本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon Managed Grafana 工作區的網路存取權
<a name="AMG-configure-nac"></a>

您可以控制使用者和主機存取 Grafana 工作區的方式。

Grafana 要求對所有使用者進行身分驗證和授權。不過，根據預設，Amazon Managed Grafana 工作區開放給所有網路流量。您可以設定工作區的網路存取控制，以控制允許哪些網路流量到達工作區。

您可以透過兩種方式控制工作區的流量。
+ **IP 地址** （字首清單） – 您可以使用允許存取工作區的 IP 範圍來建立[受管字首清單](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)。Amazon Managed Grafana 僅支援用於網路存取控制的公有 IPv4 地址。
+ **VPC 端點** – 您可以為允許存取特定工作區的工作區建立 VPC 端點清單。

當您設定網路存取控制時，必須至少包含一個字首清單或 VPC 端點。

Amazon Managed Grafana 使用字首清單和 VPC 端點來決定允許對 Grafana 工作區的哪些請求進行連線。下圖顯示此篩選。

![\[顯示 Amazon Managed Grafana 網路存取控制的影像，允許某些請求並封鎖其他人嘗試存取 Amazon Managed Grafana 工作區。\]](http://docs.aws.amazon.com/zh_tw/grafana/latest/userguide/images/grafana-nac.png)


為 Amazon Managed Grafana 工作區設定網路存取控制 (**1**) 會指定應允許哪些請求存取工作區。網路存取控制可以允許或封鎖 IP 地址 (**2**) 或使用介面端點 (**3**) 的流量。

下一節說明如何設定網路存取控制。

## 設定網路存取控制
<a name="AMG-nac-how-to"></a>

您可以將網路存取控制新增至現有工作區，或將其設定為工作區初始建立的一部分。

**先決條件**

若要設定網路存取控制，您必須先為工作區建立介面 VPC 端點，或為您要允許的 IP 地址建立至少一個 IP 字首清單。您也可以同時建立兩者或兩者之一以上。
+ **VPC 端點** – 您可以建立介面 VPC 端點，讓您存取所有工作區。建立端點之後，您需要要允許的每個端點的 VPC 端點 ID。VPC 端點 IDs的格式為 `vpce-1a2b3c4d`。

  如需為 Grafana 工作區建立 VPC 端點的詳細資訊，請參閱 [介面 VPC 端點](VPC-endpoints.md)。若要為您的工作區建立專門的 VPC 端點，請使用`com.amazonaws.region.grafana-workspace`端點名稱。

  對於您授予工作區存取權的 VPC 端點，您可以透過設定端點的安全群組來進一步限制其存取權。若要進一步了解，請參閱 *Amazon VPC 文件*中的[關聯安全群組](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups)和[安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ **受管字首清單** （適用於 IP 地址範圍） – 若要允許 IP 地址，您必須在 Amazon VPC 中建立一或多個字首清單，其中包含要允許的 IP 範圍清單。用於 Amazon Managed Grafana 時，字首清單有一些限制：
  + 每個字首清單最多可包含 100 個 IP 地址範圍。
  + 私有 IP 地址範圍 `10.0.0.0/16` （例如，忽略 。您可以在字首清單中包含私有 IP 地址範圍，但 Amazon Managed Grafana 會在篩選工作區的流量時忽略這些地址範圍。若要允許這些主機到達工作區，請為您的工作區建立 VPC 端點並授予其存取權。
  + Amazon Managed Grafana 僅支援字首清單中的 IPv4 地址，不支援 IPv6。會忽略 IPv6 地址。

  您可以透過 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/home?#ManagedPrefixLists)建立受管字首清單。建立字首清單後，您需要要在 Amazon Managed Grafana 中允許的每個清單的字首清單 ID。字首清單 IDs的格式為 `pl-1a2b3c4d`。

  如需建立字首清單的詳細資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[使用受管字首清單的群組 CIDR 區塊](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)。
+ 您必須擁有必要的許可，才能設定或建立 Amazon Managed Grafana 工作區。例如，您可以使用 AWS 受管政策 `AWSGrafanaAccountAdministrator`。

在您擁有要授予工作區存取權之字首清單或 VPC 端點IDs 清單之後，您就可以建立網路存取控制組態。

**注意**  
如果您啟用網路存取控制，但未將字首清單新增至組態，則不允許存取您的工作區，除非透過允許的 VPC 端點。  
同樣地，如果您啟用網路存取控制，但未將 VPC 端點新增至組態，則不允許存取您的工作區，除非透過允許的 IP 地址。  
您必須在網路存取控制組態中包含至少一個字首清單或 VPC 端點，否則您將無法從任何地方存取工作區。

**設定工作區的網路存取控制**

1. 開啟 [Amazon Managed Grafana 主控台](https://console.aws.amazon.com/grafana/home/)。

1. 在左側導覽窗格中，選擇**所有工作區**。

1. 選取您要設定網路存取控制的工作區名稱。

1. 在**網路存取控制**索引標籤**的網路存取控制**下，選擇**限制存取**以設定網路存取控制。
**注意**  
您可以在建立工作區時存取這些相同的選項。

1. 從下拉式清單中選取您要新增**字首清單**或 **VPC 端點**。

1. 選取您要新增的 VPC 端點或字首清單 ID （或者，您可以輸入要使用的 ID。您必須選擇至少一個。

1. 若要新增更多端點或清單，請為您要新增的每個端點或清單選取**新增資源**。
**注意**  
您最多可以新增 5 個字首清單和 5 個 VPC 端點。

1. 選擇**儲存變更**以完成設定。

**警告**  
如果您有工作區的現有使用者，請在組態中包含其 IP 範圍或 VPC 端點，否則他們會因為`403 Forbidden`發生錯誤而失去存取權。建議您在設定或修改網路存取控制組態後測試現有的存取點。