接口 VPC 端点 - Amazon Managed Grafana

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

接口 VPC 端点

我们在亚马逊 VPC 和亚马逊托管 Grafana 之间提供 AWS PrivateLink 支持。您可以通过为亚马逊 VPC 终端节点附加 IAM 资源策略来控制从虚拟私有云 (VPC) 终端节点访问亚马逊托管 Grafana 服务。

Amazon Managed Grafana 支持两种不同的 VPC 终端节点。您可以连接到亚马逊托管 Grafana 服务,提供对亚马逊托管 Grafana API 的访问权限以管理工作空间。或者,您可以创建指向特定工作空间的 VPC 终端节点。

使用带有接口 VPC 终端节点的亚马逊托管 Grafana

有两种方法可以将接口 VPC 终端节点与亚马逊托管 Grafana 配合使用。您可以使用 VPC 终端节点允许诸如亚马逊 EC2 实例之类的 AWS 资源访问亚马逊托管 Grafana API 来管理资源,也可以使用 VPC 终端节点来限制对亚马逊托管 Grafana 工作空间的网络访问。

  • 如果您使用亚马逊 VPC 托管 AWS 资源,则可以使用服务名称终端节点在您的 VPC 和亚马逊托管 Grafana API com.amazonaws.region.grafana 之间建立私有连接。

  • 如果您正在尝试使用网络访问控制来增强您的 Amazon Managed Grafana 工作空间的安全性,则可以使用服务名称终端节点在 VPC 和 Grafana 工作空间终端节点之间建立私有连接。com.amazonaws.region.grafana-workspace

Amazon VPC 可用于在您定义的虚拟网络中启动 AWS 资源。 AWS 服务 借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将您的 VPC 连接到您的亚马逊托管 Grafana API,您需要定义接口 VPC 终端节点。该终端节点无需互联网网关、网络地址转换 (NAT) 实例或 VPN 连接即可与 Amazon Managed Grafana 提供可靠、可扩展的连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

接口 VPC 终端节点由 AWS PrivateLink一种 AWS 技术提供支持,该技术允许在 AWS 服务 使用弹性网络接口与私有 IP 地址之间进行私有通信。有关更多信息,请参阅新增- AWS PrivateLink 适用于 AWS 服务

有关如何开始使用 Amazon VPC 的信息,请参阅 Ama zon VPC 用户指南中的入门

创建 VPC 终端节点以建立 AWS PrivateLink 与亚马逊托管 Grafana 的连接

使用以下服务名称终端节点之一创建连接到 Amazon Managed Grafana 的接口 VPC 终端节点:

  • 要连接用于管理工作空间的亚马逊托管 Grafana API,请选择:

    com.amazonaws.region.grafana.

  • 要连接到亚马逊托管 Grafana 工作空间(例如,使用 Grafana API),请选择:

    com.amazonaws.region.grafana-workspace

有关创建接口 VPC 终端节点的详细信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点

要调用 Grafana API,您还必须按照亚马逊 VPC 用户指南中的说明为 VPC 终端节点启用私有 DNS。这样可以对表单中的 URL 进行本地解析 *.grafana-workspace.region.amazonaws.com

使用网络访问控制来限制对您的 Grafana 工作空间的访问

如果您想限制可用于访问特定 Grafana 工作空间的 IP 地址或 VPC 终端节点,则可以配置对该工作空间的网络访问控制。

对于您授予工作空间访问权限的 VPC 终端节点,您可以通过为终端节点配置安全组来进一步限制其访问权限。要了解更多信息,请参阅 Amazon VPC 文档中的关联安全组和安全组规则

使用终端节点策略控制对您的亚马逊托管 Grafana API VPC 终端节点的访问

对于与 Amazon Managed Grafana API(com.amazonaws.region.grafana使用)连接的 VPC 终端节点,您可以添加 VPC 终端节点策略来限制对服务的访问。

注意

连接到工作空间(使用com.amazonaws.region.grafana-workspace)的 VPC 终端节点不支持 VPC 终端节点策略。

VPC 端点策略是一种 IAM 资源策略,您在创建或修改端点时可将它附加到端点。如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。终端节点策略不会覆盖或替换 IAM 基于身份的策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。

端点策略必须采用 JSON 格式编写。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

以下是亚马逊托管 Grafana 的终端节点策略示例。该政策允许通过 VPC 连接到亚马逊托管 Grafana 的用户向亚马逊托管 Grafana 服务发送数据。它还会阻止他们执行其他 Amazon Managed Grafana 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] } } ] }
编辑 Grafana 的 VPC 终端节点策略
  1. 在 VPC 控制台上打开亚马逊 VPC 控制台

  2. 在导航窗格中,选择端点

  3. 如果您尚未创建终端节点,请选择创建终端节点

  4. 选择终com.amazonaws.region.grafana端节点,然后选择策略选项卡。

  5. 选择编辑策略,然后进行更改。