翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する
デフォルトでは、Amazon Managed Grafana ワークスペースからデータソースまたは通知チャネルへのトラフィックは、パブリックインターネット経由で流れます。これにより、Amazon Managed Grafana ワークスペースからパブリックにアクセス可能なサービスへの接続が制限されます。
注記
プライベート VPC を設定しておらず、Amazon Managed Grafana がパブリックにアクセス可能なデータソースに接続している場合、 を介して同じリージョンの一部 AWS のサービスに接続します AWS PrivateLink。これには、 CloudWatch、Amazon Managed Service for Prometheus、 などのサービスが含まれます AWS X-Ray。これらのサービスへのトラフィックは、パブリックインターネットを経由しません。
VPC 内のプライベート向けデータソースに接続する場合、またはトラフィックを VPC にローカルに保つ場合は、Amazon Managed Grafana ワークスペースをこれらのデータソースをホストする Amazon Virtual Private Cloud (Amazon VPC) に接続できます。VPC データソース接続を設定すると、すべてのトラフィックが VPC を経由します。
Virtual Private Cloud (VPC) は、 専用の仮想ネットワークです AWS アカウント。これは、他の VPCs やパブリックインターネットを含む他の仮想ネットワークから論理的に分離されます。Amazon VPC を使用して、 で VPCs を作成および管理します AWS クラウド。Amazon VPC では、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。Amazon Managed Grafana データソースおよびその他のリソースは、VPC で作成できます。Amazon VPC の詳細については、「Amazon Amazon Virtual Private Cloud ユーザーガイド」の「Amazon VPC とは」を参照してください。
注記
Amazon Managed Grafana ワークスペースを VPC の外部にある別のネットワークまたはパブリックインターネットのデータに接続する場合は、他のネットワークにルーティングを追加する必要があります。VPC を別のネットワークに接続する方法については、Amazon Virtual Private Cloud ユーザーガイド」の「VPC を他のネットワークに接続する」を参照してください。
VPC 接続の仕組み
Amazon VPC では、接続するアプリケーション用のパブリックサブネットとプライベートサブネットの作成、サブネットにアクセスできるサービスまたはリソースを管理するセキュリティグループの作成など、仮想ネットワーク環境を完全に制御できます。
VPC 内のリソースで Amazon Managed Grafana を使用するには、Amazon Managed Grafana ワークスペースのその VPC への接続を作成する必要があります。接続を設定すると、Amazon Managed Grafana はその VPC 内の各アベイラビリティーゾーン内の指定された各サブネットにワークスペースを接続し、Amazon Managed Grafana ワークスペースとの間のすべてのトラフィックは VPC を経由します。次の図は、この接続が論理的にどのように見えるかを示しています。
Amazon Managed Grafana は、サブネットごとに接続 (1) を作成し (Elastic Network Interface または ENI を使用)、VPC (2) に接続します。Amazon Managed Grafana VPC 接続は、VPC と Amazon Managed Grafana ワークスペース間のトラフィックを制御する一連のセキュリティグループ (3) に関連付けられています。すべてのトラフィックは、アラートの送信先やデータソース接続など、設定された VPC を介してルーティングされます。他の VPCsまたはパブリックインターネット (4) のデータソースとアラート送信先に接続するには、他のネットワークと VPC の間にゲートウェイ (5) を作成します。
VPC への接続を作成する
このセクションでは、既存の Amazon Managed Grafana ワークスペースから VPC に接続する手順について説明します。ワークスペースの作成時も、これらの同じ指示に従うことができます。ワークスペースの作成の詳細については、「」を参照してくださいAmazon Managed Grafana ワークスペースを作成する。
前提条件
以下は、既存の Amazon Managed Grafana ワークスペースから VPC への接続を確立するための前提条件です。
-
Amazon Managed Grafana ワークスペースを設定または作成するために必要なアクセス許可が必要です。例えば、 AWS 管理ポリシー を使用できます
AWSGrafanaAccountAdministrator
。 -
アカウントには、少なくとも 2 つのアベイラビリティーゾーンが設定され、それぞれに 1 つのプライベートサブネットが設定されている VPC を設定する必要があります。VPC のサブネットとセキュリティグループの情報を把握しておく必要があります。
注記
Local Zones と Wavelength Zones はサポートされていません。
を
Tenancy
に設定して設定された VPCsDedicated
はサポートされていません。 -
データソースが設定されている既存の Amazon Managed Grafana ワークスペースを接続する場合は、Amazon Managed Grafana を VPC に接続する前に、それらのデータソースに接続するように VPC を設定しておくことをお勧めします。これには、 を介して接続 CloudWatch される などのサービスが含まれます AWS PrivateLink。そうしないと、これらのデータソースへの接続が失われます。
-
VPC に既に他のネットワークへの複数のゲートウェイがある場合は、複数のゲートウェイにまたがって DNS 解決を設定する必要がある場合があります。詳細については、Route 53 Resolver」を参照してください。
既存の Amazon Managed Grafana ワークスペースから VPC に接続する
次の手順では、既存の Amazon Managed Grafana ワークスペースに Amazon VPC データソース接続を追加する方法について説明します。
注記
Amazon VPC への接続を設定すると、IAM ロールが作成されます。このロールを使用すると、Amazon Managed Grafana は VPC への接続を作成できます。IAM ロールは、サービスにリンクされたロールポリシー を使用しますAmazonGrafanaServiceLinkedRolePolicy
。サービスにリンクされたロールの詳細については、「」を参照してくださいAmazon Managed Grafana のサービスにリンクされたロールのアクセス許可。
既存の Amazon Managed Grafana ワークスペースから VPC に接続するには
-
Amazon Managed Grafana コンソール
を開きます。 -
左側のナビゲーションペインで、すべてのワークスペース を選択します。
-
VPC データソース接続を追加するワークスペースの名前を選択します。
-
「ネットワークアクセス設定」タブの「アウトバウンド VPC 接続」の横にある「編集」を選択して VPC 接続を作成します。
-
接続する VPC を選択します。
-
マッピング で、使用するアベイラビリティーゾーンを選択します。少なくとも 2 つを選択する必要があります。
-
各アベイラビリティーゾーンで少なくとも 1 つのプライベートサブネットを選択します。サブネットは IPv4 をサポートしている必要があります。
-
VPC に少なくとも 1 つのセキュリティグループを選択します。最大 5 つのセキュリティグループを指定できます。または、この接続に適用するセキュリティグループを作成することもできます。
-
変更を保存を選択してセットアップを完了します。
VPC 接続をセットアップしたので、その VPC から Amazon Managed Grafana ワークスペースにアクセスデータソースに接続する可能な を追加できます。
アウトバウンド VPC 設定の変更
設定を変更するには、ワークスペース設定のネットワークアクセス設定タブに戻るか、 UpdateWorkspace API を使用できます。
重要
Amazon Managed Grafana が VPC 設定を管理します。Amazon EC2 コンソールまたは APIs設定を編集しないでください。編集すると、設定が同期しなくなります。