翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Managed Grafana から Amazon VPC のデータソースまたは通知チャネルに接続する
<a name="AMG-configure-vpc"></a>

デフォルトでは、Amazon Managed Grafana ワークスペースからデータソースまたは通知チャネルへのトラフィックは、パブリックインターネット経由で流れます。このため、Amazon Managed Grafana ワークスペースがアクセスできるのは、パブリックにアクセス可能なサービスに限定されます。

**注記**  
プライベート VPC を設定しておらず、Amazon Managed Grafana がパブリックにアクセス可能なデータソースに接続している場合、 を介して同じリージョンの一部 AWS のサービスに接続します AWS PrivateLink。CloudWatch 、Amazon Managed Service for Prometheus、 AWS X-Rayなどのサービスがこれに該当します。これらのサービスへのトラフィックは、パブリックインターネットに流れることはありません。

VPC内のプライベートなデータソースに接続する場合 (トラフィックを VPC にローカルに保持したい場合) は、Amazon Managed Grafana ワークスペースをこれらのデータソースが配置されている Amazon Virtual Private Cloud (Amazon VPC) に接続することができます。この VPC データソース接続を設定すると、すべてのトラフィックが VPC 経由で流れるようになります。

Virtual *Private Cloud* (VPC) は、 専用の仮想ネットワークです AWS アカウント。これは、他の仮想ネットワーク (他の VPC やパブリックインターネットを含む) から論理的に分離されます。Amazon VPC を使用して、 AWS クラウドで VPC を作成および管理します。Amazon VPC では、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。Amazon Managed Grafana データソースやその他のリソースを、VPC 内に作成できます。Amazon VPC の詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[Amazon VPC とは?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。

**注記**  
Amazon Managed Grafana ワークスペースを VPC の外部、別のネットワーク、またはパブリックインターネットのデータに接続する場合は、他のネットワークへのルーティングを追加する必要があります。VPC を別のネットワークに接続する方法については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[VPC を他のネットワークに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)」を参照してください。

## VPC 接続の仕組み
<a name="AMG-VPC-how-it-works"></a>

[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) では、環境を自由に管理でき、アプリケーションを接続するためのパブリックおよびプライベート*サブネット*の作成や、サービスやリソースへのアクセス権を管理するための*セキュリティグループ*を作成することができます。

VPC 内のリソースで Amazon Managed Grafana を使用するには、Amazon Managed Grafana ワークスペースのその VPC への接続を作成する必要があります。接続を設定すると、Amazon Managed Grafana はワークスペースをその VPC の各アベイラビリティーゾーン内の各提供されたサブネットに接続し、Amazon Managed Grafana ワークスペースとの間で送受信されるすべてのトラフィックは VPC を経由します。以下の図に、この接続の論理構成を視覚的に示します。

![\[Amazon Managed Grafana が複数のアベイラビリティゾーンにまたがるVPCに接続されているイメージ図。\]](http://docs.aws.amazon.com/ja_jp/grafana/latest/userguide/images/grafana-vpc-connection.png)


Amazon Managed Grafana は、VPC (**2**) に接続するための接続 (**1**) をサブネット ([Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)、ENI) を使用) ごとに作成します。Amazon Managed Grafana VPC 接続は、VPC と Amazon Managed Grafana ワークスペース間のトラフィックを制御する一連のセキュリティグループ (**3**) に関連付けられています。アラートの送信先やデータソースの接続など、すべてのトラフィックは設定された VPC 経由でルーティングされます。別の VPC やインターネットにあるデータソースやアラート先 (**4**) に接続するには、他のネットワークと VPC の間に[ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) (**5**) を作成します。

## VPC への接続を作成する
<a name="AMG-to-create-vpc-connection"></a>

このセクションでは、既存の Amazon Managed Grafana ワークスペースから VPC に接続する手順について説明します。ワークスペースを作成する際にも、この手順と同じ内容を実行します。ワークスペース作成の詳細については、「[Amazon Managed Grafana ワークスペースを作成する](AMG-create-workspace.md)」を参照してください。

