WorkSpace へのネットワークアクセスの管理 - Amazon Managed Grafana
ネットワークアクセスコントロールの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpace へのネットワークアクセスの管理

ユーザーとホストが Grafana ワークスペースにアクセスする方法を制御できます。

Grafana では、すべてのユーザーの認証と承認が必要です。ただし、デフォルトでは、Amazon Managed Grafana ワークスペースはすべてのネットワークトラフィックに開放されています。ワークスペースのネットワークアクセス制御を設定して、そのワークスペースに到達できるネットワークトラフィックを制御できます。

ワークスペースへのトラフィックを制御するには 2 つの方法があります。

  • IP アドレス (プレフィックスリスト) — ワークスペースへのアクセスを許可する IP アドレス範囲を含む管理対象プレフィックスリストを作成できます。Amazon Managed Grafana は、ネットワークアクセスコントロール用にパブリック IPv4 アドレスのみをサポートします。

  • VPC エンドポイント — 特定のワークスペースへのアクセスを許可する VPC エンドポイントのリストをワークスペースに作成できます。

ネットワークアクセスコントロールを設定するときは、少なくとも 1 つのプレフィクスリストまたは VPC エンドポイントを含める必要があります。

Amazon マネージド Grafana は、プレフィックスリストと VPC エンドポイントを使用して、Grafana ワークスペースへのどのリクエストが接続を許可されるかを決定します。以下の図に、このフィルタリングを示しています。

Amazon マネージド Grafana のネットワークアクセスコントロールが一部のリクエストを許可し、Amazon マネージド Grafana ワークスペースにアクセスしようとする他のリクエストをブロックしていることを示す画像。

Amazon Managed Grafana ワークスペースのネットワークアクセス制御 (1) を設定すると、ワークスペースへのアクセスを許可するリクエストが指定されます。ネットワークアクセス制御では、IP アドレス (2) または使用されているインターフェイスエンドポイント (3) によってトラフィックを許可またはブロックできます。

次のセクションでは、ネットワークアクセスコントロールのセットアップ方法について説明します。

ネットワークアクセスコントロールの設定

ネットワークアクセス制御を既存のワークスペースに追加することも、ワークスペースの初期作成の一部として設定することもできます。

前提条件

ネットワークアクセスコントロールを設定するには、まずワークスペース用のインターフェイス VPC エンドポイントを作成するか、許可する IP アドレス用の IP プレフィックスリストを少なくとも 1 つ作成する必要があります。両方を作成することも、両方を複数作成することもできます。

  • VPC エンドポイント — すべてのワークスペースへのアクセスを許可するインターフェイス VPC エンドポイントを作成できます。エンドポイントを作成したら、許可する各エンドポイントの VPC エンドポイント ID が必要です。VPC エンドポイント ID の形式は次のとおりですvpce-1a2b3c4d

    Grafana ワークスペースの VPC エンドポイントの作成方法の詳細については、「」を参照してくださいインターフェイス VPC エンドポイント。ワークスペース専用の VPC エンドポイントを作成するには、com.amazonaws.region.grafana-workspaceエンドポイント名を使用します。

    ワークスペースへのアクセスを許可する VPC エンドポイントについては、エンドポイントのセキュリティグループを設定することでアクセスをさらに制限できます。詳細については、Amazon VPC ドキュメントの「セキュリティグループの関連付け」と「セキュリティグループルール」を参照してください

  • マネージドプレフィックスリスト (IP アドレス範囲用) — IP アドレスを許可するには、許可する IP 範囲のリストを含む Amazon VPC に 1 つ以上のプレフィックスリストを作成する必要があります。Amazon マネージド Grafana で使用する場合、プレフィックスリストにはいくつかの制限があります。

    • 各プレフィックスリストには、最大 100 の IP アドレス範囲を含めることができます。

    • プライベート IP アドレスの範囲 (たとえば、)10.0.0.0/16 は無視されます。プレフィックスリストにはプライベート IP アドレス範囲を含めることができますが、Amazon Managed Grafana はワークスペースへのトラフィックをフィルタリングするときにそれらを無視します。これらのホストがワークスペースにアクセスできるようにするには、ワークスペース用の VPC エンドポイントを作成し、アクセス権を付与します。

    • Amazon マネージド Grafana はプレフィックスリストの IPv4 アドレスのみをサポートし、IPv6 はサポートしません。IPv6 アドレスは無視されます。

    マネージドプレフィックスリストは Amazon VPC コンソールで作成します。プレフィックスリストを作成したら、Amazon Managed Grafana で許可する各リストのプレフィックスリスト ID が必要です。プレフィックスリスト ID の形式は次のとおりですpl-1a2b3c4d

    プレフィックスリストの作成の詳細については、Amazon Virtual Private Cloud ユーザーガイドの「マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する」を参照してください

  • Amazon マネージド Grafana ワークスペースを設定または作成するには、必要なアクセス権限を有している必要があります。たとえば、AWS管理ポリシーを使用できますAWSGrafanaAccountAdministrator

ワークスペースへのアクセスを許可するプレフィックスリストまたは VPC エンドポイントの ID のリストを作成したら、ネットワークアクセスコントロール設定を作成する準備が整います。

注記

ネットワークアクセスコントロールを有効にしても、設定にプレフィックスリストを追加しない場合、許可された VPC エンドポイント経由を除いて、ワークスペースへのアクセスは許可されません。

同様に、ネットワークアクセスコントロールを有効にしても、設定に VPC エンドポイントを追加しない場合、許可された IP アドレスを介さない限り、ワークスペースへのアクセスは許可されません。

ネットワークアクセスコントロール設定には、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを含める必要があります。そうしないと、どこからでもワークスペースにアクセスできなくなります。

ワークスペースのネットワークアクセス制御を設定するには

  1. Amazon マネージド Grafana コンソールを開きます

  2. 左のナビゲーションペインの [すべてのワークスペース] を選択します。

  3. ネットワークアクセス制御を設定するワークスペースの名前を選択します。

  4. [ネットワークアクセス制御] タブの [ネットワークアクセス制御] で、[制限付きアクセス] を選択してネットワークアクセス制御を設定します。

    注記

    ワークスペースを作成するときも、これらの同じオプションにアクセスできます。

  5. ドロップダウンから、プレフィックスリストを追加するのかVPC エンドポイントを追加するのかを選択します

  6. 追加する VPC エンドポイントまたはプレフィックスリスト ID を選択します (または、使用する ID を入力することもできます)。少なくとも 1 つ選択する必要があります。

  7. エンドポイントまたはリストをさらに追加するには、追加するエンドポイントまたはリストごとに [新しいリソースを追加] を選択します。

    注記

    最大 5 つのプレフィックスリストと 5 つの VPC エンドポイントを追加できます。

  8. [変更を保存] を選択して設定を完了します。

警告

ワークスペースに既存のユーザーがいる場合は、そのユーザーの IP アドレス範囲または VPC エンドポイントを設定に含めてください。そうしないと、403 Forbiddenエラーでアクセスできなくなります。ネットワークアクセス制御の設定をセットアップまたは変更した後に、既存のアクセスポイントをテストすることをお勧めします。