Netzwerkzugriff auf deinen Workspace verwalten - Amazon Managed Grafana
Konfiguration der Netzwerkzugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkzugriff auf deinen Workspace verwalten

Sie können steuern, wie Benutzer und Hosts auf Ihre Grafana-Workspaces zugreifen.

Grafana verlangt, dass alle Benutzer authentifiziert und autorisiert sind. Standardmäßig sind Amazon Managed Grafana-Workspaces jedoch für den gesamten Netzwerkverkehr geöffnet. Sie können die Netzwerkzugriffskontrolle für einen Workspace konfigurieren, um zu kontrollieren, welcher Netzwerkverkehr ihn erreichen darf.

Du kannst den Verkehr zu deinem Workspace auf zwei Arten kontrollieren.

  • IP-Adressen (Präfixlisten) — Du kannst eine verwaltete Präfixliste mit IP-Bereichen erstellen, die auf Workspaces zugreifen dürfen. Amazon Managed Grafana unterstützt nur öffentliche IPv4-Adressen für die Netzwerkzugriffskontrolle.

  • VPC-Endpunkte — Sie können eine Liste von VPC-Endpunkten für Ihre Workspaces erstellen, die auf einen bestimmten Workspace zugreifen dürfen.

Wenn Sie die Netzwerkzugriffskontrolle konfigurieren, müssen Sie mindestens eine Präfixliste oder einen VPC-Endpunkt angeben.

Amazon Managed Grafana verwendet die Präfixlisten und VPC-Endpunkte, um zu entscheiden, welche Anfragen an den Grafana-Workspace eine Verbindung herstellen dürfen. Das folgende Diagramm zeigt diese Filterung.

Ein Bild zeigt die Amazon Managed Grafana-Netzwerkzugriffskontrolle, die einige Anfragen zulässt und andere blockiert, die versuchen, auf einen Amazon Managed Grafana-Workspace zuzugreifen.

Die Konfiguration der Netzwerkzugriffskontrolle (1) für einen Amazon Managed Grafana-Workspace gibt an, welche Anfragen auf den Workspace zugreifen dürfen sollen. Die Netzwerkzugriffskontrolle kann den Datenverkehr anhand der IP-Adresse (2) oder anhand des verwendeten Schnittstellenendpunkts (3) zulassen oder blockieren.

Im folgenden Abschnitt wird beschrieben, wie Sie die Netzwerkzugriffskontrolle einrichten.

Konfiguration der Netzwerkzugriffskontrolle

Sie können die Netzwerkzugriffskontrolle zu einem vorhandenen Workspace hinzufügen oder sie bei der ersten Erstellung des Workspace konfigurieren.

Voraussetzungen

Um die Netzwerkzugriffskontrolle einzurichten, müssen Sie zunächst entweder einen VPC-Schnittstellen-Endpunkt für Ihre Workspaces oder mindestens eine IP-Präfixliste für die IP-Adressen erstellen, die Sie zulassen möchten. Sie können auch beide oder mehr als einen von beiden erstellen.

  • VPC-Endpunkt — Sie können einen VPC-Schnittstellen-Endpunkt erstellen, der Zugriff auf alle Ihre Workspaces bietet. Nachdem Sie den Endpunkt erstellt haben, benötigen Sie die VPC-Endpunkt-ID für jeden Endpunkt, den Sie zulassen möchten. VPC-Endpunkt-IDs haben das Formatvpce-1a2b3c4d.

    Informationen zum Erstellen eines VPC-Endpunkts für Ihre Grafana-Workspaces finden Sie unter. Schnittstellen-VPC-Endpunkte Verwenden Sie den Endpunktnamen, um einen VPC-Endpunkt speziell für Ihre Workspaces zu erstellen. com.amazonaws.region.grafana-workspace

    Für VPC-Endpoints, denen Sie Zugriff auf Ihren Workspace gewähren, können Sie deren Zugriff weiter einschränken, indem Sie Sicherheitsgruppen für die Endpoints konfigurieren. Weitere Informationen finden Sie unter Sicherheitsgruppen zuordnen und Sicherheitsgruppenregeln in der Amazon VPC-Dokumentation.

  • Verwaltete Präfixliste (für IP-Adressbereiche) — Um IP-Adressen zuzulassen, müssen Sie in Amazon VPC eine oder mehrere Präfixlisten mit der Liste der zulässigen IP-Bereiche erstellen. Es gibt einige Einschränkungen für Präfixlisten, wenn sie für Amazon Managed Grafana verwendet werden:

    • Jede Präfixliste kann bis zu 100 IP-Adressbereiche enthalten.

