使用 Amazon Managed Service for Prometheus 和介面 VPC 端點 - Amazon Managed Service for Prometheus
為 Amazon Managed Service for Prometheus 建立介面 VPC 端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Managed Service for Prometheus 和介面 VPC 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管您的 AWS 資源,可以在您的 VPC 與 Amazon Managed Service for Prometheus 之間建立私人連線。您可以使用這些連線來啟用 Amazon Managed Service for Prometheus 與 VPC 資源溝通而不經歷公有網際網路。

Amazon VPC 是一項 AWS 服務,您可用來在自己定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連接到 Amazon Managed Service for Prometheus,您會定義介面 VPC 端點以將 VPC 連接到 AWS 服務。端點提供 Amazon Managed Service for Prometheus 的可靠、可擴展連線,但不需要網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

介面 VPC 端點是由 AWS PrivateLink 提供,AWS 技術可與私有 IP 位址搭配彈性網路介面使用,在兩個 AWS 服務之間啟用私有通訊。如需詳細資訊,請參閱最新 – AWS 服務的 AWS PrivateLink 部落格文章。

以下資訊適用於 Amazon VPC 的使用者。如需開始使用 Amazon VPC 的詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

為 Amazon Managed Service for Prometheus 建立介面 VPC 端點

建立介面 VPC 端點,以開始使用 Amazon Managed Service for Prometheus。您可以從以下服務名稱端點中選擇:

  • com.amazonaws.region.aps-workspaces

    選擇此服務名稱,即可使用與 Prometheus 相容的 API。如需詳細資訊,請參閱《Amazon Managed Service for Prometheus 使用者指南》中的與 Prometheus 相容 API

  • com.amazonaws.region.aps

    選擇此服務名稱可執行工作區管理任務。如需詳細資訊,請參閱《Amazon Managed Service for Prometheus 使用者指南》中的 Amazon Managed Service for Prometheus API

注意

如果您在沒有直接網際網路存取的 VPC 中使用 remote_write,您同時必須為 AWS Security Token Service 建立介面 VPC 端點,以允許 sigv4 透過端點運作。如需建立 AWS STS VPC 端點的詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的 使用 AWS STS 介面 VPC 端點。您必須設定 AWS STS 以使用區域化端點

如需詳細資訊,包括建立介面 VPC 端點的逐步指示,請參閱《Amazon VPC 使用者指南》中的建立介面端點

注意

您可以使用 VPC 端點政策來控制您 Amazon Managed Service for Prometheus 介面 VPC 端點的存取權。如需詳細資訊,請參閱下一節。

如果您建立 Amazon Managed Service for Prometheus 的介面 VPC 端點,而且已有流動至您 VPC 所在工作區的資料,這些指標則會依預設透過介面 VPC 端點傳入。Amazon Managed Service for Prometheus 會使用公有端點或私有界面端點 (使用中) 來執行此任務。

控制 Amazon Managed Service for Prometheus VPC 端點的存取權

您可以使用 VPC 端點政策來控制 Amazon Managed Service for Prometheus 介面 VPC 端點的存取權。當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 身分基礎政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

如需詳細資訊,請參閱 《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取

以下是 Amazon Managed Service for Prometheus 端點政策的範例。此政策允許角色為 PromUser 的使用者透過 VPC 連線到 Amazon Managed Service for Prometheus 以檢視工作區和規則群組,但不能檢視例如建立或刪除工作區。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonManagedPrometheusPermissions",
            "Effect": "Allow",
            "Action": [
                "aps:DescribeWorkspace",
                "aps:DescribeRuleGroupsNamespace",
                "aps:ListRuleGroupsNamespace",
                "aps:ListWorkspaces"
            ],
            "Resource": "arn:aws:aps:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/PromUser"
                ]
            }
        }
    ]
}

下列範例顯示的原則僅允許來自指定 VPC 中指定 IP 位址的要求成功。來自其他 IP 位址的要求將會失敗。

{
    "Statement": [
        {
            "Action": "aps:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "aws:VpcSourceIp": "192.0.2.123"
                },
        "StringEquals": {
                    "aws:SourceVpc": "vpc-555555555555"
                }
            }
        }
    ]
}