本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置对 Amazon Managed Grafana 工作区的网络访问权限 您可以控制用户和主机访问 Grafana 工作区的方式。 Grafana 要求所有用户都必须经过身份验证和授权。但是,默认情况下,Amazon Managed Grafana 工作区对所有网络流量开放。您可以为工作区配置网络访问控制,以控制允许哪些网络流量访问该工作区。 通过两种方式控制工作空间的流量: + **IP 地址**(前缀列表)-创建[托管前缀列表](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html),其中包含允许访问工作区的 IP 范围。前缀列表可以包含 IPv4 或 IPv6 地址范围。要过滤 IPv6 流量,请使用带有双堆栈工作空间的 IPv6 前缀列表。 + **VPC 终端节**点 — 为您的工作空间创建允许访问特定工作空间的 VPC 终端节点列表。 配置网络访问控制时,必须至少包含一个前缀列表或 VPC 端点。 Amazon Managed Grafana 会使用前缀列表和 VPC 端点来决定允许连接到 Grafana 工作区的请求。下图说明了这种过滤。 ![图像展示 Amazon Managed Grafana 网络访问控制允许了某些请求,并阻止了其他尝试访问 Amazon Managed Grafana 工作区的请求。](http://docs.aws.amazon.com/zh_cn/grafana/latest/userguide/images/grafana-nac.png) 通过为 Amazon Managed Grafana 工作区配置网络访问控制(**1**),可以指定允许哪些请求访问工作区。网络访问控制可以通过 IP 地址(**2**)或使用的接口端点(**3**)允许或阻止流量。 以下部分介绍如何设置网络访问控制。 ## 配置网络访问控制 您可以将网络访问控制添加到现有工作区,也可以在最初创建工作区时进行配置。 **先决条件** 要设置网络访问控制,您必须先为工作区创建一个接口 VPC 端点,或为要允许的 IP 地址创建至少一个 IP 前缀列表。您可以同时创建二者,也可以创建多个接口 VPC 端点或多个 IP 前缀列表。 + **VPC 端点**:您可以创建可访问所有工作区的接口 VPC 端点。创建端点后,对于每个您希望允许的端点,您需要获取其 VPC 端点 ID。VPC 端点 ID 的格式为 `vpce-{{1a2b3c4d}}`。 有关为 Grafana 工作区创建 VPC 端点的信息,请参阅 [接口 VPC 端点](VPC-endpoints.md)。要专门为工作区创建 VPC 端点,请使用 `com.amazonaws.{{region}}.grafana-workspace` 端点名称。 对于允许访问工作区的 VPC 端点,您可以通过为这些端点配置安全组,进一步限制其访问权限。要了解更多信息,请参阅 *Amazon VPC 文档*中的[关联安全组](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)和[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。 + **托管前缀列表**(用于 IP 地址范围):要允许 IP 地址,您必须在 Amazon VPC 中创建一个或多个前缀列表,其中包含要允许的 IP 范围列表。用于 Amazon Managed Grafana 时,前缀列表有一些限制: + 每个前缀列表最多可包含 100 个 IP 地址范围。 + 前缀列表中的 IPv6 地址范围仅对双栈工作空间有效。在 IPv4-only 工作空间中,IPv6 范围会被忽略。 + 私有 IP 地址范围(例如`10.0.0.0/16`)将被忽略。您可以在前缀列表中包含私有 IP 地址范围,但 Amazon Managed Grafana 会在过滤工作区流量时忽略这些地址范围。要允许这些主机访问工作区,请为工作区创建一个 VPC 端点并授予它们访问权限。 您可以通过 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)创建托管前缀列表。创建前缀列表后,对于每个您希望在 Amazon Managed Grafana 中允许的前缀列表,您需要获取其 ID。前缀列表 ID 的格式为 `pl-{{1a2b3c4d}}`。 有关创建前缀列表的更多信息,请参阅《Amazon Virtual Private Cloud 用户指南》**中的[使用托管前缀列表对 CIDR 块进行分组](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。 + 您必须拥有配置或创建 Amazon Managed Grafana 工作区所需的权限。例如,您可以使用 AWS 托管策略`AWSGrafanaAccountAdministrator`。 在获取了要授予其工作区访问权限的前缀列表或 VPC 端点的 ID 列表后,您就可以开始创建网络访问控制配置了。 **注意** 如果您启用网络访问控制,但未在配置中添加前缀列表,则除了通过允许的 VPC 端点外,对工作区的访问将不被允许。 同样,如果您启用网络访问控制,但未在配置中添加 VPC 端点,则除了通过允许的 IP 地址外,对工作区的访问将不被允许。 您必须在网络访问控制配置中至少包含一个前缀列表或 VPC 端点,否则您将无法从任何地方访问您的工作区。 **要为工作区配置网络访问控制** 1. 打开 [Amazon Managed Grafana 控制台](https://console.aws.amazon.com/grafana/home/)。 1. 在左侧导航窗格中,选择**所有工作区**。 1. 选择要为其配置网络访问控制的工作区名称。 1. 在**网络访问控制**选项卡的**网络访问控制**下,选择**受限访问**,以配置网络访问控制。 **注意** 创建工作区时也可以访问这些选项。 1. 从下拉列表中选择是添加**前缀列表**还是 **VPC 端点**。 1. 选择要添加的 VPC 端点或前缀列表 ID(或者,也可以键入要使用的 ID)。必须选择至少一个。 1. 要添加更多端点或列表,请为每个要添加的端点或列表选择**添加新资源**。 **注意** 您最多可以添加 5 个前缀列表和 5 个 VPC 端点。 1. 要配置 IPv6(双栈)连接,请使用**工作区配置选项**选项卡并选择 **IP 地址类型**。 Dual-stack 模式需要 Grafana 版本 10 或更高版本。有关先决条件,请参阅 [创建 Amazon Managed Grafana 工作区](AMG-create-workspace.md)。 1. 选择**保存更改**,以完成设置。 **警告** 如果工作区中已有用户,请在配置中包含其 IP 范围或 VPC 端点,否则他们会因 `403 Forbidden` 错误而失去访问权限。建议在设置或修改网络访问控制配置后,对现有接入点进行测试。