将 Amazon Managed Service for Prometheus 与接口 VPC 终端节点结合使用 - Amazon Managed Service for Prometheus
为 Amazon Managed Service for Prometheus 创建接口 VPC 终端节点

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Amazon Managed Service for Prometheus 与接口 VPC 终端节点结合使用

如果您使用 Amazon Virtual Private Cloud(Amazon VPC)托管 AWS 资源,则可以在您的 VPC 和 Amazon Managed Service for Prometheus 之间建立专有连接。您可以使用这些连接让 Amazon Managed Service for Prometheus 与您的 VPC 上的资源之间进行通信,而不用访问公共 Internet。

Amazon VPC 是一项 AWS 服务,可用来启动在虚拟网络中定义的 AWS 资源。借助 VPC,您可以控制您的网络设置,如 IP 地址范围、子网、路由表和网络网关。要将您的 VPC 连接到 Amazon Managed Service for Prometheus,您需要定义一个接口 VPC 终端节点来将您的 VPC 连接到 AWS 服务。该终端节点提供了到 Amazon Managed Service for Prometheus 的可靠、可扩展的连接,无需 Internet 网关、网络地址转换(NAT)实例或 VPN 连接。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC

接口 VPC 终端节点由 AWS PrivateLink 提供支持,后者是一种 AWS 技术,可将弹性网络接口与私有 IP 地址结合使用来支持 AWS 服务之间的专有通信。有关更多信息,请参阅新增 – 适用于 AWS 服务的 AWS PrivateLink 博客文章。

以下信息面向的是 Amazon VPC 用户。有关如何开始使用 Amazon VPC 的更多信息,请参阅《Amazon VPC 用户指南》中的开始使用

为 Amazon Managed Service for Prometheus 创建接口 VPC 终端节点

创建接口 VPC 终端节点以开始使用 Amazon Managed Service for Prometheus。从以下服务名称终端节点中进行选择:

  • com.amazonaws.region.aps-workspaces

    选择此服务名称即可使用与 Prometheus 兼容的 API。有关更多信息,请参阅《Amazon Managed Service for Prometheus 用户指南》中的与 Prometheus 兼容的 API

  • com.amazonaws.region.aps

    选择此服务名称来执行工作区管理任务。有关更多信息,请参阅《Amazon Managed Service for Prometheus 用户指南》中的 Amazon Managed Service for Prometheus API

注意

如果您在无法直接访问 Internet 的 VPC 中使用 remote_write,则还必须为 AWS Security Token Service 创建接口 VPC 终端节点,以便 sigv4 可用于该终端节点。有关为 AWS STS 创建 VPC 终端节点的更多信息,请参阅《AWS Identity and Access Management 用户指南》中的使用 AWS STS 接口 VPC 终端节点。您必须将 AWS STS 设置为使用区域化终端节点

有关更多信息,包括创建接口 VPC 终端节点的分步说明,请参阅《Amazon VPC 用户指南》中的创建接口终端节点

注意

您可以使用 VPC 终端节点策略来控制对 Amazon Managed Service for Prometheus 接口 VPC 终端节点的访问。有关更多信息,请参见下一节。

如果为 Amazon Managed Service for Prometheus 创建接口 VPC 终端节点,并且您已有流向 VPC 上的工作区的数据,默认情况下,指标将流过该接口 VPC 终端节点。Amazon Managed Service for Prometheus 使用公共终端节点或私有接口终端节点(以正在使用的终端节点为准)来执行此任务。

控制对 Amazon Managed Service for Prometheus VPC 终端节点的访问

您可以使用 VPC 终端节点策略来控制对 Amazon Managed Service for Prometheus 接口 VPC 终端节点的访问。VPC 端点策略是一种 IAM 资源策略,您在创建或修改端点时可将它附加到端点。如果您在创建端点时未附加策略,Amazon VPC 会为您附加一个默认策略,该策略允许对服务的完全访问。终端节点策略不会覆盖或替换 IAM 基于身份的策略或服务特定的策略。这是一个单独的策略,用于控制从端点中对指定服务进行的访问。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

下面是用于 Amazon Managed Service for Prometheus 的终端节点策略示例。该策略允许具有 PromUser 角色的用户通过 VPC 连接到 Amazon Managed Service for Prometheus 来查看工作区和规则组,但不能创建或删除工作区。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonManagedPrometheusPermissions",
            "Effect": "Allow",
            "Action": [
                "aps:DescribeWorkspace",
                "aps:DescribeRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespace",
                "aps:ListWorkspaces"
            ],
            "Resource": "arn:aws:aps:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/PromUser"
                ]
            }
        }
    ]
}

以下示例显示的策略仅允许来自指定 VPC 中指定 IP 地址的请求成功。来自其它 IP 地址的请求将失败。

{
    "Statement": [
        {
            "Action": "aps:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}