Endpoints da VPC de interface - Amazon Managed Grafana
Usando o Amazon Managed Grafana com endpoints de interface VPCCriação de um VPC endpoint para fazer uma conexão com o Amazon Managed AWS PrivateLink Grafana Usando o controle de acesso à rede para limitar o acesso ao seu espaço de trabalho GrafanaControle do acesso ao seu endpoint VPC da API Amazon Managed Grafana com uma política de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints da VPC de interface

Fornecemos AWS PrivateLink suporte entre o Amazon VPC e o Amazon Managed Grafana. Você pode controlar o acesso ao serviço Amazon Managed Grafana a partir dos endpoints da nuvem privada virtual (VPC) anexando uma política de recursos do IAM para endpoints do Amazon VPC.

O Amazon Managed Grafana oferece suporte a dois tipos diferentes de VPC endpoints. Você pode se conectar ao serviço Amazon Managed Grafana, fornecendo acesso às APIs Amazon Managed Grafana para gerenciar espaços de trabalho. Ou você pode criar um VPC endpoint para um espaço de trabalho específico.

Usando o Amazon Managed Grafana com endpoints de interface VPC

Há duas maneiras de usar endpoints VPC de interface com o Amazon Managed Grafana. Você pode usar um VPC endpoint para permitir que AWS recursos como instâncias do Amazon EC2 acessem a API Amazon Managed Grafana para gerenciar recursos, ou você pode usar um endpoint VPC como parte da limitação do acesso à rede aos seus espaços de trabalho do Amazon Managed Grafana.

  • Se você estiver usando a Amazon VPC para hospedar seus AWS recursos, poderá estabelecer uma conexão privada entre sua VPC e a API Amazon Managed Grafana usando o nome do serviço endpoint. com.amazonaws.region.grafana

  • Se você estiver tentando usar o controle de acesso à rede para adicionar segurança ao seu espaço de trabalho Amazon Managed Grafana, você pode estabelecer uma conexão privada entre sua VPC e o endpoint do Grafana Workspaces, usando o nome do serviço endpoint. com.amazonaws.region.grafana-workspace

A Amazon VPC é um AWS service (Serviço da AWS) que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar sua VPC à sua API Amazon Managed Grafana, você define uma interface VPC endpoint. O endpoint fornece conectividade confiável e escalável ao Amazon Managed Grafana sem exigir um gateway de internet, uma instância de conversão de endereços de rede (NAT) ou uma conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Os endpoints VPC da Interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre o Serviços da AWS uso de uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte Novidade: AWS PrivateLink para produtos da AWS.

Para obter informações sobre como começar a usar a Amazon VPC, consulte Comece a usar no Guia do usuário da Amazon VPC.

Criação de um VPC endpoint para fazer uma conexão com o Amazon Managed AWS PrivateLink Grafana

Crie uma interface VPC endpoint para o Amazon Managed Grafana com um dos seguintes endpoints de nome de serviço:

  • Para se conectar à API Amazon Managed Grafana para gerenciar espaços de trabalho, escolha:

    com.amazonaws.region.grafana.

  • Para se conectar a um espaço de trabalho do Amazon Managed Grafana (por exemplo, para usar a API Grafana), escolha:

    com.amazonaws.region.grafana-workspace

Para obter detalhes sobre a criação de uma interface VPC endpoint, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Para chamar as APIs do Grafana, você também deve habilitar o DNS privado para seu VPC endpoint, seguindo as instruções no Guia do usuário do Amazon VPC. Isso permite a resolução local de URLs no formulário *.grafana-workspace.region.amazonaws.com

Usando o controle de acesso à rede para limitar o acesso ao seu espaço de trabalho Grafana

Se você quiser limitar quais endereços IP ou VPC endpoints podem ser usados para acessar um espaço de trabalho específico da Grafana, você pode configurar o controle de acesso à rede para esse espaço de trabalho.

Para endpoints de VPC aos quais você dá acesso ao seu espaço de trabalho, você pode limitar ainda mais o acesso deles configurando grupos de segurança para os endpoints. Para saber mais, consulte Associar grupos de segurança e Regras de grupos de segurança na documentação da Amazon VPC.

Controle do acesso ao seu endpoint VPC da API Amazon Managed Grafana com uma política de endpoint

Para endpoints de VPC conectados à API Amazon Managed Grafana (usandocom.amazonaws.region.grafana), você pode adicionar uma política de VPC endpoint para limitar o acesso ao serviço.

nota

Os endpoints de VPC conectados a espaços de trabalho (usandocom.amazonaws.region.grafana-workspace) não oferecem suporte às políticas de endpoints de VPC.

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas fundamentadas na identidade e específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Controle o acesso ao serviço com VPC endpoints no Guia do usuário da Amazon VPC.

Veja a seguir um exemplo de uma política de endpoint para o Amazon Managed Grafana. Essa política permite que os usuários se conectem ao Amazon Managed Grafana por meio da VPC para enviar dados para o serviço Amazon Managed Grafana. Isso também impede que eles realizem outras ações do Amazon Managed Grafana. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
Para editar a política de VPC endpoint para Grafana

  1. Abra o console Amazon VPC no console VPC.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não criou endpoints, escolha Create Endpoint.

  4. Selecione o com.amazonaws.region.grafana endpoint e, em seguida, escolha a guia Política.

  5. Escolha Edit Policy (Editar política) e faça as alterações.