Amazon 관리형 Grafana 워크스페이스에 대한 네트워크 액세스를 구성합니다. - Amazon Managed Grafana
네트워크 액세스 제어 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon 관리형 Grafana 워크스페이스에 대한 네트워크 액세스를 구성합니다.

사용자와 호스트가 Grafana 작업 영역에 액세스하는 방법을 제어할 수 있습니다.

Grafana는 모든 사용자의 인증 및 승인을 요구합니다. 하지만 Amazon 관리형 Grafana 워크스페이스는 기본적으로 모든 네트워크 트래픽에 개방되어 있습니다. 작업 공간에 대한 네트워크 액세스 제어를 구성하여 해당 작업 공간에 도달할 수 있는 네트워크 트래픽을 제어할 수 있습니다.

두 가지 방법으로 작업 공간에 대한 트래픽을 제어할 수 있습니다.

  • IP 주소 (접두사 목록) - 작업 공간에 액세스할 수 있는 IP 범위를 포함하는 관리형 접두사 목록을 만들 수 있습니다. Amazon Managed Grafana는 네트워크 액세스 제어를 위해 퍼블릭 IPv4 주소만 지원합니다.

  • VPC 엔드포인트 — 특정 워크스페이스에 액세스할 수 있는 워크스페이스에 대한 VPC 엔드포인트 목록을 생성할 수 있습니다.

네트워크 액세스 제어를 구성할 때는 접두사 목록 또는 VPC 엔드포인트를 하나 이상 포함해야 합니다.

Amazon Managed Grafana는 접두사 목록과 VPC 엔드포인트를 사용하여 Grafana 워크스페이스에 연결할 수 있는 요청을 결정합니다. 다음 다이어그램은 이 필터링을 보여줍니다.

Amazon Managed Grafana 네트워크 액세스 제어에서 일부 요청은 허용하고 다른 요청은 Amazon Managed Grafana 작업 공간에 액세스하려는 요청을 차단하는 것을 보여주는 이미지입니다.

Amazon Managed Grafana 작업 영역에 대한 네트워크 액세스 제어 구성 (1) 은 작업 공간 액세스를 허용해야 하는 요청을 지정합니다. 네트워크 액세스 제어는 IP 주소 (2) 또는 사용 중인 인터페이스 엔드포인트 (3) 별로 트래픽을 허용하거나 차단할 수 있습니다.

다음 섹션에서는 네트워크 액세스 제어를 설정하는 방법을 설명합니다.

네트워크 액세스 제어 구성

기존 작업 공간에 네트워크 액세스 제어를 추가하거나 작업 영역 초기 생성 시 네트워크 액세스 제어를 구성할 수 있습니다.

사전 조건 

네트워크 액세스 제어를 설정하려면 먼저 워크스페이스에 대한 인터페이스 VPC 엔드포인트를 생성하거나 허용하려는 IP 주소에 대해 하나 이상의 IP 접두사 목록을 생성해야 합니다. 둘 다 만들거나 둘 중 하나 이상을 만들 수도 있습니다.

  • VPC 엔드포인트 — 모든 워크스페이스에 대한 액세스를 제공하는 인터페이스 VPC 엔드포인트를 만들 수 있습니다. 엔드포인트를 생성한 후에는 허용하려는 각 엔드포인트의 VPC 엔드포인트 ID가 필요합니다. VPC 엔드포인트 ID의 형식은 다음과 같습니다. vpce-1a2b3c4d

    Grafana 작업 공간을 위한 VPC 엔드포인트 생성에 대한 자세한 내용은 을 참조하십시오. 인터페이스 VPC 엔드포인트 워크스페이스 전용 VPC 엔드포인트를 만들려면 엔드포인트 이름을 사용하세요. com.amazonaws.region.grafana-workspace

    작업 공간에 대한 액세스 권한을 부여하는 VPC 엔드포인트의 경우, 엔드포인트에 대한 보안 그룹을 구성하여 액세스를 추가로 제한할 수 있습니다. 자세한 내용은 Amazon VPC 설명서의 보안 그룹 연결 및 보안 그룹 규칙을 참조하십시오.

