Amazon Managed Grafana ワークスペースへのネットワークアクセスを設定する - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana ワークスペースへのネットワークアクセスを設定する

ユーザーとホストが Grafana ワークスペースにアクセスする方法を制御できます。

Grafana では、すべてのユーザーが認証および承認される必要があります。ただし、デフォルトでは、Amazon Managed Grafana ワークスペースはすべてのネットワークトラフィックに対して開かれています。ワークスペースのネットワークアクセスコントロールを設定して、ワークスペースに到達できるネットワークトラフィックを制御できます。

ワークスペースへのトラフィックは、2 つの方法で制御できます。

  • IP アドレス (プレフィックスリスト) – ワークスペースへのアクセスが許可されている IP 範囲を持つマネージドプレフィックスリストを作成できます。Amazon Managed Grafana は、ネットワークアクセスコントロール用のパブリック IPv4 アドレスのみをサポートします。

  • VPC エンドポイント – 特定のワークスペースへのアクセスが許可されているワークスペースへの VPC エンドポイントのリストを作成できます。

ネットワークアクセスコントロールを設定するときは、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを含める必要があります。

Amazon Managed Grafana は、プレフィックスリストと VPC エンドポイントを使用して、Grafana ワークスペースへの接続を許可するリクエストを決定します。次の図は、このフィルタリングを示しています。

Amazon Managed Grafana ネットワークアクセスコントロールを示す画像。一部のリクエストを許可し、Amazon Managed Grafana ワークスペースにアクセスしようとする他のリクエストをブロックします。

Amazon Managed Grafana ワークスペースのネットワークアクセスコントロール (1) を設定すると、ワークスペースへのアクセスを許可するリクエストを指定します。ネットワークアクセスコントロールは、IP アドレス (2) またはインターフェイスエンドポイントが使用されている (3) ごとにトラフィックを許可またはブロックできます。

次のセクションでは、ネットワークアクセスコントロールを設定する方法について説明します。

ネットワークアクセスコントロールの設定

ネットワークアクセスコントロールを既存のワークスペースに追加するか、ワークスペースの初回作成の一部として設定できます。

前提条件

ネットワークアクセスコントロールを設定するには、まずワークスペースのインターフェイス VPC エンドポイント、または許可する IP アドレスの IP プレフィックスリストを少なくとも 1 つ作成する必要があります。両方、または両方を複数作成することもできます。

  • VPC エンドポイント – すべてのワークスペースへのアクセスを許可するインターフェイス VPC エンドポイントを作成できます。エンドポイントを作成したら、許可するエンドポイントごとに VPC エンドポイント ID が必要です。VPC エンドポイント IDs形式は ですvpce-1a2b3c4d

    Grafana ワークスペースの VPC エンドポイントの作成については、「」を参照してくださいインターフェイス VPC エンドポイント。ワークスペース専用の VPC エンドポイントを作成するには、com.amazonaws.region.grafana-workspaceエンドポイント名を使用します。

    ワークスペースへのアクセスを許可する VPC エンドポイントの場合、エンドポイントのセキュリティグループを設定することで、そのアクセスをさらに制限できます。詳細については、Amazon VPC ドキュメント「セキュリティグループとセキュリティグループのルールを関連付ける」を参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

  • マネージドプレフィックスリスト (IP アドレス範囲の場合) — IP アドレスを許可するには、Amazon VPC で 1 つ以上のプレフィックスリストを作成し、許可する IP 範囲のリストを指定する必要があります。Amazon Managed Grafana に使用する場合、プレフィックスリストにはいくつかの制限があります。

    • 各プレフィックスリストには、最大 100 個の IP アドレス範囲を含めることができます。

    • プライベート IP アドレスの範囲 (例えば、 10.0.0.0/16は無視されます。プライベート IP アドレス範囲をプレフィックスリストに含めることはできますが、Amazon Managed Grafana はワークスペースへのトラフィックをフィルタリングするときにそれらを無視します。これらのホストがワークスペースに到達できるようにするには、ワークスペースの VPC エンドポイントを作成し、アクセスを許可します。

    • Amazon Managed Grafana は、IPv6 ではなく、プレフィックスリスト内の IPv4 アドレスのみをサポートします。 IPv6 IPv6 アドレスは無視されます。

    マネージドプレフィックスリストは、Amazon VPC コンソール を使用して作成します。プレフィックスリストを作成したら、Amazon Managed Grafana で許可する各リストのプレフィックスリスト ID が必要です。プレフィックスリスト IDs形式は ですpl-1a2b3c4d

    プレフィックスリストの作成の詳細については、Amazon Virtual Private Cloud ユーザーガイド」の「マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する」を参照してください。

  • Amazon Managed Grafana ワークスペースを設定または作成するために必要なアクセス許可が必要です。例えば、 AWS 管理ポリシー を使用できますAWSGrafanaAccountAdministrator

ワークスペースへのアクセスを許可するプレフィックスリストまたは VPC エンドポイントの IDs のリストを取得したら、ネットワークアクセスコントロール設定を作成する準備が整います。

注記

ネットワークアクセスコントロールを有効にし、設定にプレフィックスリストを追加しない場合、許可された VPC エンドポイント経由を除き、ワークスペースへのアクセスは許可されません。

同様に、ネットワークアクセスコントロールを有効にし、設定に VPC エンドポイントを追加しない場合、許可された IP アドレスを経由する場合を除き、ワークスペースへのアクセスは許可されません。

ネットワークアクセスコントロール設定には、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを含める必要があります。含めない場合、どこからでもワークスペースにアクセスできなくなります。

ワークスペースのネットワークアクセスコントロールを設定するには
  1. Amazon Managed Grafana コンソール を開きます。

  2. 左側のナビゲーションペインで、すべてのワークスペース を選択します。

  3. ネットワークアクセスコントロールを設定するワークスペースの名前を選択します。

  4. 「ネットワークアクセスコントロール」タブの「ネットワークアクセスコントロール」で、「制限付きアクセス」を選択してネットワークアクセスコントロールを設定します。

    注記

    ワークスペースの作成時に、これらの同じオプションにアクセスできます。

  5. ドロップダウンから、プレフィックスリスト または VPC エンドポイント を追加するかどうかを選択します。

  6. 追加する VPC エンドポイントまたはプレフィックスリスト ID を選択します (または、使用する ID を入力することもできます。少なくとも 1 つを選択する必要があります。

  7. エンドポイントまたはリストをさらに追加するには、追加するリソースごとに新しいリソースを追加を選択します。

    注記

    最大 5 つのプレフィックスリストと 5 つの VPC エンドポイントを追加できます。

  8. 変更を保存を選択してセットアップを完了します。

警告

ワークスペースの既存のユーザーがいる場合は、IP 範囲または VPC エンドポイントを設定に含めると、403 Forbiddenエラーでアクセスできなくなります。ネットワークアクセスコントロールの設定または変更後に、既存のアクセスポイントをテストすることをお勧めします。