As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como utilizar o Amazon Managed Service for Prometheus com endpoints da VPC de interface
Se você utilizar a Amazon Virtual Private Cloud (Amazon VPC) para hospedar os seus recursos da AWS, pode estabelecer uma conexão privada entre o seu VPC e o Amazon Managed Service for Prometheus. Você pode usar essas conexões para habilitar o Amazon Managed Service for Prometheus para se comunicar com os seus recursos no seu VPC sem passar pela Internet pública.
A Amazon VPC é um produto da AWS que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar a sua VPC ao Amazon Managed Service for Prometheus, você define um endpoint da VPC de interface para conectar a sua VPC aos serviços da AWS. O endpoint fornece uma conectividade confiável e escalável ao Amazon Managed Service for Prometheus sem precisar de um gateway da Internet, instância de conversão de endereços de rede (NAT) ou uma conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Manual do usuário da Amazon VPC.
Os endpoints da VPC de interface são desenvolvidos por AWS PrivateLink, uma tecnologia da AWS que permite a comunicação privada entre os serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte a publicação de blog New – AWS PrivateLink PrivateLink for AWS Services
As informações a seguir são para os usuários da Amazon VPC. Para obter mais informações sobre como iniciar a Amazon VPC, consulte (Conceitos básicos da Amazon VPC e o Manual do usuário da Amazon VPC.
Criar um endpoint da VPC de interface para o Amazon Managed Service for Prometheus
Crie um endpoint da VPC de interface para começar a usar o Amazon Managed Service for Prometheus. Escolha entre os seguintes endpoints do nome do serviço:
com.amazonaws.region.aps-workspacesEscolha este nome de serviço para trabalhar com APIs compatíveis com o Prometheus. Para obter mais informações, consulte APIs compatíveis com Prometheus no Manual do usuário do Amazon Managed Service for Prometheus.
com.amazonaws.region.apsEscolha este nome de serviço para realizar tarefas de gerenciamento do espaço de trabalho. Para obter mais informações, consulte as APIs do Amazon Managed Service for Prometheus no Manual do usuário do Amazon Managed Service for Prometheus.
nota
Se você estiver usando remote_write em uma VPC sem acesso direto à Internet, também deverá criar endpoint da VPC da interface para AWS Security Token Service, para permitir que o sigv4 funcione através do endpoint. Para obter mais informações sobre a criação de endpoint da VPC para AWS STS, consulte Como usar AWS STS endpoints da VPC da interface no AWS Identity and Access Management Manual do usuário. Você deve configurar AWS STS para usar endpoints regionalizados.
Para obter mais informações, incluindo instruções passo a passo para criar um endpoint da VPC da interface, consulte Criação de um endpoint de interface no Manual do usuário da Amazon VPC.
nota
Você pode usar políticas de endpoint da VPC para controlar o acesso ao seu endpoint de VPC da interface Amazon Managed Service for Prometheus. Consulte a próxima seção para obter mais informações.
Se você criou um endpoint da VPC de interface para o Amazon Managed Service for Prometheus e já tiver o fluxo de dados para os espaços de trabalho localizados em sua VPC, as métricas fluirão por meio do endpoint da VPC de interface por padrão. O Amazon Managed Service for Prometheus usa endpoints públicos ou privados da interface (aqueles que estiverem em uso) para realizar essa tarefa.
Controle do acesso ao endpoint da VPC do seu Amazon Managed Service for Prometheus
Você pode usar políticas de endpoint da VPC para controlar o acesso ao seu endpoint de VPC da interface Amazon Managed Service for Prometheus. Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas fundamentadas na identidade e específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.
Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Manual do usuário da Amazon VPC.
Veja a seguir um exemplo de política de endpoint do Amazon Managed Service for Prometheus. Essa política permite aos usuários com função PromUser se conectarem ao Amazon Managed Service for Prometheus através da VPC para visualizar espaços de trabalho e grupos de regras, mas não permite, por exemplo, criar ou excluir espaços de trabalho.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonManagedPrometheusPermissions", "Effect": "Allow", "Action": [ "aps:DescribeWorkspace", "aps:DescribeRuleGroupsNamespace", "aps:ListRuleGroupsNamespace", "aps:ListWorkspaces" ], "Resource": "arn:aws:aps:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/PromUser" ] } } ] }
O exemplo a seguir mostra uma política que só permite a efetivação de solicitações provenientes de um endereço IP especificado na VPC estabelecida. Solicitações de outros endereços IP não são aceitas.
{ "Statement": [ { "Action": "aps:*", "Effect": "Allow", "Principal": "*", "Resource": "*", "Condition": { "IpAddress": { "aws:VpcSourceIp": "192.0.2.123" }, "StringEquals": { "aws:SourceVpc": "vpc-555555555555" } } } ] }
