Amazon Web Services ブログ

Amazon Managed Grafana でインバウンドネットワークアクセスコントロール機能が追加されました

Amazon Managed Grafana を利用するにあたり、Grafana ワークスペースのパブリックアクセスを制限し、 どのトラフィックソースが Grafana ワークスペースに到達できるかをきめ細かく制御したいニーズが多くのお客様からありました。本日、Amazon Managed Grafana の新機能として、インバウンドネットワークアクセスコントロールをサポートすることを発表します。これにより、VPC エンドポイントカスタマーマネージドプレフィックスリストを使用して 、ワークスペースに到達するインバウンドネットワークトラフィックを制限し、Grafana ワークスペースを保護できます。

Amazon Managed Grafana 用の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントは、ワークスペース URL への構成可能で信頼性の高いセキュアな接続を提供することにより、VPC 内からの Grafana ワークスペースへのアクセスを簡素化します。これによりすべてのネットワークトラフィックはグローバルな AWS バックボーン内にとどまり、パブリックインターネットを通過せず、AWS ネットワーク内の Grafana ワークスペース URL に安全に接続することができます。

マネージドプレフィックスリストは、1つまたは複数の CIDR(Classless Inter-Domain Routing)ブロックのセットです。カスタマーマネージドプレフィックスリストは、Amazon Managed Grafana ワークスペース URL にアクセスできる CIDR ブロックのセットを設定することができ、セキュリティ設定を簡素化します。

VPC エンドポイント

インターフェイス VPC エンドポイントを使用すると、Amazon Managed Grafana を自身の VPC で実行しているかのように、プライベートに接続することができます。 VPC エンドポイントを使用すると、お客様は AWS PrivateLink を介してサポートされている AWS サービスにプライベートに接続することができます。AWS PrivateLink は、パブリックインターネットにトラフィックを公開することなく、仮想プライベートクラウド(VPC)、サポートされているAWSサービス、およびお客様のオンプレミスネットワーク間でプライベートな接続を提供します。Amazon VPC 内のインスタンスは、サービスのリソースと通信するためにパブリック IP アドレスを持つ必要がなくなります。Amazon VPC とサービス間のトラフィックは、AWS ネットワークから出ることはありません。

  • VPCエンドポイント – サービスへのプライベート接続を可能にするVPC内のエントリーポイント
  • AWS PrivateLink – VPCとサービス間のプライベートな接続を提供するテクノロジー

カスタマーマネージドプレフィックスリスト

今回の発表で、特定の IPv4 アドレス範囲からのみアクセスできるように Amazon Managed Grafana ワークスペースURL を構成することができます。これは Amazon Managed Grafana のセキュリティの追加レイヤーを提供し、Amazon Managed Grafana ワークスペース URL へのパブリックおよび不正なインバウンドアクセスを防止するファイアウォールとして機能します。これはネットワークファイアウォールの`許可リスト`に相当するものだと考えてください。`許可リスト`はファイアウォールやルーターで明示的に設定されたIPアドレスのリストで、このリストの IP アドレスからのインバウンドトラフィックのみ許可し、他のすべてのインバウンドトラフィックは拒否されます。

アーキテクチャ

デフォルトでは、Grafana ワークスペース URL はパブリックに接続可能です。次の図は、ワークスペースのパブリックアクセスを制限し、インターフェイス VPC エンドポイントとカスタマーマネージドプレフィックスリストを使用してネットワークアクセスコントロールを有効にする方法を示しています。

The following diagram illustrates the inbound network access control in Amazon Managed Grafana

図 1 . Amazon Managed Grafana におけるインバウンネットワークアクセスコントロール

インターフェイス VPC エンドポイント:

  • ユーザー / プライベートクライアントは、インターフェイス VPC エンドポイントを介して Grafana ワークスペースに接続します。
  • AWS PrivateLink は Amazon Managed Grafana への接続を提供し、トラフィックは AWS ネットワークから出ることはありません。

カスタマーマネージドプレフィックスリスト:

  • Grafana ワークスペース URL は、カスタマーマネージドプレフィックスリストに登録されているIPアドレス範囲からのみアクセス可能です。
  • その他全てのインバウンドアクセスは拒否されます。

Grafana ワークスペースでネットワークアクセスコントロールを設定

既存の Grafana ワークスペースにネットワークアクセスコントロールを追加するか、 Grafana ワークスペースの新規作成時の初期設定の一部として設定することができます。Grafana ワークスペース へのネットワークアクセスは、インターフェイス VPC エンドポイントまたはカスタマーマネージドプレフィックスリスト、またはその両方の組み合わせて制御することができます。詳細は以下のセクションで説明します。