### 前提条件
<a name="config-vpc-prereqs"></a>

以下は、既存の Amazon Managed Grafana ワークスペースから VPC への接続を確立するために必要な前提条件です。
+ Amazon Managed Grafana ワークスペースを設定または作成するには、特定のアクセス許可が必要です。たとえば、 AWS 管理ポリシー を使用できます`AWSGrafanaAccountAdministrator`。
+ アカウントには、それぞれに 1 つの*プライベートサブネット*が設定された少なくとも 2 つのアベイラビリティーゾーンを持つ VPC 設定が必要です。VPC のサブネットとセキュリティグループの情報を把握しておく必要があります。
**注記**  
[Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html) と [Wavelength Zones](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) はサポートされていません。  
`Tenancy` が `Dedicated` に[設定された VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) はサポートされません。
**重要**  
Amazon Managed Grafana ワークスペースに接続されている各サブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。VPC サブネットの [IP 使用状況をモニタリング](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html)するようにアラームを設定することを強くお勧めします。サブネットで使用可能な IP アドレスの数が 15 を下回ると、次の問題が発生する可能性があります。  
追加の IP アドレスを解放するか、追加の IP アドレスを持つサブネットをアタッチするまで、ワークスペースの設定を変更できない
ワークスペースがセキュリティ更新プログラムやパッチを受信できない
まれに、ワークスペースが完全に使用できなくなることがあり、その結果、アラートが機能せず、ダッシュボードにアクセスできなくなる
+ データソースが設定されている既存の Amazon Managed Grafana ワークスペースを接続する場合は、Amazon Managed Grafana を VPC に接続する前に、それらのデータソースに接続ための VPC の設定を行っておくことをお勧めします。これには、 AWS PrivateLinkを介して接続される CloudWatch などのサービスも含まれます。これを行っていない場合、これらのデータソースへの接続が失われます。
+ VPC に他のネットワークへの複数のゲートウェイがすでにある場合は、複数のゲートウェイ間で DNS 解決を設定する必要があります。詳細については、「[ルート 53 リゾルバ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照してください。

### 既存の Amazon Managed Grafana ワークスペースから VPC に接続する
<a name="config-vpc-use"></a>

以下の手順では、既存の Amazon Managed Grafana ワークスペースに Amazon VPC データソース接続を追加する方法について説明します。

**注記**  
Amazon VPC への接続を設定すると、IAM ロールが作成されます。Amazon Managed Grafana は VPC への接続を作成する際に、このロールを使用します。IAM ロールは、サービスリンクロールポリシー「`AmazonGrafanaServiceLinkedRolePolicy`」を使用します。サービスリンクロールの詳細については、「[Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可](using-service-linked-roles.md#slr-permissions)」を参照してください。

**既存の Amazon Managed Grafana ワークスペースから VPC に接続する方法**

1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana/home/)を開きます。

1. 左のナビゲーションペインの **[すべてのワークスペース]** を選択します。

1. VPC データソース接続を追加するワークスペースの名前を選択します。

1. [**ネットワークアクセス設定**] タブで、**アウトバウンド VPC 接続**の横にある [**編集**] を選択して VPC 接続を作成します。

1. 接続する **VPC** を選択します。

1. **マッピング**で、使用するアベイラビリティーゾーンを選択します。少なくとも 2 つ選択する必要があります。

1. 各アベイラビリティーゾーンで少なくとも 1 つの*プライベートサブネット*を選択します。サブネットは IPv4 形式である必要があります。

1. VPC に少なくとも 1 つの**セキュリティグループ**を選択します。最大 5 つのセキュリティグループを指定できます。または、この接続に適用するセキュリティグループを作成することもできます。

1. 設定を完了するには、[**変更の保存**] を選択します。

VPC 接続の設定が完了したので、その VPC から Amazon Managed Grafana ワークスペースにアクセス可能な [データソースに接続する](AMG-data-sources.md) を追加できます。

**アウトバウンド VPC 設定内容の変更**

設定内容を変更するには、ワークスペース設定の **[ネットワークアクセス設定]** タブに戻るか、[UpdateWorkspace](https://docs.aws.amazon.com/grafana/latest/APIReference/API_UpdateWorkspace.html) API を使用します。

**重要**  
VPC 設定の管理は、Amazon Managed Grafana が行います。これらの VPC 設定の編集は、Amazon EC2 コンソールまたは API からは行わないでください。設定が同期されなくなります。

# Amazon Managed Grafana での VPC の使用に関するトラブルシューティング
<a name="AMG-configure-vpc-faq"></a>

Amazon Managed Grafana での Amazon Virtual Private Cloud (Amazon VPC) の使用に関する一般的な質問への回答。

## Amazon Managed Grafana で VPC を設定する必要があるのはどのような場合ですか？
<a name="vpc-faq-when-to-configure-vpc"></a>

プライベート VPC でのみ使用可能な (インターネットからアクセスできない) データソースに接続しようとする場合は、Amazon Managed Grafana で VPC を設定する必要があります。

データソースがインターネットに公開されている場合や、公開されているエンドポイントを持つ場合は、VPCの設定は不要です。

Amazon CloudWatch、Amazon Managed Service for Prometheus、または に接続する場合は AWS X-Ray、VPC を設定する必要はありません。これらのデータソースは、デフォルトで AWS PrivateLink を介して Amazon Managed Grafana に接続されています。

## Amazon Managed Grafana ワークスペースで VPC を設定した後、既存のデータソースが接続できなくなったのはなぜですか？
<a name="vpc-faq-existing-sources-failing"></a>

