기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터페이스 VPC 엔드포인트에서 Amazon Managed Service for Prometheus 사용
Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스트하는 경우, VPC와 Amazon Managed Service for Prometheus 간에 프라이빗 연결을 설정할 수 있습니다. 이러한 연결을 사용하면 Amazon Managed Service for Prometheus가 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있습니다.
Amazon VPC란 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 때 사용할 수 있는 AWS 서비스입니다. VPC가 있으면 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등 네트워크 설정을 제어할 수 있습니다. VPC를 Amazon Managed Service for Prometheus에 연결하려면 인터페이스 VPC 엔드포인트를 정의하여 VPC를 AWS 서비스에 연결합니다. 이 엔드포인트를 사용하면 인터넷 게이트웨이나 NAT(네트워크 주소 변환) 인스턴스 또는 VPN 연결 없이도 Amazon Managed Service for Prometheus에 안정적이고 확장 가능하게 연결됩니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC란 무엇입니까를 참조하세요.
인터페이스 VPC 엔드포인트는 프라이빗 IP 주소와 함께 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간 프라이빗 통신을 사용할 수 있는 AWS 기술인 AWS PrivateLink에 의해 구동됩니다. 자세한 내용은 새 기능 – AWS 서비스를 위한 AWS PrivateLink
다음은 Amazon VPC 사용자를 위한 정보입니다. Amazon VPC를 시작하는 방법에 대한 내용은 Amazon VPC 사용 설명서에서 시작하기를 참조하세요.
Amazon Managed Service for Prometheus에 대한 인터페이스 VPC 엔드포인트 생성
인터페이스 VPC 엔드포인트를 생성하여 Amazon Managed Service for Prometheus 사용을 시작합니다. 다음 서비스 이름 엔드포인트 중에서 선택합니다.
com.amazonaws.region.aps-workspacesPrometheus 호환 API를 사용하려면 이 서비스 이름을 선택합니다. 자세한 내용은 Amazon Managed Service for Prometheus 사용 설명서에서 Prometheus 호환 API를 참조하세요.
com.amazonaws.region.aps워크스페이스 관리 태스크를 수행하려면 이 서비스 이름을 선택합니다. 자세한 내용은 Amazon Managed Service for Prometheus 사용 설명서에서 Amazon Managed Service for Prometheus API를 참조합니다.
참고
인터넷에 직접 액세스할 수 없는 VPC에서 remote_write를 사용하는 경우 AWS Security Token Service에 대한 인터페이스 VPC 엔드포인트도 생성하여 sigv4가 엔드포인트를 통해 작동할 수 있도록 해야 합니다. AWS STS에 대한 VPC 엔드포인트 생성에 대한 내용은 AWS Identity and Access Management 사용 설명서의 AWS STS 인터페이스 VPC 엔드포인트 사용을 참조하세요. 리전화된 엔드포인트를 사용하도록 AWS STS를 설정해야 합니다.
인터페이스 VPC 엔드포인트를 생성하는 단계별 지침을 비롯한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 생성을 참조하세요.
참고
VPC 엔드포인트 정책을 사용하여 Amazon Managed Service for Prometheus 인터페이스 VPC 엔드포인트에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 다음 섹션을 참조하세요.
Amazon Managed Service for Prometheus에 대한 인터페이스 VPC 엔드포인트를 생성했고 VPC에 있는 워크스페이스로 흐르는 데이터가 이미 있는 경우 지표는 기본적으로 인터페이스 VPC 엔드포인트를 통해 흐릅니다. Amazon Managed Service for Prometheus는 퍼블릭 엔드포인트 또는 프라이빗 인터페이스 엔드포인트(사용 중인 것 중 하나)를 사용하여 이 태스크를 수행합니다.
Amazon Managed Service for Prometheus VPC 엔드포인트에 대한 액세스 제어
VPC 엔드포인트 정책을 사용하여 Amazon Managed Service for Prometheus 인터페이스 VPC 엔드포인트에 대한 액세스를 제어할 수 있습니다. VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 생성할 때 정책을 연결하지 않으면 Amazon VPC는 서비스에 대한 전체 액세스를 허용하는 기본 정책을 자동으로 연결합니다. 엔드포인트 정책은 IAM ID 기반 정책 또는 서비스별 정책을 재정의하거나 대체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.
다음은 Amazon Managed Service for Prometheus에 대한 엔드포인트 정책의 예입니다. 이 정책은 VPC를 통해 Amazon Managed Service for Prometheus에 연결하는 PromUser 역할이 있는 사용자가 워크스페이스 및 규칙 그룹을 볼 수 있도록 허용하지만, 워크스페이스를 생성하거나 삭제하는 등은 허용하지 않습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonManagedPrometheusPermissions", "Effect": "Allow", "Action": [ "aps:DescribeWorkspace", "aps:DescribeRuleGroupsNamespace", "aps:ListRuleGroupsNamespace", "aps:ListWorkspaces" ], "Resource": "arn:aws:aps:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/PromUser" ] } } ] }
다음 예제는 지정된 VPC의 지정된 IP 주소에서 들어오는 요청만 성공하도록 허용하는 정책을 보여 줍니다. 다른 IP 주소에서 들어오는 요청은 실패합니다.
{ "Statement": [ { "Action": "aps:*", "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": "192.0.2.123" }, "StringEquals": { "aws:SourceVpc": "vpc-555555555555" } } } ] }
