Utilizzo di Amazon Managed Grafana con endpoint VPC di interfaccia Creazione di un endpoint VPC per stabilire una connessione AWS PrivateLink ad Amazon Managed Grafana Utilizzo del controllo dell'accesso alla rete per limitare l'accesso all'area di lavoro Grafana Controllo dell'accesso al tuo endpoint VPC dell'API Amazon Managed Grafana con una policy sugli endpoint

Endpoint VPC di interfaccia

Forniamo AWS PrivateLink supporto tra Amazon VPC e Amazon Managed Grafana. Puoi controllare l'accesso al servizio Amazon Managed Grafana dagli endpoint del cloud privato virtuale (VPC) allegando una policy delle risorse IAM per gli endpoint Amazon VPC.

Amazon Managed Grafana supporta due diversi tipi di endpoint VPC. Puoi connetterti al servizio Amazon Managed Grafana, che fornisce l'accesso alle API Amazon Managed Grafana per gestire le aree di lavoro. Oppure puoi creare un endpoint VPC per uno spazio di lavoro specifico.

Utilizzo di Amazon Managed Grafana con endpoint VPC di interfaccia

Esistono due modi per utilizzare gli endpoint VPC di interfaccia con Amazon Managed Grafana. Puoi utilizzare un endpoint VPC per consentire a AWS risorse come le istanze Amazon EC2 di accedere all'API Amazon Managed Grafana per gestire le risorse oppure puoi utilizzare un endpoint VPC per limitare l'accesso di rete ai tuoi spazi di lavoro Amazon Managed Grafana.

Se utilizzi Amazon VPC per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e l'API Amazon Managed Grafana utilizzando l'endpoint del nome del servizio. com.amazonaws.region.grafana
Se stai cercando di utilizzare il controllo dell'accesso alla rete per aggiungere sicurezza al tuo spazio di lavoro Amazon Managed Grafana, puoi stabilire una connessione privata tra il tuo VPC e l'endpoint degli spazi di lavoro Grafana, utilizzando l'endpoint del nome del servizio. com.amazonaws.region.grafana-workspace

Amazon VPC è un software Servizio AWS che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il tuo VPC all'API Amazon Managed Grafana, definisci un endpoint VPC di interfaccia. L'endpoint fornisce una connettività affidabile e scalabile ad Amazon Managed Grafana senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consultare Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC

Gli endpoint VPC di interfaccia sono alimentati daAWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra Servizi AWS l'utilizzo di un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, consulta Novità — AWS PrivateLink for Servizi AWS.

Per informazioni su come iniziare a usare Amazon VPC, consulta la Guida introduttiva alla Amazon VPC User Guide.

Creazione di un endpoint VPC per stabilire una connessione AWS PrivateLink ad Amazon Managed Grafana

Crea un endpoint VPC di interfaccia per Amazon Managed Grafana con uno dei seguenti endpoint con nomi di servizio:

Per connetterti all'API Amazon Managed Grafana per la gestione delle aree di lavoro, scegli:

com.amazonaws.region.grafana.
Per connetterti a uno spazio di lavoro Amazon Managed Grafana (ad esempio, per utilizzare l'API Grafana), scegli:

com.amazonaws.region.grafana-workspace

Per i dettagli sulla creazione di un endpoint VPC di interfaccia, consulta Create an interface endpoint nella Amazon VPC User Guide.

Per chiamare le API Grafana, devi anche abilitare il DNS privato per il tuo endpoint VPC, seguendo le istruzioni nella Amazon VPC User Guide. Ciò consente la risoluzione locale degli URL nel modulo *.grafana-workspace.region.amazonaws.com

Utilizzo del controllo dell'accesso alla rete per limitare l'accesso all'area di lavoro Grafana

Se desideri limitare gli indirizzi IP o gli endpoint VPC che possono essere utilizzati per accedere a uno specifico spazio di lavoro Grafana, puoi configurare il controllo dell'accesso alla rete per quell'area di lavoro.

Per gli endpoint VPC a cui concedi l'accesso al tuo spazio di lavoro, puoi limitarne ulteriormente l'accesso configurando i gruppi di sicurezza per gli endpoint. Per ulteriori informazioni, consulta Associare gruppi di sicurezza e Regole dei gruppi di sicurezza nella documentazione di Amazon VPC.

Controllo dell'accesso al tuo endpoint VPC dell'API Amazon Managed Grafana con una policy sugli endpoint

Per gli endpoint VPC connessi all'API Amazon Managed Grafana (utilizzandocom.amazonaws.region.grafana), puoi aggiungere una policy sugli endpoint VPC per limitare l'accesso al servizio.

Nota

Gli endpoint VPC collegati alle aree di lavoro (utilizzandocom.amazonaws.region.grafana-workspace) non supportano le policy degli endpoint VPC.

Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, Amazon VPC collega una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy IAM basate sull'identità o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.

Le policy endpoint devono essere scritte in formato JSON.

Per ulteriori informazioni, consulta Controllare l'accesso al servizio con endpoint VPC nella Amazon VPC User Guide.

Di seguito è riportato un esempio di policy sugli endpoint per Amazon Managed Grafana. Questa policy consente agli utenti che si connettono ad Amazon Managed Grafana tramite VPC di inviare dati al servizio Amazon Managed Grafana. Inoltre impedisce loro di eseguire altre azioni di Amazon Managed Grafana.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}

Per modificare la policy degli endpoint VPC per Grafana

Apri la console Amazon VPC nella console VPC.
Nel pannello di navigazione, seleziona Endpoint.
Se non hai ancora creato gli endpoint, scegli Crea endpoint.
Seleziona l'com.amazonaws.region.grafanaendpoint, quindi scegli la scheda Politica.
Scegli Edit Policy (Modifica policy), quindi apporta le modifiche.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice di sicurezza

Quote del servizio