翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana ワークスペースに対するネットワークからのアクセス制御を設定する
<a name="AMG-configure-nac"></a>

ユーザーとホストに対して Grafana ワークスペースへのアクセス権を設定することができます。

Grafana では、すべてのユーザーが認証された上で権限を与えられている必要があります。ただし、デフォルトでは、Amazon Managed Grafana ワークスペースはすべてのネットワークトラフィックに対して解放された状態です。ワークスペースに対するネットワークアクセス制御を設定して、ワークスペースに到達できるネットワークトラフィックを制御することができます。

ワークスペースに対するトラフィックは、2 つの方法で制御できます。
+ **IP アドレス** (プレフィックスリスト) – ワークスペースへのアクセスを許可する IP 範囲を指定した[マネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)を作成することができます。Amazon Managed Grafana では、ネットワークアクセス制御に使用できるのはパブリック IPv4 アドレスのみとなります。
+ **VPC エンドポイント** – 特定のワークスペースにアクセスできる VPC エンドポイントのリストを作成して、そのワークスペースへのアクセスを許可することができます。

ネットワークアクセスコントロールを設定する際は、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを設定する必要があります。

Amazon Managed Grafana は、プレフィックスリストと VPC エンドポイントを使用して、どのリクエストが Grafana ワークスペースに対する接続を許可されるかを決定します。以下の図に、このフィルタリングの様子を示します。

![\[Amazon Managed Grafana に対するネットワークアクセスコントロールを示すイメージ。一部のリクエストは許可され、他のリクエストはブロックされます。\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/grafana-nac.png)


Amazon Managed Grafana ワークスペースに対するネットワークアクセスコントロール (**1**) の設定で、どのリクエストのアクセスを許可するかを指定します。ネットワークアクセスコントロールでは、IPアドレス (**2**) または使用されているインターフェイスエンドポイント (**3**) によってトラフィックを許可またはブロックできます。

次のセクションでは、ネットワークアクセスコントロールを設定する方法について説明します。

## ネットワークアクセス制御の設定
<a name="AMG-nac-how-to"></a>

既存のワークスペースにネットワークアクセスコントロールを追加するか、ワークスペースを最初に作成する際の作業の一環で設定します。

**前提条件**

ネットワークアクセスコントロールを設定するには、まずワークスペースのインターフェイス VPC エンドポイント、または許可する IP アドレスの IP プレフィックスリストを少なくとも 1 つ作成する必要があります。両方、または両方を複数作成することもできます。
+ **VPC エンドポイント** – すべてのワークスペースへのアクセスを許可するインターフェイス VPC エンドポイントを作成できます。エンドポイントを作成した後は、許可する各エンドポイントの VPC エンドポイント ID が必要になります。VPC エンドポイント ID の形式は `vpce-1a2b3c4d` です。

  Grafana ワークスペースの VPC エンドポイントの作成については、「[インターフェイス VPC エンドポイント](VPC-endpoints.md)」を参照してください。ワークスペース専用の VPC エンドポイントを作成するには、`com.amazonaws.region.grafana-workspace` エンドポイント名を使用します。

  ワークスペースへのアクセスを許可する VPC エンドポイントに対してエンドポイントのセキュリティグループを設定することで、より詳細なアクセス制限が可能になります。詳細については、「*Amazon VPC ドキュメント*」の「[セキュリティグループの関連付け](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)」と「[セキュリティグループのルール](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)」を参照してください。
+ **マネージドプレフィックスリスト** (IP アドレス範囲の場合) – IP アドレスを許可するには、Amazon VPC で 1 つ以上のプレフィックスリストを作成し、許可する IP 範囲のリストを指定する必要があります。Amazon Managed Grafana で使用するプレフィックスリストにはいくつかの制限があります。
  + 各プレフィックスリストに含めることができる IP アドレス範囲の上限は最大 100 個までとなっています。
  + プライベート IP アドレス範囲 (例: `10.0.0.0/16`) は無視されます。プレフィックスリストにプライベート IP アドレス範囲を含めることはできますが、Amazon Managed Grafana はワークスペースへのトラフィックをフィルタリングするときにそれらを無視します。これらのホストがワークスペースにアクセスできるようにするには、ワークスペース用の VPC エンドポイントを作成してアクセスを許可する必要があります。
  + Amazon Managed Grafana は、プレフィックスリストで IPv4 アドレスのみをサポートします (IPv6 はサポート外)。IPv6 アドレスは無視されます。

  マネージドプレフィックスリストは、[Amazon VPC コンソール](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)を使用して作成します。プレフィックスリストを作成した後で、Amazon Managed Grafana で許可するリストごとにプレフィックスリスト ID が必要になります。プレフィックスリスト ID の形式は `pl-1a2b3c4d` です。

  プレフィックスリストの作成に関する詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)」を参照してください。
+ Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。たとえば、 AWS 管理ポリシー を使用できます`AWSGrafanaAccountAdministrator`。

ワークスペースへのアクセスを許可するプレフィックスリストまたは VPC エンドポイントの ID のリストを取得したら、ネットワークアクセスコントロール設定の作成準備完了です。

**注記**  
ネットワークアクセスコントロールを有効にしても、設定にプレフィックスリストを追加しない場合、許可された VPC エンドポイント経由を除き、ワークスペースへのアクセスは許可されません。  
同様に、ネットワークアクセスコントロールを有効にし、設定に VPC エンドポイントを追加しない場合、許可された IP アドレス経由を除き、ワークスペースへのアクセスは許可されません。  
ネットワークアクセスコントロール設定には、少なくとも 1 つのプレフィックスリストまたは VPC エンドポイントを登録する必要があり、どちらの登録もない場合、どこからもワークスペースへのアクセスはできなくなります。

**ワークスペースに対するネットワークアクセスコントロールの設定方法**

1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana/home/)を開きます。

1. 左のナビゲーションペインの **[すべてのワークスペース]** を選択します。

1. ネットワークアクセスコントロールを設定するワークスペースの名前を選択します。

1. [**ネットワークアクセスコントロール**] タブの [**ネットワークアクセスコントロール**]で、[**制限付きアクセス**] を選択してネットワークアクセスコントロールを設定します。
**注記**  
この内容は、ワークスペースの作成時のオプションにも登場します。

1. ドロップダウンから、[**プレフィックスリスト**] または [**VPC エンドポイント**] から追加する方を選択します。

1. 追加する VPC エンドポイントまたはプレフィックスリスト ID を選択します (または、使用する ID を入力することもできます)。少なくとも 1 つを選択する必要があります。

1. エンドポイントまたはリストをさらに追加するには、追加するリソースごとに [**新しいリソースを追加**] を選択します。
**注記**  
最大 5 つのプレフィックスリストと 5 つの VPC エンドポイントを追加できます。

1. 設定を完了するには、[**変更の保存**] を選択します。

**警告**  
ワークスペースを使用する既存のユーザーがいる場合、そのユーザーの IP 範囲または VPC エンドポイントを設定に含めてください。含めない場合、そのユーザーは `403 Forbidden` エラーでアクセスできなくなります。ネットワークアクセスコントロールの設定または変更後に、既存のアクセスポイントをテストすることをお勧めします。