インターフェイス VPC エンドポイントの作成

インターフェイス VPC エンドポイントを作成する際に、サービスカテゴリ AWS サービスを選択し、Amazon Managed Grafana のサービス名 com.amazonaws.region.grafana とエンドポイント作成先の VPC を選択します。インターフェイス VPC エンドポイントの詳細については、VPC エンドポイントを作成するを参照してください。Amazon VPC エンドポイントを使用する利点については、このブログセルフペース型ワークショップを参照してください。

カスタマーマネージドプレフィックスリストの作成

IPアドレスを許可するには、許可するIPアドレス範囲をリストし、1つ以上のプレフィックスリストを作成する必要があります。Amazon Managed Grafana はプレフィックスリストで IPv4 アドレスのみをサポートしており、IPv6 には対応していません。また 10.0.0.0/16 のようなプライベート IP アドレス範囲は無視されます。これらのホストがワークスペースに接続できるようにするには、ワークスペース用に VPC エンドポイントを作成し、アクセス許可を設定してください。プレフィックスリストの詳細については、プレフィックスリストの作成およびプレフィックスリストの概念とルールを参照してください。

Grafana ワークスペースのネットワークアクセス制御を設定する

  • Amazon Managed Grafana コンソールで、ネットワーク アクセスコントロールを設定するワークスペースの名前を選択します。
  • [ネットワークアクセスコントロール] タブで、[ネットワークアクセスコントロール] の下の [編集] をクリックします。

Network access control

図 2 . ネットワークアクセスコントロール

  • [制限付きアクセス] を選択します。
  • [マネージド型プレフィックスリスト] を選択し、任意のプレフィックスリスト ID を入力するか、または [VPC エンドポイント] を選択し、任意の VPC エンドポイント ID を入力してください。プレフィックスリストは最大 5 つまで、VPC エンドポイント は最大 5 つまで追加することができます。

  • [変更を保存する] を選択して、設定を完了します。

結論

Grafana ワークスペースへのインバウンドネットワークアクセスを制限し、パフォーマンスへの影響や運用上のオーバーヘッドなしに、セキュリティレイヤーを追加することができるようになりました。今回の発表の詳細については、 What’s New の投稿およびネットワークアクセスコントロールに関する Amazon Managed Grafana のユーザーガイドを参照してください。

  • One Observability Workshop は、アプリケーションのモニタリングとオブザーバビリティをセットアップするための AWS が提供する様々なツールセットについて、ハンズオンの経験を提供することを目的としているので、是非チェックしてみてください。
  • AWS Observability のベストプラクティスを参照し、実装例とガイダンス、推奨事項を確認してください。
  • もし Terraform をご利用ならば、AWS Observability accelerator for Terraform をチェックしてみてください。これは、AWS オブザーバビリティサービスのワークロードに合わせてオブザーバビリティを設定するのに役立つ Terraform モジュールのセットです。
    もし追加のサポートが必要な場合は、AWS サポートと AWS アカウントチームに連絡してください。

このブログの翻訳はソリューションアーキテクトの 辻林 侑 が担当しました。原文はこちらです。

Arun Chandapillai

Arun Chandapillai は、多様性と包括性のチャンピオンであるシニアインフラストラクチャアーキテクトです。ビジネスファーストのクラウド導入戦略によって IT の近代化を促進し、クラウド上のアプリケーションとインフラの構築、導入、管理を成功させるための支援に情熱を注いでいます。自動車愛好家、講演家、そして「与えたものは返ってくる」を信条とする慈善家でもあります。LinkedIn/arunchandapillai

Mengdi Chen

Mengdi Chen は、AWS のシニアプロダクトマネージャーで、Amazon Managed Grafana を専門としています。彼女は、オープンソースのデータ可視化プラットフォームで顧客の体験を向上させるために、AWS のオブザーバビリティ製品に携わってきました。彼女は、お客様が革新的な製品やサービスを構築して、日々の業務経験を簡素化するのを支援することを楽しんでいます。クラウドエンジニアリング、製品管理、システムデザイン、ユーザーエクスペリエンス、機械学習などに興味があります。LinkedIn で検索してみてください。/mengdic.

Imaya Kumar Jagannathan

Imayaは、Amazon CloudWatch、AWS X-Ray、Amazon Managed Service for Prometheus、Amazon Managed Grafana、AWS Distro for Open Telemetry などの AWS オブザーバビリティツール にフォーカスしたプリンシパル・ソリューション・アーキテクトです。モニタリングとオブザバビリティに情熱を持ち、アプリケーション開発とアーキテクチャに強いバックグラウンドを持っています。分散システムでの作業が好きで、マイクロサービスアーキテクチャの設計について話すことに興奮しています。 C# でのプログラミング、コンテナやサーバーレス技術に取り組むことが好きです。 LinkedIn:/imaya.