既存のデータソースはおそらくインターネット経由でアクセス可能であり、Amazon VPC の設定ではパブリックネットワークへのアクセスが許可されていない可能性があります。Amazon Managed Grafana ワークスペースで VPC 接続を設定した後、すべてのトラフィックがその VPC を経由する必要があります。これには、その VPC 内でホストされるプライベートデータソース、別の VPC のデータソース、VPC で利用できない AWS 管理のサービス、インターネットに公開されているデータソースが含まれます。

この問題を解決するには、設定した VPC に他のデータソースを接続する必要があります。
+ インターネットに接続するデータソースの場合、その VPC をインターネットに接続します。たとえば、[NAT デバイスを使用してインターネットや他のネットワークに接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)することができます（詳細は「*Amazon 仮想プライベートクラウドユーザーガイド*」を参照してください)。
+ 他の VPC のデータソースの場合、2 つの VPC 間のピアリング接続を作成します。詳細については、「*Amazon 仮想プライベートクラウドユーザーガイド*」の「[VPC ピアリング接続を使用してVPCを接続する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)」を参照してください。
+ CloudWatch、X-Ray、Amazon AWS Managed Service for Prometheus など、VPC でアクセスできないマネージドサービスの場合は、VPC でそのサービスのインターフェイス VPC エンドポイントを作成する必要があります。詳細については、「 *AWS PrivateLink ガイド*[」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## 専有テナンシーで VPC を使用できますか?
<a name="vpc-faq-dedicated-tenancy"></a>

いいえ、`Tenancy` が `Dedicated` に[設定された VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) はサポートされません。

## Managed AWS Services (Amazon Managed Service for Prometheus、CloudWatch、X-Ray など) とプライベートデータソース (Amazon Redshift を含む) の両方を同じ Amazon Managed Grafana ワークスペースに接続できますか?
<a name="vpc-faq-connect-services-and-private-sources"></a>

はい。プライベートデータソースと同じ VPC 内の AWS マネージドサービスへの接続を設定し (インターフェイス [VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)や [NAT ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html)などを使用）、Amazon Managed Grafana ワークスペースを同じ VPC に接続するように設定する必要があります。

## Amazon Managed Grafana ワークスペースで VPC を設定した後にデータソースに接続しようとすると、`502 Bad Gateway Error` を取得するのはなぜですか？
<a name="vpc-faq-502-error"></a>

以下はデータソース接続で `502` エラーが返される主な 3 つの原因です。
+ **セキュリティグループエラー** — Amazon Managed Grafana で VPC を設定する際に選択したセキュリティグループには、データソースへの接続を許可するためのインバウンドおよびアウトバウンドのルールが適切に設定されている必要があります。

  この問題を解決するには、データソースセキュリティグループと Amazon Managed Grafana セキュリティグループの両方のルールでこの接続が許可されていることを確認してください。
+ **ユーザーアクセス許可エラー** — 割り当てられたワークスペースユーザーにデータソースをクエリするための適切な権限がない可能性があります。

  この問題を解決するには、ユーザーにワークスペースを編集するために必要な IAM アクセス許可があり、ホスティングサービスからデータにアクセスしてクエリを実行するための適切なデータソースポリシーが設定されていることを確認します。アクセス許可は、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) の AWS Identity and Access Management (IAM) コンソールで利用できます。
+ **提供された接続の詳細が正しくありません** — 提供された接続情報が間違っているため、Amazon Managed Grafana ワークスペースがデータソースに接続できません。

  この問題を解決するには、データソースの接続情報 (データソース認証とエンドポイント URL など) を確認し、接続を再試行してください。

## 同じ Amazon Managed Grafana ワークスペースから複数の VPC に接続できますか？
<a name="vpc-faq-multiple-vpcs"></a>

Amazon Managed Grafana ワークスペースには 1 つの VPC のみを設定できます。異なる VPC またはリージョン間でデータソースにアクセスするには、次の質問を参照してください。

## 異なる VPC のデータソースに接続するにはどうすればよいですか？ 別の AWS リージョン または にある VPC からデータソースに接続するにはどうすればよいですか AWS アカウント?
<a name="vpc-faq-connect-to-different-vpc"></a>

[VPC ピアリング](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)または を使用してクロスリージョンまたはクロスアカウント VPCs [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)を接続し、Amazon Managed Grafana ワークスペースと同じ AWS アカウント および リージョンにある VPC を接続します。Amazon Managed Grafana は、VPC 内の他の接続と同様に外部データソースに接続します。

**注記**  
VPC ピアリングを選択できない場合、ユースケースをアカウントマネージャーと共有するか、[aws-grafana-feedback@amazon.com](mailto:aws-grafana-feedback@amazon.com) に E メールを送信してください。

