インターフェイス VPC エンドポイント - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイント

Amazon VPC と Amazon Managed Grafana の間で AWS PrivateLink サポートを提供しています。Amazon VPC エンドポイントの IAM リソースポリシーをアタッチすることで、Virtual Private Cloud (VPC) エンドポイントから Amazon Managed Grafana サービスへのアクセスを制御できます。

Amazon Managed Grafana は、2 種類の VPC エンドポイントをサポートしています。Amazon Managed Grafana サービスに接続して、Amazon Managed Grafana APIs にアクセスしてワークスペースを管理できます。または、特定のワークスペースへの VPC エンドポイントを作成することもできます。

インターフェイス VPC エンドポイントでの Amazon Managed Grafana の使用

Amazon Managed Grafana でインターフェイス VPC エンドポイントを使用するには、2 つの方法があります。VPC エンドポイントを使用して、Amazon EC2 インスタンスなどの AWS リソースが Amazon Managed Grafana API にアクセスしてリソースを管理できるようにしたり、Amazon Managed Grafana ワークスペースへのネットワークアクセスを制限する一環として VPC エンドポイントを使用したりできます。

  • Amazon VPC を使用して AWS リソースをホストしている場合は、com.amazonaws.region.grafanaサービス名エンドポイントを使用して VPC と Amazon Managed Grafana API 間のプライベート接続を確立できます。

  • ネットワークアクセスコントロールを使用して Amazon Managed Grafana ワークスペースにセキュリティを追加しようとする場合は、com.amazonaws.region.grafana-workspaceサービス名エンドポイントを使用して、VPC と Grafana ワークスペースエンドポイントの間にプライベート接続を確立できます。

Amazon VPC は AWS のサービス 、定義した仮想ネットワークで AWS リソースを起動するために使用できる です。VPC を使用すると、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を Amazon Managed Grafana API に接続するには、インターフェイス VPC エンドポイント を定義します。エンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせずに、Amazon Managed Grafana への信頼性が高くスケーラブルな接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは、 を利用しています。これは AWS PrivateLink、Elastic Network Interface とプライベート IP アドレス AWS のサービス を使用して 間のプライベート通信を可能にする AWS テクノロジーです。詳細については、「新規 – AWS サービス用 AWS PrivateLink」を参照してください。

Amazon VPC の使用を開始する方法については、「Amazon VPC ユーザーガイド」の「使用開始」を参照してください。

Amazon Managed Grafana AWS PrivateLink に接続するための VPC エンドポイントの作成

次のいずれかのサービス名エンドポイントを使用して、Amazon Managed Grafana へのインターフェイス VPC エンドポイントを作成します。

  • ワークスペースを管理するために Amazon Managed Grafana API に接続するには、以下を選択します。

    com.amazonaws.region.grafana.

  • Amazon Managed Grafana ワークスペースに接続するには (Grafana API を使用するなど)、以下を選択します。

    com.amazonaws.region.grafana-workspace

インターフェイス VPC エンドポイントの作成の詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。

Grafana APIs「Amazon VPC ユーザーガイド」の手順に従って、VPC エンドポイントのプライベート DNS も有効にする必要があります。これにより、フォーム内の URLsローカル解決が可能になります。 *.grafana-workspace.region.amazonaws.com

ネットワークアクセスコントロールを使用して Grafana ワークスペースへのアクセスを制限する

特定の Grafana ワークスペースへのアクセスに使用できる IP アドレスまたは VPC エンドポイントを制限する場合は、そのワークスペースへのネットワークアクセスコントロールを設定できます

ワークスペースへのアクセスを許可する VPC エンドポイントの場合、エンドポイントのセキュリティグループを設定することで、そのアクセスをさらに制限できます。詳細については、Amazon VPC ドキュメント「セキュリティグループとセキュリティグループのルールを関連付ける」を参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

エンドポイントポリシーを使用した Amazon Managed Grafana API VPC エンドポイントへのアクセスの制御

Amazon Managed Grafana API ( を使用com.amazonaws.region.grafana) に接続されている VPC エンドポイントの場合、VPC エンドポイントポリシーを追加してサービスへのアクセスを制限できます。

注記

( を使用してcom.amazonaws.region.grafana-workspace) ワークスペースに接続されている VPC エンドポイントは、VPC エンドポイントポリシーをサポートしていません。

VPC評価項目ポリシーは、評価項目の作成時または変更時に評価項目に加える国際機械技術者協会(IAM)のリソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーが Amazon VPC によって自動的にアタッチされます。エンドポイントポリシーは、IAM アイデンティティベースのポリシーやサービス固有のポリシーを上書きしたり置き換えたりするものではありません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

評価項目のポリシーは、JSON形式で記載する必要があります。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスへのアクセスの制御」を参照してください。

Amazon Managed Grafana のエンドポイントポリシーの例を次に示します。このポリシーにより、VPC 経由で Amazon Managed Grafana に接続するユーザーは、Amazon Managed Grafana サービスにデータを送信できます。また、他の Amazon Managed Grafana アクションを実行できないようにします。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] } } ] }
Grafana の VPC エンドポイントポリシーを編集するには
  1. VPC コンソール で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[エンドポイント] を選択します。

  3. エンドポイントをまだ作成していない場合は、エンドポイントの作成 を選択します。

  4. com.amazonaws.region.grafana エンドポイントを選択し、ポリシータブを選択します。

  5. [ポリシーの編集] を選択し、変更を行います。