管理工作區的網路存取 - Amazon Managed Grafana
設定網路存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理工作區的網路存取

您可以控制使用者和主持人如何存取您的 Grafana 工作區。

Grafana 要求所有使用者都必須經過驗證和授權。不過,根據預設,Amazon 受管的 Grafana 工作區開放給所有網路流量。您可以設定工作區的網路存取控制,以控制允許連接哪些網路流量。

您可以透過兩種方式控制工作區的流量。

  • IP 位址 (字首清單) — 您可以使用允許存取工作區的 IP 範圍建立受管理的前置詞清單。Amazon 受管的 Grafana 僅支援用於網路存取控制的公有 IPv4 地址。

  • VPC 端點 — 您可以建立允許存取特定工作區的工作區的 VPC 端點清單。

設定網路存取控制時,必須包含至少一個前置詞清單或 VPC 端點。

Amazon 受管的 Grafana 使用前綴清單和 VPC 端點來決定允許連接到 Grafana 工作區的哪些請求。下圖顯示此篩選。

此影像顯示 Amazon 受管的 Grafana 網路存取控制允許某些請求,並封鎖其他人嘗試存取 Amazon 受管的 Grafana 工作區。

為 Amazon 受管的 Grafana 工作區設定網路存取控制 (1),指定應允許哪些請求存取工作區。網路存取控制可依 IP 位址 (2) 或使用哪個介面端點來允許或封鎖流量 (3)。

下節說明如何設定網路存取控制。

設定網路存取控制

您可以將網路存取控制新增至現有工作區,或將其配置為初始建立工作區的一部分。

先決條件

若要設定網路存取控制,您必須先為工作區建立介面 VPC 端點,或為您要允許的 IP 位址建立至少一個 IP 前置詞清單。您也可以同時建立兩者或多個兩者。

  • VPC 端點 — 您可以建立可存取所有工作區的介面 VPC 端點。建立端點之後,您需要您要允許的每個端點的 VPC 端點識別碼。VPC 端點識別碼具有格式vpce-1a2b3c4d

    如需為 Grafana 工作區建立 VPC 端點的相關資訊,請參閱。介面 VPC 端點若要專門為您的工作區建立 VPC 端點,請使用com.amazonaws.region.grafana-workspace端點名稱。

    對於您授予工作區存取權的 VPC 端點,您可以設定端點的安全群組,進一步限制其存取權限。若要進一步了解,請參閱 Amazon VPC 文件中的關聯安全群組和安全群組規則

  • 受管首碼清單 (針對 IP 位址範圍) — 若要允許 IP 位址,您必須在 Amazon VPC 中建立一或多個前置詞清單,其中包含允許的 IP 範圍清單。用於 Amazon 受管的 Grafana 時,前綴列表有一些限制:

    • 每個前置詞清單最多可包含 100 個 IP 位址範圍。

    • 私有 IP 位址範圍 (例如,10.0.0.0/16會忽略。您可以在首碼清單中包含私有 IP 位址範圍,但 Amazon Managed Grafana 會在篩選流量至工作區時忽略這些範圍。若要允許這些主機連線至工作區,請為您的工作區建立 VPC 端點並授予其存取權。

    • Amazon 受管 Grafana 僅支援前綴清單中的 IPv4 地址,而不支援 IPv6。IPv6 位址會被忽略。

    您可以透過 Amazon VPC 主控台建立受管前置詞清單。建立前置詞清單後,您需要在 Amazon Managed Grafana 中允許的每個清單的前置詞清單 ID。字首清單 ID 的格式為pl-1a2b3c4d

    如需有關建立前置詞清單的詳細資訊,請參閱 Amazon Virtual Private Cloud 端使用者指南中的使用受管前置詞清單將 CIDR 區塊分組。

  • 您必須擁有必要的許可才能設定或建立 Amazon 受管的 Grafana 工作區。例如,您可以使用 AWS 受管理的策略,AWSGrafanaAccountAdministrator.

取得要授予工作區存取權之前綴清單或 VPC 端點的 ID 清單後,即可建立網路存取控制組態。

注意

如果您啟用網路存取控制,但未將前置詞清單新增至組態,則除非透過允許的 VPC 端點,否則不允許存取您的工作區。

同樣地,如果您啟用網路存取控制,但未將 VPC 端點新增至組態,則除非透過允許的 IP 位址,否則不允許存取您的工作區。

您必須在網路存取控制組態中包含至少一個前置詞清單或 VPC 端點,否則您將無法從任何地方存取您的工作區。

設定工作區的網路存取控制

  1. 打開 Amazon 託管 Grafana 控制台。

  2. 在左側導覽窗格中,選擇「所有工作區」。

  3. 選取您要設定網路存取控制的工作區名稱。

  4. 在 [網路存取控制] 索引標籤的 [網路存取控制] 下,選擇 [限制存取] 以設定網路存取控制。

    注意

    您可以在建立工作區時存取這些相同的選項。

  5. 從下拉式清單中選取要新增「前置詞」清單還是 VPC 端點

  6. 選取您要新增的 VPC 端點或前置碼清單 ID (或者,您也可以輸入要使用的 ID。您必須至少選擇一個。

  7. 若要新增更多端點或清單,請為您要新增的每個端點選取 [新增資源]。

    注意

    您最多可以新增 5 個前置詞清單和 5 個 VPC 端點。

  8. 選擇 [儲存變更] 以完成設定。

警告

如果您有工作區的現有使用者,請在組態中包含其 IP 範圍或 VPC 端點,否則他們將因403 Forbidden錯誤而失去存取權。建議您在設定或修改網路存取控制的組態後,測試現有的存取點。