翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する
デフォルトでは、Amazon Managed Grafana ワークスペースからデータソースまたは通知チャネルへのトラフィックは、パブリックインターネット経由で流れます。このため、Amazon Managed Grafana ワークスペースがアクセスできるのは、パブリックにアクセス可能なサービスに限定されます。
注記
プライベート VPC を設定していない場合、Amazon Managed Grafana はパブリックにアクセス可能なデータソースに接続します。この際、同じリージョン内の一部の AWS サービスには AWS PrivateLink を通じて接続されます。CloudWatch 、Amazon Managed Service for Prometheus、AWS X-Ray などのサービスがこれに該当します。これらのサービスへのトラフィックは、パブリックインターネットに流れることはありません。
VPC内のプライベートなデータソースに接続する場合 (トラフィックを VPC にローカルに保持したい場合) は、Amazon Managed Grafana ワークスペースをこれらのデータソースが配置されている Amazon Virtual Private Cloud (Amazon VPC) に接続することができます。この VPC データソース接続を設定すると、すべてのトラフィックが VPC 経由で流れるようになります。
仮想プライベートクラウド (VPC) は、AWS アカウント専用の仮想ネットワークです。これは、他の仮想ネットワーク (他の VPC やパブリックインターネットを含む) から論理的に分離されます。Amazon VPC を使用して、AWS クラウド で VPC を作成および管理します。Amazon VPC では、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。Amazon Managed Grafana データソースやその他のリソースを、VPC 内に作成できます。Amazon VPC の詳細については、「Amazon 仮想プライベートクラウドユーザーガイド」の「Amazon VPC とは?」を参照してください。
注記
Amazon Managed Grafana ワークスペースを VPC の外部、別のネットワーク、またはパブリックインターネットのデータに接続する場合は、他のネットワークへのルーティングを追加する必要があります。VPC を別のネットワークに接続する方法については、「Amazon 仮想プライベートクラウドユーザーガイド」の「VPC を他のネットワークに接続する」を参照してください。
VPC 接続の仕組み
Amazon VPC では、環境を自由に管理でき、アプリケーションを接続するためのパブリックおよびプライベートサブネットの作成や、サービスやリソースへのアクセス権を管理するためのセキュリティグループを作成することができます。
VPC 内のリソースで Amazon Managed Grafana を使用するには、Amazon Managed Grafana ワークスペースのその VPC への接続を作成する必要があります。接続を設定すると、Amazon Managed Grafana はワークスペースをその VPC の各アベイラビリティーゾーン内の各提供されたサブネットに接続し、Amazon Managed Grafana ワークスペースとの間で送受信されるすべてのトラフィックは VPC を経由します。以下の図に、この接続の論理構成を視覚的に示します。
Amazon Managed Grafana は、VPC (2) に接続するための接続 (1) をサブネット (Elastic Network Interface、ENI) を使用) ごとに作成します。Amazon Managed Grafana VPC 接続は、VPC と Amazon Managed Grafana ワークスペース間のトラフィックを制御する一連のセキュリティグループ (3) に関連付けられています。アラートの送信先やデータソースの接続など、すべてのトラフィックは設定された VPC 経由でルーティングされます。別の VPC やインターネットにあるデータソースやアラート先 (4) に接続するには、他のネットワークと VPC の間にゲートウェイ (5) を作成します。
VPC への接続を作成する
このセクションでは、既存の Amazon Managed Grafana ワークスペースから VPC に接続する手順について説明します。ワークスペースを作成する際にも、この手順と同じ内容を実行します。ワークスペース作成の詳細については、「Amazon Managed Grafana ワークスペースを作成する」を参照してください。
前提条件
以下は、既存の Amazon Managed Grafana ワークスペースから VPC への接続を確立するために必要な前提条件です。
-
Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。例えば、AWS の管理ポリシー
AWSGrafanaAccountAdministratorを使用できます。 -
アカウントには、それぞれに 1 つのプライベートサブネットが設定された少なくとも 2 つのアベイラビリティーゾーンを持つ VPC 設定が必要です。VPC のサブネットとセキュリティグループの情報を把握しておく必要があります。
注記
Local Zones と Wavelength Zones はサポートされていません。
TenancyがDedicatedに設定された VPC はサポートされません。 -
データソースが設定されている既存の Amazon Managed Grafana ワークスペースを接続する場合は、Amazon Managed Grafana を VPC に接続する前に、それらのデータソースに接続ための VPC の設定を行っておくことをお勧めします。これには、AWS PrivateLink を介して接続される CloudWatch などのサービスも含まれます。これを行っていない場合、これらのデータソースへの接続が失われます。
-
VPC に他のネットワークへの複数のゲートウェイがすでにある場合は、複数のゲートウェイ間で DNS 解決を設定する必要があります。詳細については、「ルート 53 リゾルバ」を参照してください。
既存の Amazon Managed Grafana ワークスペースから VPC に接続する
以下の手順では、既存の Amazon Managed Grafana ワークスペースに Amazon VPC データソース接続を追加する方法について説明します。
注記
Amazon VPC への接続を設定すると、IAM ロールが作成されます。Amazon Managed Grafana は VPC への接続を作成する際に、このロールを使用します。IAM ロールは、サービスリンクロールポリシー「AmazonGrafanaServiceLinkedRolePolicy」を使用します。サービスリンクロールの詳細については、「Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可」を参照してください。
既存の Amazon Managed Grafana ワークスペースから VPC に接続する方法
-
左のナビゲーションペインの [すべてのワークスペース] を選択します。
-
VPC データソース接続を追加するワークスペースの名前を選択します。
-
[ネットワークアクセス設定] タブで、アウトバウンド VPC 接続の横にある [編集] を選択して VPC 接続を作成します。
-
接続する VPC を選択します。
-
マッピングで、使用するアベイラビリティーゾーンを選択します。少なくとも 2 つ選択する必要があります。
-
各アベイラビリティーゾーンで少なくとも 1 つのプライベートサブネットを選択します。サブネットは IPv4 形式である必要があります。
-
VPC に少なくとも 1 つのセキュリティグループを選択します。最大 5 つのセキュリティグループを指定できます。または、この接続に適用するセキュリティグループを作成することもできます。
-
設定を完了するには、[変更の保存] を選択します。
VPC 接続の設定が完了したので、その VPC から Amazon Managed Grafana ワークスペースにアクセス可能な データソースに接続する を追加できます。
アウトバウンド VPC 設定内容の変更
設定内容を変更するには、ワークスペース設定の [ネットワークアクセス設定] タブに戻るか、UpdateWorkspace API を使用します。
重要
VPC 設定の管理は、Amazon Managed Grafana が行います。これらの VPC 設定の編集は、Amazon EC2 コンソールまたは API からは行わないでください。設定が同期されなくなります。
