Verwendung CloudWatch, CloudWatch Synthetics und CloudWatch Netzwerküberwachung mit VPC-Endpunkten mit Schnittstellen - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch Netzwerküberwachung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung CloudWatch, CloudWatch Synthetics und CloudWatch Netzwerküberwachung mit VPC-Endpunkten mit Schnittstellen

Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihren VPC- CloudWatch, CloudWatch Synthetics- und CloudWatch Network Monitoring-Funktionen herstellen. Sie können diese Verbindungen verwenden, um diesen Services die Kommunikation mit den Ressourcen in der VPC zu ermöglichen, ohne das öffentliche Internet verwenden zu müssen.

Amazon VPC ist ein AWS Service, mit dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit CloudWatch Diensten zu verbinden, definieren Sie einen VPC-Schnittstellen-Endpunkt für Ihre VPC. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu CloudWatch und unterstützte CloudWatch Dienste, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich sind. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.

Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen AWS Diensten über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie im folgenden Blogbeitrag: Neu — AWS PrivateLink für Dienste AWS

Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.

CloudWatch VPC-Endpunkte

CloudWatch unterstützt derzeit VPC-Endpunkte, einschließlich Nur-Endpoints und IPv6 Dual-Stack-fähiger Endpunkte, in allen AWS Regionen, einschließlich der Regionen AWS GovCloud (USA). Informationen zur URL von Endpunkten finden Sie unter Endpunkte und Kontingente. CloudWatch

Erstellen eines VPC-Endpunkts für CloudWatch

Um mit der Verwendung CloudWatch mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für. CloudWatch Der zu wählende Service-Name lautet com.amazonaws.region.monitoring. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Sie müssen die Einstellungen für nicht ändern. CloudWatch CloudWatch ruft andere AWS Dienste entweder über öffentliche Endpunkte oder VPC-Endpunkte mit privater Schnittstelle auf, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen VPC-Schnittstellen-Endpunkt für CloudWatch erstellen und bereits Metriken CloudWatch von Ressourcen auf Ihrer VPC zu Ihnen fließen, beginnen diese Metriken standardmäßig, über den Schnittstellen-VPC-Endpunkt zu fließen.

Steuern des Zugriffs auf Ihren CloudWatch VPC-Endpunkt

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Endpunktrichtlinien müssen im JSON-Format erstellt werden.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für. CloudWatch Diese Richtlinie ermöglicht Benutzern, die eine Verbindung CloudWatch über die VPC herstellen, das Senden von Metrikdaten an CloudWatch und verhindert, dass sie andere CloudWatch Aktionen ausführen.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
So bearbeiten Sie die VPC-Endpunktrichtlinie für CloudWatch

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wenn Sie den Endpunkt für noch nicht erstellt haben CloudWatch, wählen Sie Endpunkt erstellen aus. Wählen Sie com.amazonaws aus. region.monitoring und wählen Sie dann Create Endpoint aus.

  4. Wählen Sie com.amazonaws aus. region.monitoring endpoint und wählen Sie dann die Registerkarte Richtlinie aus.

  5. Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.

CloudWatch VPC-Endpunkt von Synthetics

CloudWatch Synthetics unterstützt derzeit VPC-Endpunkte in den folgenden Regionen: AWS

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Mumbai)

  • Asia Pacific (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europa (London)

  • Europa (Paris)

  • Südamerika (São Paulo)

Erstellen eines VPC-Endpunkts für Synthetics CloudWatch

Um mit der Verwendung von CloudWatch Synthetics mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für Synthetics. CloudWatch Der zu wählende Service-Name lautet com.amazonaws.region.synthetics. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Sie müssen die Einstellungen für CloudWatch Synthetics nicht ändern. CloudWatch Synthetics kommuniziert mit anderen AWS Diensten entweder über öffentliche Endpunkte oder über VPC-Endpunkte mit privaten Schnittstellen, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen VPC-Schnittstellen-Endpunkt für CloudWatch Synthetics erstellen und bereits über einen Schnittstellenendpunkt für Amazon S3 verfügen, beginnt CloudWatch Synthetics standardmäßig mit der Kommunikation mit Amazon S3 über den Schnittstellen-VPC-Endpunkt.

Steuern des Zugriffs auf Ihren CloudWatch Synthetics VPC-Endpunkt

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Endpunkt-Richtlinien wirken sich auf Canarys aus, die privat von der VPC verwaltet werden. Sie werden nicht für Canarys benötigt, die in privaten Subnetzen ausgeführt werden.

