Endpoints da VPC de interface - Amazon Managed Grafana
Usar o Amazon Managed Grafana com endpoints de interface da VPCCriar um endpoint da VPC para fazer uma conexão do AWS PrivateLink com o Amazon Managed Grafana Usar o controle de acesso da rede para limitar o acesso ao seu espaço de trabalho do GrafanaControlar o acesso ao endpoint da VPC da API do Amazon Managed Grafana com uma política de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints da VPC de interface

Fornecemos suporte ao AWS PrivateLink entre a Amazon VPC e o Amazon Managed Grafana. Você pode controlar o acesso ao serviço do Amazon Managed Grafana nos endpoints da nuvem privada virtual (VPC) anexando uma política de recursos do IAM para endpoints da Amazon VPC.

O Amazon Managed Grafana é compatível com dois tipos diferentes de endpoints da VPC. Você pode se conectar ao serviço do Amazon Managed Grafana fornecendo acesso às APIs do Amazon Managed Grafana para gerenciar espaços de trabalho. Ou você pode criar um endpoint da VPC para um espaço de trabalho específico.

Usar o Amazon Managed Grafana com endpoints de interface da VPC

Há duas maneiras de usar endpoints de interface da VPC com o Amazon Managed Grafana. Você pode usar um endpoint da VPC para permitir que recursos da AWS, como instâncias do Amazon EC2, acessem a API do Amazon Managed Grafana para gerenciar recursos, ou você pode usar um endpoint da VPC como parte da limitação do acesso à rede aos seus espaços de trabalho do Amazon Managed Grafana.

  • Caso esteja usando a Amazon VPC para hospedar os recursos da AWS, você poderá estabelecer uma conexão privada entre a VPC e a API do Amazon Managed Grafana usando o endpoint do nome do serviço com.amazonaws.region.grafana.

  • Se você estiver tentando usar o controle de acesso da rede para adicionar segurança ao seu espaço de trabalho do Amazon Managed Grafana, você poderá estabelecer uma conexão privada entre a VPC e o endpoint dos espaços de trabalho do Grafana usando o nome do serviço endpoint com.amazonaws.region.grafana-workspace.

A Amazon VPC é um AWS service (Serviço da AWS) que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar a VPC à API do Amazon Managed Grafana, você deve definir um endpoint de interface da VPC. O endpoint fornece uma conectividade confiável e escalável ao Amazon Managed Grafana sem precisar de um gateway da internet, uma instância de conversão de endereços de rede (NAT) ou uma conexão de VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Os endpoints de interface da VPC são desenvolvidos pelo AWS PrivateLink, uma tecnologia da AWS que permite a comunicação privada entre os Serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte Novidade: AWS PrivateLink para produtos da AWS.

Para obter informações sobre como iniciar a Amazon VPC, consulte Conceitos básicos no Guia do usuário da Amazon VPC.

Criar um endpoint da VPC para fazer uma conexão do AWS PrivateLink com o Amazon Managed Grafana

Crie um endpoint de interface da VPC para o Amazon Managed Grafana com um dos seguintes endpoints de nome de serviço:

  • Para se conectar à API do Amazon Managed Grafana para gerenciar espaços de trabalho, escolha:

    com.amazonaws.region.grafana.

  • Para se conectar a um espaço de trabalho do Amazon Managed Grafana (por exemplo, para usar a API do Grafana), escolha:

    com.amazonaws.region.grafana-workspace

Para obter mais detalhes sobre como criar um endpoint de interface da VPC, consulte Create an interface endpoint no Guia do usuário da Amazon VPC.

Para chamar as APIs do Grafana, você também deve habilitar o DNS privado para o endpoint da VPC seguindo as instruções no Guia do usuário da Amazon VPC. Isso permite a resolução local de URLs no formulário *.grafana-workspace.region.amazonaws.com

Usar o controle de acesso da rede para limitar o acesso ao seu espaço de trabalho do Grafana

Se você quiser limitar quais endereços IP ou endpoints de VPC podem ser usados para acessar um espaço de trabalho específico do Grafana, você pode configurar o controle de acesso da rede para esse espaço de trabalho.

Para endpoints da VPC aos quais você dá acesso ao seu espaço de trabalho, você pode limitar ainda mais o acesso deles configurando grupos de segurança para os endpoints. Para saber mais, consulte Associate security groups e Regras de grupos de segurança na documentação da Amazon VPC.

Controlar o acesso ao endpoint da VPC da API do Amazon Managed Grafana com uma política de endpoint

Para endpoints da VPC conectados à API do Amazon Managed Grafana (usando com.amazonaws.region.grafana), você pode adicionar uma política de endpoint da VPC para limitar o acesso ao serviço.

nota

Os endpoints da VPC conectados a espaços de trabalho (usando com.amazonaws.region.grafana-workspace) não são compatíveis com as políticas de endpoint da VPC.

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas fundamentadas na identidade e específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Control access to service with VPC endpoints no Guia do usuário da Amazon VPC.

Veja a seguir um exemplo de política de endpoint para o Amazon Managed Grafana. Essa política permite que os usuários se conectem ao Amazon Managed Grafana por meio da VPC para enviar dados para o serviço do Amazon Managed Grafana. Isso também evita que eles realizem outras ações do Amazon Managed Grafana. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
Para editar a política de endpoint da VPC para o Grafana

  1. Abra o console da Amazon VPC em Console da VPC.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não tiver criado endpoints, escolha Criar endpoint.

  4. Selecione o endpoint com.amazonaws.region.grafana e, em seguida, escolha a guia Política.

  5. Escolha Edit Policy (Editar política) e faça as alterações.