## Amazon Managed Grafana ワークスペースが VPC に接続されている場合でも、他のパブリックデータソースに接続できますか？
<a name="vpc-faq-connect-to-public-sources"></a>

あり。VPC とパブリックデータソースの両方のデータソースを同じ Amazon Managed Grafana ワークスペースに同時に接続することができます。パブリックデータソースには、[NAT ゲートウェイゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat.html) または他の VPC 接続 を介して [VPC 接続](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)を設定する必要があります。パブリックデータソースへのリクエストは VPC を通過するため、これらのリクエストに対するより強力な可視化と制御を得ることができます。

## IP アドレスが不十分なために Amazon Managed Grafana ワークスペースを更新できない場合はどうすればよいですか?
<a name="vpc-faq-ip-exhaustion"></a>

 Amazon Managed Grafana ワークスペース設定を変更するときに、次のエラーが発生することがあります。VPC 設定のすべてのサブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。

 このエラーは、ワークスペースに接続されている 1 つまたは複数のサブネットが最小 IP 要件を満たしていない場合に表示されます。ワークスペースに接続されている各サブネットには、少なくとも 15 個の使用可能な IP アドレスが必要です。サブネットで使用可能な IP アドレスの数が 15 を下回ると、次の問題が発生する可能性があります。
+ 追加の IP アドレスを解放するか、追加の IP アドレスを持つサブネットをアタッチするまで、ワークスペースの設定を変更できない
+ ワークスペースがセキュリティ更新プログラムやパッチを受信できない
+ まれに、ワークスペースが完全に使用できなくなることがあり、その結果、アラートが機能せず、ダッシュボードにアクセスできなくなる

**IP の枯渇問題を軽減する**

1. サブネットの使用可能な IP アドレスが 15 未満の場合は、インスタンスに関連付けられた IP アドレスを解放するか、未使用のネットワークインターフェイスを削除して IP 容量を解放します。

1. 既存のサブネットで IP アドレスを解放できない場合は、少なくとも 15 個の使用可能な IP アドレスを持つサブネットに置き換える必要があります。Amazon Managed Grafana には専有サブネットを使用することをお勧めします。

**サブネットを置き換える**

1. [Amazon Managed Grafana コンソール](https://console.aws.amazon.com/grafana)を開きます。

1. 左側のナビゲーションペインで、**[すべてのワークスペース]** を選択し、ワークスペースの名前を選択します。

1. **[ネットワークアクセスコントロール]** タブで、**[アウトバウンド VPC 接続]** の横にある **[編集]** を選択します。

1. **[マッピング]** で、IP アドレスが不十分なサブネットを含むアベイラビリティーゾーンを選択します。

1. ドロップダウンで、IP アドレスが不十分なサブネットの選択を解除し、使用可能な IP アドレスが 15 個以上のサブネットを選択します。必要に応じて、VPC に新しいサブネットを作成します。詳細については、「*Amazon VPC ユーザーガイド*」の「[サブネットを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)」を参照してください。

1. 設定を完了するには、[**変更の保存**] を選択します。

## VPC 接続を設定する前は、Grafana アラートが PagerDuty や Slack などのダウンストリームサービスに正常に送信されていました。VPC を設定した後、Grafana アラートがこれらの通知先に配信されないのはなぜですか？
<a name="vpc-faq-grafana-alert-destinations"></a>

Amazon Managed Grafana ワークスペースの VPC 接続を設定すると、ワークスペース内のデータソースへのすべてのトラフィックは、設定された VPC を経由します。VPC に、これらのアラート通知サービスに到達するルートがあることを確認してください。例えば、サードパーティーがホストするアラートの通知先をインターネットに接続する必要がある場合があります。データソースと同様に、外部接続先へのインターネット接続、 AWS Transit Gateway接続、またはその他の VPC 接続を設定します。

## VPC は手動で編集できますか？ セキュリティグループまたはサブネットを変更すると、Amazon Managed Grafana ワークスペースが使用できなくなるのはなぜですか？
<a name="vpc-faq-manually-edit-vpc"></a>

Amazon Managed Grafana の VPC 接続は、VPC と Amazon Managed Grafana ワークスペースの間の通信の制御にセキュリティグループとサブネットを使用しています。セキュリティグループまたはサブネットが Amazon Managed Grafana コンソール以外 (VPC コンソールなど) から変更または削除されると、Amazon Managed Grafana ワークスペースの VPC 接続はワークスペースのセキュリティの保護を停止し、ワークスペースにアクセスできなくなります。この問題を修正するには、Amazon Managed Grafana コンソールで Amazon Managed Grafana ワークスペースに設定されているセキュリティグループを更新してください。ワークスペースを表示するときは、[**ネットワークアクセスコントロール**] タブで [**アウトバウンド VPC 接続**] を選択し、VPC 接続に関連付けられたサブネットまたはセキュリティグループを変更します。