Configure o acesso da rede ao espaço de trabalho do Amazon Managed Grafana - Amazon Managed Grafana
Configurar controle de acesso da rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure o acesso da rede ao espaço de trabalho do Amazon Managed Grafana

Você pode controlar como usuários e hosts acessam os espaços de trabalho do Grafana.

O Grafana exige que todos os usuários sejam autenticados e autorizados. No entanto, por padrão, os espaços de trabalho do Amazon Managed Grafana estão abertos a todo o tráfego de rede. Você pode configurar o controle de acesso da rede para um espaço de trabalho, para controlar qual tráfego de rede pode acessá-lo.

Você pode controlar o tráfego para seu espaço de trabalho de duas maneiras.

  • Endereços IP (listas de prefixos): você pode criar uma lista gerenciada de prefixos com intervalos de IP que têm permissão para acessar os espaços de trabalho. O Amazon Managed Grafana é compatível apenas com endereços IPv4 públicos para controle de acesso da rede.

  • Endpoints da VPC: você pode criar uma lista de endpoints da VPC para os espaços de trabalho que têm permissão para acessar um espaço de trabalho específico.

Ao configurar o controle de acesso da rede, você deve incluir pelo menos um endpoint da VPC ou uma lista de prefixos.

O Amazon Managed Grafana usa as listas de prefixos e os endpoints da VPC para decidir quais solicitações ao espaço de trabalho do Grafana podem se conectar. O diagrama a seguir mostra essa filtragem.

Uma imagem mostrando o controle de acesso da rede do Amazon Managed Grafana permitindo algumas solicitações e bloqueando outras que tentem acessar um espaço de trabalho do Amazon Managed Grafana.

A configuração do controle de acesso da rede (1) para um espaço de trabalho do Amazon Managed Grafana especifica quais solicitações devem ter permissão para acessar o espaço de trabalho. O controle de acesso da rede pode permitir ou bloquear o tráfego por endereço IP (2) ou pelo endpoint da interface que está sendo usado (3).

A seção a seguir descreve como configurar o controle de acesso da rede.

Configurar controle de acesso da rede

Você pode adicionar controle de acesso da rede a um espaço de trabalho existente ou configurá-lo como parte da criação inicial do espaço de trabalho.

Pré-requisitos

Para configurar o controle de acesso da rede, você deve primeiro criar um endpoint de interface da VPC para os espaços de trabalho, ou pelo menos uma lista de prefixos IP para os endereços IP que você deseja permitir. Você também pode criar ambos ou mais de um dos dois.

  • Endpoint da VPC: você pode criar um endpoint de interface da VPC que dá acesso a todos os espaços de trabalho. Depois de criar o endpoint, você precisará do ID do endpoint da VPC para cada endpoint que quiser permitir. Os IDs do endpoint da VPC têm o formato vpce-1a2b3c4d.

    Para obter informações sobre como criar um endpoint da VPC para os espaços de trabalho do Grafana, consulte Endpoints da VPC de interface. Para criar um endpoint da VPC especificamente para os espaços de trabalho, use o nome do endpoint com.amazonaws.region.grafana-workspace.

    Para endpoints da VPC aos quais você dá acesso ao seu espaço de trabalho, você pode limitar ainda mais o acesso deles configurando grupos de segurança para os endpoints. Para saber mais, consulte Associate security groups e Regras de grupos de segurança na documentação da Amazon VPC.

  • Lista gerenciada de prefixos (para intervalos de endereços IP): para permitir endereços IP, você deve criar uma ou mais listas de prefixos na Amazon VPC com a lista de intervalos de IP a serem permitidos. Há algumas limitações para listas de prefixos quando usadas para o Amazon Managed Grafana:

    • Cada lista de prefixos pode conter até cem intervalos de endereços IP.

    • Os intervalos de endereços IP privados (por exemplo, 10.0.0.0/16) são ignorados. Você pode incluir intervalos de endereços IP privados em uma lista de prefixos, mas o Amazon Managed Grafana os ignora ao filtrar o tráfego para o espaço de trabalho. Para permitir que esses hosts acessem o espaço de trabalho, crie um endpoint da VPC para os espaços de trabalho e conceda acesso a eles.

    • O Amazon Managed Grafana é compatível apenas com endereços IPv4 em listas de prefixos, não IPv6. Os endereços IPv6 são ignorados.

    Você cria listas gerenciadas de prefixos por meio do Console da Amazon VPC. Depois de criar as listas de prefixos, você precisa do ID da lista de prefixos para cada lista que quiser permitir no Amazon Managed Grafana. Os IDs da lista de prefixos têm o formato pl-1a2b3c4d.

    Para obter mais informações sobre como criar listas de prefixos, consulte Agrupar blocos CIDR usando listas de prefixos gerenciadas no Guia do usuário da Amazon Virtual Private Cloud.

  • Você deve ter as permissões necessárias para configurar ou criar um espaço de trabalho do Amazon Managed Grafana. Por exemplo, você pode usar a política gerenciada da AWS, AWSGrafanaAccountAdministrator.

Depois de ter a lista de IDs para as listas de prefixos ou endpoints da VPC que você deseja dar acesso ao espaço de trabalho, você estará pronto para criar a configuração de controle de acesso da rede.

nota

Se você habilitar o controle de acesso da rede, mas não adicionar uma lista de prefixos à configuração, nenhum acesso ao seu espaço de trabalho será permitido, exceto por meio dos endpoints da VPC permitidos.

Da mesma forma, se você habilitar o controle de acesso da rede, mas não adicionar um endpoint da VPC à configuração, nenhum acesso ao espaço de trabalho será permitido, exceto por meio dos endereços IP permitidos.

Você deve incluir pelo menos uma lista de prefixos ou um endpoint da VPC na configuração do controle de acesso da rede, ou você não conseguirá acessar o espaço de trabalho de qualquer lugar.

Para configurar o controle de acesso da rede para um espaço de trabalho

  1. Abra o console do Amazon Managed Grafana.

  2. No painel de navegação à esquerda, escolha Todos os espaços de trabalho.

  3. Selecione o nome do espaço de trabalho para o qual você deseja configurar o controle de acesso da rede.

  4. Na guia Controle de acesso da rede, em Controle de acesso da rede, escolha Acesso restrito para configurar o controle de acesso da rede.

    nota

    Você pode acessar essas mesmas opções ao criar um espaço de trabalho.

  5. No menu suspenso, selecione se você está adicionando uma Lista de prefixos ou um Endpoint da VPC.

  6. Selecione o endpoint da VPC ou o ID da lista de prefixos que você deseja adicionar (como alternativa, você pode digitar o ID que deseja usar). Você deve escolher pelo menos um.

  7. Para adicionar mais endpoints ou listas, selecione Adicionar novo recurso para cada um que você deseja adicionar.

    nota

    Você pode adicionar até cinco listas de prefixos e cinco endpoints da VPC.

  8. Escolha Salvar alterações para concluir a configuração.

Atenção

Se você já tiver usuários do espaço de trabalho, inclua os intervalos de IP ou endpoints da VPC na configuração, ou eles perderão o acesso com um erro 403 Forbidden. É recomendável testar os pontos de acesso existentes após configurar ou modificar a configuração do controle de acesso da rede.