Amazon Managed Service for Prometheus

Vous pouvez utiliser les politiques de point de terminaison de VPC pour contrôler l'accès à votre point de terminaison de VPC d'interface Amazon Managed Service for Prometheus. Une stratégie de point de terminaison d'un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n'attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une politique de point de terminaison n'annule pas et ne remplace pas les politiques IAM ou les politiques spécifiques aux services. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Pour plus d'informations, veuillez consulter Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour Amazon Managed Service for Prometheus. Cette politique permet aux utilisateurs ayant le rôle PromUser, et qui se connectent à Amazon Managed Service for Prometheus via le VPC, de voir les espaces de travail et les groupes de règles, mais pas, par exemple, de créer ou de supprimer des espaces de travail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonManagedPrometheusPermissions",
            "Effect": "Allow",
            "Action": [
                "aps:DescribeWorkspace",
                "aps:DescribeRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespace",
                "aps:ListWorkspaces"
            ],
            "Resource": "arn:aws:aps:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/PromUser"
                ]
            }
        }
    ]
}

L'exemple suivant montre une politique qui autorise uniquement les demandes provenant d'une adresse IP spécifiée dans le VPC spécifié. Les demandes provenant d'autres adresses IP échoueront.

{
    "Statement": [
        {
            "Action": "aps:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}