Menggunakan Amazon Managed Service untuk Prometheus dengan titik akhir VPC antarmuka - Layanan Terkelola Amazon untuk Prometheus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Amazon Managed Service untuk Prometheus dengan titik akhir VPC antarmuka

Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan Amazon Managed Service untuk Prometheus. Anda dapat menggunakan koneksi ini untuk mengaktifkan Amazon Managed Service untuk Prometheus untuk berkomunikasi dengan sumber daya Anda di VPC Anda tanpa melalui internet publik.

Amazon VPC adalah AWS layanan yang dapat Anda gunakan untuk meluncurkan AWS sumber daya dalam jaringan virtual yang Anda tetapkan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda ke Amazon Managed Service untuk Prometheus, Anda menentukan titik akhir VPC antarmuka untuk menghubungkan VPC Anda ke layanan. AWS Titik akhir menyediakan konektivitas yang andal dan dapat diskalakan ke Amazon Managed Service untuk Prometheus tanpa memerlukan gateway internet, instance terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, silakan lihat Apa itu Amazon VPC dalam Panduan Pengguna Amazon VPC.

Endpoint VPC antarmuka didukung olehAWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara AWS layanan menggunakan antarmuka jaringan elastis dengan alamat IP pribadi. Untuk informasi selengkapnya, silakan lihat kiriman blog Baru – AWS PrivateLink untuk Layanan AWS.

Informasi berikut adalah untuk pengguna Amazon VPC. Untuk informasi tentang cara memulai Amazon VPC, lihat Memulai di Panduan Pengguna Amazon VPC.

Buat titik akhir VPC antarmuka untuk Amazon Managed Service untuk Prometheus

Buat titik akhir VPC antarmuka untuk mulai menggunakan Amazon Managed Service untuk Prometheus. Pilih dari titik akhir nama layanan berikut:

catatan

Jika Anda menggunakan remote_write dalam VPC tanpa akses internet langsung, Anda juga harus membuat antarmuka VPC endpoint untukAWS Security Token Service, untuk memungkinkan sigv4 bekerja melalui titik akhir. Untuk informasi tentang membuat titik akhir VPCAWS STS, lihat Menggunakan titik akhir AWS STSVPC antarmuka di Panduan Pengguna. AWS Identity and Access Management Anda harus mengatur AWS STS untuk menggunakan endpoint regional.

Untuk informasi selengkapnya, termasuk step-by-step petunjuk untuk membuat titik akhir VPC antarmuka, lihat Membuat titik akhir antarmuka di Panduan Pengguna Amazon VPC.

catatan

Anda dapat menggunakan kebijakan titik akhir VPC untuk mengontrol akses ke Layanan Terkelola Amazon untuk titik akhir VPC antarmuka Prometheus. Lihat bagian selanjutnya untuk informasi lebih lanjut.

Jika Anda membuat titik akhir VPC antarmuka untuk Amazon Managed Service untuk Prometheus dan sudah memiliki data yang mengalir ke ruang kerja yang terletak di VPC Anda, metrik akan mengalir melalui titik akhir VPC antarmuka secara default. Layanan Terkelola Amazon untuk Prometheus menggunakan titik akhir publik atau titik akhir antarmuka pribadi (mana pun yang digunakan) untuk melakukan tugas ini.

Mengontrol akses ke Layanan Terkelola Amazon untuk titik akhir VPC Prometheus

Anda dapat menggunakan kebijakan titik akhir VPC untuk mengontrol akses ke Layanan Terkelola Amazon untuk titik akhir VPC antarmuka Prometheus. Kebijakan VPC endpoint adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, Amazon VPC melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan endpoint tidak mengganti atau mengganti kebijakan berbasis identitas IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Untuk informasi selengkapnya, silakan lihat Mengendalikan Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Berikut ini adalah contoh kebijakan endpoint untuk Amazon Managed Service untuk Prometheus. Kebijakan ini memungkinkan pengguna dengan peran yang PromUser terhubung ke Amazon Managed Service untuk Prometheus melalui VPC untuk melihat ruang kerja dan grup aturan, tetapi tidak, misalnya, untuk membuat atau menghapus ruang kerja.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonManagedPrometheusPermissions", "Effect": "Allow", "Action": [ "aps:DescribeWorkspace", "aps:DescribeRuleGroupsNamespace", "aps:ListRuleGroupsNamespace", "aps:ListWorkspaces" ], "Resource": "arn:aws:aps:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/PromUser" ] } } ] }

Contoh berikut menunjukkan kebijakan yang hanya mengizinkan permintaan yang berasal dari alamat IP tertentu di VPC yang ditentukan untuk berhasil. Permintaan dari alamat IP lain akan gagal.

{ "Statement": [ { "Action": "aps:*", "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": "192.0.2.123" }, "StringEquals": { "aws:SourceVpc": "vpc-555555555555" } } } ] }