ワークスペースへのネットワークアクセスの管理 - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークスペースへのネットワークアクセスの管理

ユーザーとホストが Grafana ワークスペースにアクセスする方法を制御できます。

Grafana では、すべてのユーザーが認証および承認される必要があります。ただし、デフォルトでは、Amazon Managed Grafana ワークスペースはすべてのネットワークトラフィックに対して開いています。ワークスペースのネットワークアクセスコントロールを設定して、ワークスペースに到達できるネットワークトラフィックを制御できます。

ワークスペースへのトラフィックは、2 つの方法で制御できます。

  • IP アドレス (プレフィックスリスト) – ワークスペースへのアクセスが許可されている IP 範囲を含むマネージドプレフィックスリストを作成できます。Amazon Managed Grafana は、ネットワークアクセスコントロール用のパブリック IPv4 アドレスのみをサポートしています。

  • VPC エンドポイント – 特定のワークスペースへのアクセスを許可されているワークスペースへの VPC エンドポイントのリストを作成できます。

ネットワークアクセスコントロールを設定するときは、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを含める必要があります。

Amazon Managed Grafana は、プレフィックスリストと VPC エンドポイントを使用して、Grafana ワークスペースへの接続を許可するリクエストを決定します。次の図は、このフィルタリングを示しています。


                Amazon Managed Grafana ネットワークアクセスコントロールが、一部のリクエストを許可し、Amazon Managed Grafana ワークスペースへのアクセスを他のユーザーにブロックする様子。

Amazon Managed Grafana ワークスペースのネットワークアクセスコントロールの設定 (1) では、ワークスペースへのアクセスを許可するリクエストを指定します。ネットワークアクセスコントロールは、IP アドレス (2)、またはインターフェイスエンドポイントが使用されている (3) ごとに、トラフィックを許可またはブロックできます。

次のセクションでは、ネットワークアクセスコントロールを設定する方法について説明します。

ネットワークアクセスコントロールの設定

既存のワークスペースにネットワークアクセスコントロールを追加したり、ワークスペースの初回作成の一部として設定したりできます。

前提条件

ネットワークアクセスコントロールを設定するには、まずワークスペースのインターフェイス VPC エンドポイント、または許可する IP アドレスの IP プレフィックスリストを少なくとも 1 つ作成する必要があります。両方または複数の両方を作成することもできます。

  • VPC エンドポイント – すべてのワークスペースへのアクセスを許可するインターフェイス VPC エンドポイントを作成できます。エンドポイントを作成したら、許可する各エンドポイントの VPC エンドポイント ID が必要です。VPC IDs の形式は ですvpce-1a2b3c4d

    Grafana ワークスペース用の VPC エンドポイントの作成については、「」を参照してくださいインターフェイス VPC エンドポイント。ワークスペース専用の VPC エンドポイントを作成するには、com.amazonaws.region.grafana-workspaceエンドポイント名を使用します。

    ワークスペースへのアクセスを許可する VPC エンドポイントの場合、エンドポイントのセキュリティグループを設定することで、そのアクセスをさらに制限できます。詳細については、「Amazon VPC ドキュメント」の「セキュリティグループの関連付け」および「セキュリティグループのルール」を参照してください。

  • マネージドプレフィックスリスト (IP アドレス範囲の場合) — IP アドレスを許可するには、許可する IP 範囲のリストを使用して、Amazon VPC に 1 つ以上のプレフィックスリストを作成する必要があります。Amazon Managed Grafana で使用する場合、プレフィックスリストにはいくつかの制限があります。

    • 各プレフィックスリストには、最大 100 個の IP アドレス範囲を含めることができます。

    • プライベート IP アドレスの範囲 (例えば、 10.0.0.0/16は無視されます。プレフィックスリストにはプライベート IP アドレス範囲を含めることができますが、Amazon Managed Grafana はワークスペースへのトラフィックをフィルタリングするときにこれらの範囲を無視します。これらのホストがワークスペースに到達できるようにするには、ワークスペース用の VPC エンドポイントを作成し、アクセスを許可します。

    • Amazon Managed Grafana は、IPv6 ではなく、プレフィックスリスト内の IPv4 アドレスのみをサポートします。 IPv6 IPv6 アドレスは無視されます。

    Amazon VPC コンソール を使用してマネージドプレフィックスリストを作成します。プレフィックスリストを作成したら、Amazon Managed Grafana で許可するリストごとにプレフィックスリスト ID が必要です。プレフィックスリスト IDsは ですpl-1a2b3c4d

    プレフィックスリストの作成の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する」を参照してください。

  • Amazon Managed Grafana ワークスペースを設定または作成するために必要なアクセス許可が必要です。例えば、 AWSマネージドポリシー を使用できますAWSGrafanaAccountAdministrator

ワークスペースへのアクセスを許可するプレフィックスリストまたは VPC エンドポイントの IDs のリストを取得したら、ネットワークアクセスコントロール設定を作成する準備が整います。

注記

ネットワークアクセスコントロールを有効にし、設定にプレフィックスリストを追加しない場合、許可された VPC エンドポイントを経由しない限り、ワークスペースへのアクセスは許可されません。

同様に、ネットワークアクセスコントロールを有効にし、VPC エンドポイントを設定に追加しない場合、許可された IP アドレスを経由しない限り、ワークスペースへのアクセスは許可されません。

ネットワークアクセスコントロール設定には、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを含める必要があります。含めないと、どこからでもワークスペースにアクセスできなくなります。

ワークスペースのネットワークアクセスコントロールを設定するには
  1. Amazon Managed Grafana コンソールを開きます

  2. 左側のナビゲーションペインで、すべてのワークスペース を選択します。

  3. ネットワークアクセスコントロールを設定するワークスペースの名前を選択します。

  4. ネットワークアクセスコントロールタブのネットワークアクセスコントロール で、制限付きアクセスを選択してネットワークアクセスコントロールを設定します。

    注記

    これらの同じオプションには、ワークスペースの作成時にアクセスできます。

  5. ドロップダウンから、プレフィックスリストを追加するか、VPC エンドポイントを追加するかを選択します。

  6. 追加する VPC エンドポイントまたはプレフィックスリスト ID を選択します (または、使用する ID を入力することもできます。少なくとも 1 つを選択する必要があります。

  7. さらにエンドポイントまたはリストを追加するには、追加するエンドポイントまたはリストごとに新しいリソースを追加を選択します。

    注記

    最大 5 つのプレフィックスリストと 5 つの VPC エンドポイントを追加できます。

  8. 変更の保存を選択してセットアップを完了します。

警告

ワークスペースの既存のユーザーがいる場合は、IP 範囲または VPC エンドポイントを設定に含めます。含めないと、 403 Forbidden エラーでアクセスが失われます。ネットワークアクセスコントロールの設定または変更後は、既存のアクセスポイントをテストすることをお勧めします。