Endpunktrichtlinien müssen im JSON-Format erstellt werden.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für CloudWatch Synthetics. Diese Richtlinie ermöglicht es Benutzern, die über die VPC eine Verbindung zu CloudWatch Synthetics herstellen, Informationen über Canaries und ihre Läufe einzusehen, jedoch keine Canaries zu erstellen, zu ändern oder zu löschen.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
So bearbeiten Sie die VPC-Endpunktrichtlinie für Synthetics CloudWatch

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wenn Sie den Endpunkt für CloudWatch Synthetics noch nicht erstellt haben, wählen Sie Create endpoint. Wählen Sie com.amazonaws aus. region.synthetics und wählen Sie dann Create endpoint.

  4. Wählen Sie com.amazonaws aus. region.synthetics-Endpunkt und wählen Sie dann die Registerkarte Richtlinie aus.

  5. Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.

CloudWatch VPC-Endpunkte der Netzwerküberwachungsfunktion

CloudWatch Die Netzwerküberwachung umfasst die folgenden Funktionen: Network Flow Monitor, Internet Monitor und Network Synthetic Monitor. Diese Funktionen unterstützen jeweils VPC-Endpunkte in den AWS Regionen, in denen die Netzwerküberwachungsfunktion unterstützt wird.

Eine Liste der unterstützten Regionen für jedes Feature von Network Monitoring finden Sie unter den folgenden Themen:

Erstellen eines VPC-Endpunkts für eine CloudWatch Netzwerküberwachungsfunktion

Um mit der Verwendung von CloudWatch Netzwerküberwachungsfunktionen mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für die Funktion, die Sie verwenden möchten. Für Network Monitoring sind folgende Servicenamen verfügbar:

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Sie müssen die Einstellungen für Services von Network Monitoring nicht ändern. Netzwerküberwachungsdienste kommunizieren mit anderen AWS Diensten über öffentliche Endpunkte oder VPC-Endpunkte mit privaten Schnittstellen, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen Schnittstellen-VPC-Endpunkt für einen Service von Network Monitoring erstellen und bereits aus anderen Ressourcen in Ihrer VPC Metriken an den Service senden, werden diese Metriken standardmäßig über den Schnittstellen-VPC-Endpunkt gesendet.

Steuern des Zugriffs auf die VPC-Endpunkte Ihrer CloudWatch Netzwerküberwachungsfunktion

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.

Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff zu und schränkt den Zugriff auf einen bestimmten Service nicht ein. Für zusätzliche Sicherheit können Sie eine Richtlinie an den Endpunkt anhängen, um den Zugriff auf das Feature gezielt zu beschränken. Für Internet Monitor könnten Sie beispielsweise Vollzugriff nur auf Internet Monitor gewähren, indem Sie die AWS verwaltete Richtlinie anhängen, die den vollen Zugriff auf die Funktion ermöglicht. CloudWatchInternetMonitorFullAccess Oder Sie können die Berechtigungen auf bestimmte Aktionen für den Endpunkt weiter beschränken.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Nachfolgend finden Sie ein Beispiel für eine Endpunktrichtlinie, die Sie für Network Flow Monitor erstellen können, um Aktionen für den Endpunkt einzuschränken. Diese Richtlinie ermöglicht Anforderungen an Network Flow Monitor über die VPC nur die Verwendung der Publish-Aktion, mit deren Hilfe Anforderungen Metriken für die Backend-Erfassung von Network Flow Monitor veröffentlichen können.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Wenn Sie eine bestimmte VPC-Endpunktrichtlinie mit einem Schnittstellen-VPC-Endpunkt für ein Feature von Network Monitoring verwenden möchten, nutzen Sie zum Hinzufügen einer Richtlinie für Network Flow Monitor ähnliche Schritte wie im folgenden Beispiel.

So bearbeiten Sie eine VPC-Endpunktrichtlinie für Network Flow Monitor

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Sofern Sie nicht bereits den Endpunkt für Internet Monitor erstellt haben, wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie com.amazonaws aus. region.networkflowmonitor und wählen Sie dann Create Endpoint aus.

  5. Wählen Sie com.amazonaws aus. region.networkflowmonitor-Endpunkt und wählen Sie dann die Registerkarte Richtlinie aus.

  6. Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.