介面 VPC 端點 - Amazon Managed Grafana
搭配使用具有介面 VPC 端點的 Amazon 託管 Grafana創建 VPC 端點以 AWS PrivateLink 連接到 Amazon 託管 Grafana 使用網路存取控制來限制對 Grafana 工作區的存取使用端點政策控制對 Amazon 受管的 Grafana API VPC 私人雲端端點的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

介面 VPC 端點

我們提 AWS PrivateLink 供 Amazon VPC 和 Amazon 託管 Grafana 之間的支持。您可以透過附加 Amazon VPC 端點的 IAM 資源政策來控制從虛擬私有雲端 (VPC) 端點存取 Amazon 受管的 Grafana 服務。

Amazon 受管的 Grafana 支援兩種不同類型的 VPC 端點。您可以連接到 Amazon 受管的 Grafana 服務,以便存取 Amazon 受管的 Grafana API 來管理工作區。或者,您可以為特定工作區建立 VPC 端點。

搭配使用具有介面 VPC 端點的 Amazon 託管 Grafana

有兩種方式可以將介面 VPC 端點與 Amazon 受管的 Grafana 搭配使用。您可以使用 VPC 端點來允許 Amazon EC2 執行個體等 AWS 資源存取 Amazon 受管的 Grafana API 來管理資源,也可以使用 VPC 端點來限制對 Amazon 受管 Grafana 工作區的網路存取。

  • 如果您使用 Amazon VPC 託管資 AWS 源,則可以使用服務名稱端點在 VPC 和 Amazon 受管的 Grafana API 之間建立私有連接。com.amazonaws.region.grafana

  • 如果您嘗試使用網路存取控制為 Amazon 受管的 Grafana 工作區新增安全性,您可以使用服務名稱端點在 VPC 和 Grafana 工作區端點之間建立私有連線。com.amazonaws.region.grafana-workspace

Amazon VPC 是可用來 AWS 服務 在您定義的虛擬網路中啟動 AWS 資源的一種。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將您的 VPC 連接到 Amazon 受管的 Grafana API,您需要定義一個接 VPC 端點。該端點為 Amazon 受管的 Grafana 提供可靠、可擴展的連線功能,無需網際網路閘道、網路地址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?

介面 VPC 私人雲端端點採用這項 AWS 技術 AWS PrivateLink,可在 AWS 服務 使用具有私有 IP 位址的 elastic network interface 之間進行私人通訊。如需詳細資訊,請參閱新增 — AWS PrivateLink 適用於 AWS 服務

如需如何開始使用 Amazon VPC 的相關資訊,請參閱 Amazon VPC 使用者指南中的入門指南。

創建 VPC 端點以 AWS PrivateLink 連接到 Amazon 託管 Grafana

使用下列其中一個服務名稱端點建立連接到 Amazon 受管的 Grafana 的介面 VPC 端點:

  • 若要連線到 Amazon 受管理的 Grafana API 來管理工作區,請選擇:

    com.amazonaws.region.grafana.

  • 若要連線到 Amazon 受管的 Grafana 工作區 (例如,若要使用 Grafana API),請選擇:

    com.amazonaws.region.grafana-workspace

如需有關建立介面 VPC 端點的詳細資訊,請參閱 Amazon VPC 使用者南中的建立介面端點

若要呼叫 Grafana API,您還必須依照 Amazon VPC 使用者指南中的指示,為您的虛擬私人雲端端點啟用私有 DNS。這會啟用表單中 URL 的本機解析 *.grafana-workspace.region.amazonaws.com

使用網路存取控制來限制對 Grafana 工作區的存取

如果您想要限制哪些 IP 位址或 VPC 端點可用於存取特定 Grafana 工作區,您可以設定該工作區的網路存取控制

對於您授予工作區存取權的 VPC 端點,您可以透過設定端點的安全群組來進一步限制其存取權。若要進一步了解,請參閱 Amazon VPC 文件中的關聯安全群組和安全群組規則

使用端點政策控制對 Amazon 受管的 Grafana API VPC 私人雲端端點的存取

對於連接 Amazon 受管 Grafana API (使用com.amazonaws.region.grafana) 的虛擬私人雲端端點,您可以新增 VPC 端點政策來限制對服務的存取。

注意

連線至工作區 (使用com.amazonaws.region.grafana-workspace) 的 VPC 端點不支援 VPC 端點原則。

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 身分基礎政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 VPC 端點控制對服務的存取。

以下是適用於 Amazon 受管的 Grafana 端點政策範例。此政策允許使用者透過 VPC 連線到 Amazon 受管的 Grafana,將資料傳送到 Amazon 受管的 Grafana 服務。它還可以防止他們執行其他 Amazon 受管的 Grafana 操作。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
若要編輯 Grafana 的 VPC 私人雲端端點原則

  1. 在 VPC 主控台上開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇端點

  3. 如果尚未建立端點,請選擇「建立端點」。

  4. 選取com.amazonaws.region.grafana端點,然後選擇「策略」索引標籤。

  5. 選擇 Edit Policy (編輯政策),然後進行變更。