    • Private IP-Adressbereiche (z. B.) 10.0.0.0/16 werden ignoriert. Sie können private IP-Adressbereiche in eine Präfixliste aufnehmen, aber Amazon Managed Grafana ignoriert diese, wenn der Datenverkehr zum Workspace gefiltert wird. Damit diese Hosts den Workspace erreichen können, erstellen Sie einen VPC-Endpunkt für Ihre Workspaces und gewähren Sie ihnen Zugriff.

    • Amazon Managed Grafana unterstützt nur IPv4-Adressen in Präfixlisten, nicht IPv6. IPv6-Adressen werden ignoriert.

    Sie erstellen verwaltete Präfixlisten über die Amazon VPC-Konsole. Nachdem Sie die Präfixlisten erstellt haben, benötigen Sie die Präfixlisten-ID für jede Liste, die Sie in Amazon Managed Grafana zulassen möchten. Die IDs der Präfixlisten haben das Formatpl-1a2b3c4d.

    Weitere Informationen zum Erstellen von Präfixlisten finden Sie unter Gruppen-CIDR-Blöcke mithilfe verwalteter Präfixlisten im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

  • Sie benötigen die erforderlichen Berechtigungen, um einen Amazon Managed Grafana-Workspace zu konfigurieren oder zu erstellen. Sie könnten beispielsweise die AWS verwaltete Richtlinie verwenden,AWSGrafanaAccountAdministrator.

Sobald Sie die Liste der IDs für die Präfixlisten oder VPC-Endpoints haben, denen Sie Zugriff auf Ihren Workspace gewähren möchten, können Sie die Konfiguration für die Netzwerkzugriffskontrolle erstellen.

Anmerkung

Wenn Sie die Netzwerkzugriffskontrolle aktivieren, der Konfiguration jedoch keine Präfixliste hinzufügen, ist kein Zugriff auf Ihren Workspace zulässig, außer über die erlaubten VPC-Endpunkte.

Ebenso gilt: Wenn Sie die Netzwerkzugriffskontrolle aktivieren, aber keinen VPC-Endpunkt zur Konfiguration hinzufügen, ist kein Zugriff auf Ihren Workspace zulässig, außer über die erlaubten IP-Adressen.

Sie müssen mindestens eine Präfixliste oder einen VPC-Endpunkt in die Konfiguration der Netzwerkzugriffskontrolle aufnehmen, da Sie sonst von überall auf Ihren Workspace zugreifen können.

Um die Netzwerkzugriffskontrolle für einen Workspace zu konfigurieren

  1. Öffnen Sie die Amazon Managed Grafana-Konsole.

  2. Wählen Sie im linken Navigationsbereich Alle Arbeitsbereiche aus.

  3. Wählen Sie den Namen des Workspace aus, für den Sie die Netzwerkzugriffskontrolle konfigurieren möchten.

  4. Wählen Sie auf der Registerkarte Netzwerkzugriffskontrolle unter Netzwerkzugriffskontrolle die Option Eingeschränkter Zugriff aus, um die Netzwerkzugriffskontrolle zu konfigurieren.

    Anmerkung

    Sie können beim Erstellen eines Arbeitsbereichs auf dieselben Optionen zugreifen.

  5. Wählen Sie aus der Dropdownliste aus, ob Sie eine Präfixliste oder einen VPC-Endpunkt hinzufügen möchten.

  6. Wählen Sie den VPC-Endpunkt oder die Präfixlisten-ID aus, die Sie hinzufügen möchten (alternativ können Sie die ID eingeben, die Sie verwenden möchten). Sie müssen mindestens eine auswählen.

  7. Um weitere Endpunkte oder Listen hinzuzufügen, wählen Sie für jeden Endpunkt, den Sie hinzufügen möchten, die Option Neue Ressource hinzufügen aus.

    Anmerkung

    Sie können bis zu 5 Präfixlisten und 5 VPC-Endpunkte hinzufügen.

  8. Wählen Sie Änderungen speichern, um die Einrichtung abzuschließen.

Warnung

Wenn Sie bereits Benutzer in Ihrem Workspace haben, nehmen Sie deren IP-Bereiche oder VPC-Endpunkte in die Konfiguration auf, da sie sonst aufgrund eines 403 Forbidden Fehlers den Zugriff verlieren. Es wird empfohlen, die vorhandenen Access Points zu testen, nachdem Sie die Konfiguration der Netzwerkzugriffskontrolle eingerichtet oder geändert haben.