メトリクスクエリを保護する

Amazon Managed Service for Prometheus には、メトリクスのクエリの実行を保護するための手段が用意されています。

Amazon Managed Service for Prometheus AWS PrivateLink での の使用

Amazon Managed Service for Prometheus でメトリクスをクエリするためのネットワークトラフィックは、パブリックインターネットエンドポイントを介して、または を介してVPCエンドポイントによって実行できます AWS PrivateLink。を使用すると AWS PrivateLink、 からのネットワークトラフィックVPCsは、パブリックインターネットを経由せずに AWS ネットワーク内で保護されます。Amazon Managed Service for Prometheus のエンドポイントを作成するには AWS PrivateLink VPC、「」を参照してくださいインターフェイス VPC エンドポイントでの Amazon Managed Service for Prometheus の使用。

認証と認可

AWS Identity and Access Management は、 リソースへのアクセス AWS を安全に制御するのに役立つウェブサービスです。を使用してIAM、誰を認証 (サインイン) し、誰にリソースの使用を承認する (アクセス許可を付与する) かを制御します。Amazon Managed Service for Prometheus は と統合されIAM、データの安全性の維持に役立ちます。Amazon Managed Service for Prometheus を設定するときは、Grafana サーバーが Amazon Managed Service for Prometheus ワークスペースに保存されているメトリクスをクエリできるようにするIAMロールをいくつか作成する必要があります。の詳細についてはIAM、「 IAMとは」を参照してください。

Amazon Managed Service for Prometheus のセットアップに役立つもう 1 つの AWS セキュリティ機能は、 AWS 署名バージョン 4 の署名プロセス (AWS SigV4) です。署名バージョン 4 は、 によって送信された AWS リクエストに認証情報を追加するプロセスですHTTP。セキュリティ上の理由から、 へのほとんどのリクエストは、アクセスキー ID とシークレットアクセスキーで構成されるアクセスキーで署名 AWS する必要があります。これらの 2 つのキーは、一般的にセキュリティ認証情報と呼ばれます。SigV4 の詳細については、「Signature Version 4 の署名プロセス」を参照してください。