Endpoints da VPC de interface - Amazon Managed Grafana
Usar o Amazon Managed Grafana com endpoints de interface da VPCCriar um endpoint da VPC para fazer uma conexão do AWS PrivateLink com o Amazon Managed Grafana Usar o controle de acesso da rede para limitar o acesso ao seu espaço de trabalho do GrafanaControlar o acesso ao endpoint da VPC da API do Amazon Managed Grafana com uma política de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints da VPC de interface

Fornecemos AWS PrivateLink suporte entre o Amazon VPC e o Amazon Managed Grafana. Você pode controlar o acesso ao serviço do Amazon Managed Grafana nos endpoints da nuvem privada virtual (VPC) anexando uma política de recursos do IAM para endpoints da Amazon VPC.

O Amazon Managed Grafana é compatível com dois tipos diferentes de endpoints da VPC. Você pode se conectar ao serviço Amazon Managed Grafana, fornecendo acesso ao Amazon Managed Grafana para gerenciar espaços de trabalho APIs . Ou você pode criar um endpoint da VPC para um espaço de trabalho específico.

Usar o Amazon Managed Grafana com endpoints de interface da VPC

Há duas maneiras de usar endpoints de interface da VPC com o Amazon Managed Grafana. Você pode usar um VPC endpoint para permitir que AWS recursos como EC2 instâncias da Amazon acessem a API Amazon Managed Grafana para gerenciar recursos, ou você pode usar um endpoint VPC como parte da limitação do acesso à rede aos seus espaços de trabalho do Amazon Managed Grafana.

  • Se você estiver usando a Amazon VPC para hospedar seus AWS recursos, poderá estabelecer uma conexão privada entre sua VPC e a API Amazon Managed Grafana usando o nome do serviço endpoint. com.amazonaws.region.grafana

  • Se você estiver tentando usar o controle de acesso da rede para adicionar segurança ao seu espaço de trabalho do Amazon Managed Grafana, você poderá estabelecer uma conexão privada entre a VPC e o endpoint dos espaços de trabalho do Grafana usando o nome do serviço endpoint com.amazonaws.region.grafana-workspace.

A Amazon VPC é uma AWS service (Serviço da AWS) que você pode usar para lançar AWS recursos em uma rede virtual que você define. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar a VPC à API do Amazon Managed Grafana, você deve definir um endpoint de interface da VPC. O endpoint fornece uma conectividade confiável e escalável ao Amazon Managed Grafana sem precisar de um gateway da internet, uma instância de conversão de endereços de rede (NAT) ou uma conexão de VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Os endpoints VPC da Interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre o Serviços da AWS uso de uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte Novo — AWS PrivateLink para AWS serviços.

Para obter informações sobre como iniciar a Amazon VPC, consulte Conceitos básicos no Guia do usuário da Amazon VPC.

Criar um endpoint da VPC para fazer uma conexão do AWS PrivateLink com o Amazon Managed Grafana

Crie um endpoint de interface da VPC para o Amazon Managed Grafana com um dos seguintes endpoints de nome de serviço:

  • Para se conectar à API do Amazon Managed Grafana para gerenciar espaços de trabalho, escolha:

    com.amazonaws.region.grafana.

  • Para se conectar a um espaço de trabalho do Amazon Managed Grafana (por exemplo, para usar a API do Grafana), escolha:

    com.amazonaws.region.grafana-workspace

Para obter mais detalhes sobre como criar um endpoint de interface da VPC, consulte Create an interface endpoint no Guia do usuário da Amazon VPC.

Para ligar para o Grafana APIs, você também deve habilitar o DNS privado para seu VPC endpoint, seguindo as instruções no Guia do usuário do Amazon VPC. Isso permite a resolução local de URLs no formulário *.grafana-workspace.region.amazonaws.com

Usar o controle de acesso da rede para limitar o acesso ao seu espaço de trabalho do Grafana

Se você quiser limitar quais endereços IP ou endpoints de VPC podem ser usados para acessar um espaço de trabalho específico do Grafana, você pode configurar o controle de acesso da rede para esse espaço de trabalho.

Para endpoints da VPC aos quais você dá acesso ao seu espaço de trabalho, você pode limitar ainda mais o acesso deles configurando grupos de segurança para os endpoints. Para saber mais, consulte Associate security groups e Regras de grupos de segurança na documentação da Amazon VPC.

Controlar o acesso ao endpoint da VPC da API do Amazon Managed Grafana com uma política de endpoint

Para endpoints da VPC conectados à API do Amazon Managed Grafana (usando com.amazonaws.region.grafana), você pode adicionar uma política de endpoint da VPC para limitar o acesso ao serviço.

nota

Os endpoints da VPC conectados a espaços de trabalho (usando com.amazonaws.region.grafana-workspace) não são compatíveis com as políticas de endpoint da VPC.

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas fundamentadas na identidade e específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Control access to service with VPC endpoints no Guia do usuário da Amazon VPC.

Veja a seguir um exemplo de política de endpoint para o Amazon Managed Grafana. Essa política permite que os usuários se conectem ao Amazon Managed Grafana por meio da VPC para enviar dados para o serviço do Amazon Managed Grafana. Isso também evita que eles realizem outras ações do Amazon Managed Grafana. 


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            }
        }
    ]
}
Para editar a política de endpoint da VPC para o Grafana

  1. Abra o console da Amazon VPC em Console da VPC.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não tiver criado endpoints, escolha Criar endpoint.

  4. Selecione o endpoint com.amazonaws.region.grafana e, em seguida, escolha a guia Política.

  5. Escolha Edit Policy (Editar política) e faça as alterações.