  • 관리형 접두사 목록 (IP 주소 범위용) — IP 주소를 허용하려면 Amazon VPC에서 허용할 IP 범위 목록과 함께 하나 이상의 접두사 목록을 생성해야 합니다. Amazon Managed Grafana에 사용할 경우 접두사 목록에는 몇 가지 제한이 있습니다.

    • 각 접두사 목록은 최대 100개의 IP 주소 범위를 포함할 수 있습니다.

    • 사설 IP 주소 범위 (예:) 10.0.0.0/16 는 무시됩니다. 접두사 목록에 사설 IP 주소 범위를 포함할 수 있지만 Amazon Managed Grafana는 작업 공간으로 향하는 트래픽을 필터링할 때 해당 범위를 무시합니다. 호스트가 워크스페이스에 도달할 수 있도록 하려면 워크스페이스용 VPC 엔드포인트를 생성하고 액세스 권한을 부여하세요.

    • 아마존 매니지드 Grafana는 접두사 목록의 IPv4 주소만 지원하며 IPv6는 지원하지 않습니다. IPv6 주소는 무시됩니다.

    Amazon VPC 콘솔을 통해 관리형 접두사 목록을 생성합니다. 접두사 목록을 생성한 후에는 Amazon Managed Grafana에서 허용하려는 각 목록의 접두사 목록 ID가 필요합니다. 접두사 목록 ID의 형식은 다음과 같습니다. pl-1a2b3c4d

    접두사 목록 생성에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 관리형 접두사 목록을 사용하여 CIDR 블록을 그룹화하는 방법을 참조하십시오.

  • Amazon Managed Grafana 작업 공간을 구성하거나 생성하는 데 필요한 권한이 있어야 합니다. 예를 들어, AWS 관리형 정책을 사용할 수 있습니다. AWSGrafanaAccountAdministrator

작업 공간에 대한 액세스 권한을 부여하려는 접두사 목록 또는 VPC 엔드포인트의 ID 목록을 만들었으면 네트워크 액세스 제어 구성을 생성할 준비가 된 것입니다.

참고

네트워크 액세스 제어를 활성화하고 구성에 접두사 목록을 추가하지 않는 경우 허용된 VPC 엔드포인트를 통하지 않는 한 작업 공간에 대한 액세스는 허용되지 않습니다.

마찬가지로 네트워크 액세스 제어를 활성화하고 VPC 엔드포인트를 구성에 추가하지 않는 경우 허용된 IP 주소를 통하지 않는 한 작업 공간에 대한 액세스는 허용되지 않습니다.

네트워크 액세스 제어 구성에 접두사 목록 또는 VPC 엔드포인트를 하나 이상 포함해야 합니다. 그렇지 않으면 어디에서도 워크스페이스에 액세스할 수 없습니다.

워크스페이스에 대한 네트워크 액세스 제어를 구성하려면

  1. 아마존 매니지드 Grafana 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 모든 워크스페이스를 선택합니다.

  3. 네트워크 액세스 제어를 구성하려는 작업 영역의 이름을 선택합니다.

  4. 네트워크 액세스 제어 탭의 네트워크 액세스 제어에서 제한된 액세스를 선택하여 네트워크 액세스 제어를 구성합니다.

    참고

    작업 영역을 만들 때 이와 동일한 옵션에 액세스할 수 있습니다.

  5. 드롭다운에서 접두사 목록을 추가할지 아니면 VPC 엔드포인트를 추가할지를 선택합니다.

  6. 추가하려는 VPC 엔드포인트 또는 접두사 목록 ID를 선택합니다. 또는 사용할 ID를 입력할 수도 있습니다. 최소 하나를 선택해야 합니다.

  7. 엔드포인트 또는 목록을 더 추가하려면 추가하려는 각 엔드포인트에 대해 새 리소스 추가를 선택합니다.

    참고

    최대 5개의 접두사 목록과 5개의 VPC 엔드포인트를 추가할 수 있습니다.

  8. 변경 내용 저장을 선택하여 설정을 완료합니다.

주의

작업 공간의 기존 사용자가 있는 경우 해당 사용자의 IP 범위 또는 VPC 엔드포인트를 구성에 포함하십시오. 그렇지 않으면 오류로 인해 액세스 권한을 잃게 됩니다. 403 Forbidden 네트워크 액세스 제어 구성을 설정하거나 수정한 후에는 기존 액세스 포인트를 테스트하는 것이 좋습니다.