Points de terminaison de VPC d’Interface - Amazon Managed Grafana
Utilisation d'Amazon Managed Grafana avec des points de terminaison VPC d'interfaceCréation d'un point de terminaison VPC pour établir une AWS PrivateLink connexion à Amazon Managed Grafana Utiliser le contrôle d'accès au réseau pour limiter l'accès à votre espace de travail GrafanaContrôle de l'accès à votre point de terminaison VPC Amazon Managed Grafana API avec une politique de point de terminaison

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Points de terminaison de VPC d’Interface

Nous assurons le AWS PrivateLink support entre Amazon VPC et Amazon Managed Grafana. Vous pouvez contrôler l'accès au service Amazon Managed Grafana depuis les points de terminaison du cloud privé virtuel (VPC) en joignant une politique de ressources IAM pour les points de terminaison Amazon VPC.

Amazon Managed Grafana prend en charge deux types différents de points de terminaison VPC. Vous pouvez vous connecter au service Amazon Managed Grafana, qui donne accès aux API Amazon Managed Grafana pour gérer les espaces de travail. Vous pouvez également créer un point de terminaison VPC pour un espace de travail spécifique.

Utilisation d'Amazon Managed Grafana avec des points de terminaison VPC d'interface

Il existe deux manières d'utiliser les points de terminaison VPC d'interface avec Amazon Managed Grafana. Vous pouvez utiliser un point de terminaison VPC pour autoriser AWS des ressources telles que les instances Amazon EC2 à accéder à l'API Amazon Managed Grafana pour gérer les ressources, ou vous pouvez utiliser un point de terminaison VPC pour limiter l'accès réseau à vos espaces de travail Amazon Managed Grafana.

  • Si vous utilisez Amazon VPC pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et l'API Amazon Managed Grafana en utilisant le nom de service endpoint. com.amazonaws.region.grafana

  • Si vous essayez d'utiliser le contrôle d'accès réseau pour renforcer la sécurité de votre espace de travail Amazon Managed Grafana, vous pouvez établir une connexion privée entre votre VPC et le point de terminaison des espaces de travail Grafana, en utilisant le nom de service endpoint. com.amazonaws.region.grafana-workspace

Amazon VPC est un système Service AWS que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d'adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC à votre API Amazon Managed Grafana, vous définissez un point de terminaison VPC d'interface. Le point de terminaison fournit une connectivité fiable et évolutive à Amazon Managed Grafana sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, veuillez consulter Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les Services AWS utilisateurs d'une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, voir Nouveau — AWS PrivateLink pour les AWS services.

Pour plus d'informations sur la façon de démarrer avec Amazon VPC, consultez Get started dans le guide de l'utilisateur Amazon VPC.

Création d'un point de terminaison VPC pour établir une AWS PrivateLink connexion à Amazon Managed Grafana

Créez un point de terminaison VPC d'interface pour Amazon Managed Grafana avec l'un des points de terminaison de nom de service suivants :

  • Pour vous connecter à l'API Amazon Managed Grafana afin de gérer les espaces de travail, choisissez :

    com.amazonaws.region.grafana.

  • Pour vous connecter à un espace de travail Amazon Managed Grafana (par exemple, pour utiliser l'API Grafana), choisissez :

    com.amazonaws.region.grafana-workspace

Pour en savoir plus sur la création d'un point de terminaison VPC d'interface, consultez la section Créer un point de terminaison d'interface dans le guide de l'utilisateur Amazon VPC.

Pour appeler les API Grafana, vous devez également activer le DNS privé pour votre point de terminaison VPC, en suivant les instructions du guide de l'utilisateur Amazon VPC. Cela permet la résolution locale des URL dans le formulaire *.grafana-workspace.region.amazonaws.com

Utiliser le contrôle d'accès au réseau pour limiter l'accès à votre espace de travail Grafana

Si vous souhaitez limiter les adresses IP ou les points de terminaison VPC pouvant être utilisés pour accéder à un espace de travail Grafana spécifique, vous pouvez configurer le contrôle d'accès réseau à cet espace de travail.

Pour les points de terminaison VPC auxquels vous donnez accès à votre espace de travail, vous pouvez limiter davantage leur accès en configurant des groupes de sécurité pour les points de terminaison. Pour en savoir plus, consultez Associer des groupes de sécurité et Règles de groupe de sécurité dans la documentation Amazon VPC.

Contrôle de l'accès à votre point de terminaison VPC Amazon Managed Grafana API avec une politique de point de terminaison

Pour les points de terminaison VPC connectés à l'API Amazon Managed Grafana (à l'aide decom.amazonaws.region.grafana), vous pouvez ajouter une politique de point de terminaison VPC afin de limiter l'accès au service.

Note

Les points de terminaison VPC connectés aux espaces de travail (en utilisantcom.amazonaws.region.grafana-workspace) ne prennent pas en charge les politiques de point de terminaison VPC.

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n’attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une politique de point de terminaison n’annule pas et ne remplace pas les politiques IAM ou les politiques spécifiques aux services. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour plus d'informations, consultez la section Contrôler l'accès au service avec les points de terminaison VPC dans le guide de l'utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour Amazon Managed Grafana. Cette politique permet aux utilisateurs qui se connectent à Amazon Managed Grafana via le VPC d'envoyer des données au service Amazon Managed Grafana. Cela les empêche également d'effectuer d'autres actions Amazon Managed Grafana. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
Pour modifier la politique de point de terminaison VPC pour Grafana

  1. Ouvrez la console Amazon VPC sur la console VPC.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé de point de terminaison, choisissez Create Endpoint.

  4. Sélectionnez le com.amazonaws.region.grafana point de terminaison, puis cliquez sur l'onglet Politique.

  5. Choisissez Edit Policy (Modifier la politique), puis apportez vos modifications.