Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihren VPC- CloudWatch, CloudWatch Synthetics- und CloudWatch Network Monitoring-Funktionen herstellen. Sie können diese Verbindungen verwenden, um diesen Diensten die Kommunikation mit Ressourcen in Ihrer VPC zu ermöglichen, ohne das öffentliche Internet nutzen zu müssen.
Amazon VPC ist ein AWS Service, mit dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit CloudWatch Diensten zu verbinden, definieren Sie einen VPC-Schnittstellen-Endpunkt für Ihre VPC. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu CloudWatch und unterstützte CloudWatch Dienste, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich sind. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.
Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen AWS Diensten über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie im folgenden Blogbeitrag: Neu — AWS PrivateLink
Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.
CloudWatch VPC-Endpunkt
CloudWatch unterstützt derzeit VPC-Endpunkte in den folgenden Regionen: AWS
US East (Ohio)
USA Ost (Nord-Virginia)
USA West (Nordkalifornien)
USA West (Oregon)
Asien-Pazifik (Hongkong)
Asien-Pazifik (Mumbai)
Asia Pacific (Seoul)
Asien-Pazifik (Singapur)
Asien-Pazifik (Sydney)
Asien-Pazifik (Tokio)
Canada (Central)
Europe (Frankfurt)
Europa (Irland)
Europa (London)
Europa (Paris)
Naher Osten (VAE)
Südamerika (São Paulo)
AWS GovCloud (US-Ost)
AWS GovCloud (US-West)
Erstellen eines VPC-Endpunkts für CloudWatch
Um mit der Verwendung CloudWatch mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für. CloudWatch Der zu wählende Service-Name lautet com.amazonaws.. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.region.monitoring
Sie müssen die Einstellungen für nicht ändern. CloudWatch CloudWatch ruft andere AWS Dienste entweder über öffentliche Endpunkte oder VPC-Endpunkte mit privater Schnittstelle auf, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen VPC-Schnittstellen-Endpunkt für CloudWatch erstellen und bereits Metriken CloudWatch von Ressourcen auf Ihrer VPC zu Ihnen fließen, beginnen diese Metriken standardmäßig, über den Schnittstellen-VPC-Endpunkt zu fließen.
Steuern des Zugriffs auf Ihren CloudWatch VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für. CloudWatch Diese Richtlinie ermöglicht Benutzern, die eine Verbindung CloudWatch über die VPC herstellen, das Senden von Metrikdaten an CloudWatch und verhindert, dass sie andere CloudWatch Aktionen ausführen.
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"cloudwatch:PutMetricData"
],
"Effect": "Allow",
"Resource": "*"
}
]
}So bearbeiten Sie die VPC-Endpunktrichtlinie für CloudWatch
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Wenn Sie den Endpunkt für noch nicht erstellt haben CloudWatch, wählen Sie Create Endpoint aus. Wählen Sie com.amazonaws aus.
region.monitoring und wählen Sie dann Create Endpoint aus.Wählen Sie com.amazonaws aus.
region.monitoring endpoint und wählen Sie dann die Registerkarte Richtlinie aus.-
Wählen Sie Richtlinie bearbeiten aus und nehmen Sie dann Ihre Änderungen vor.
CloudWatch VPC-Endpunkt von Synthetics
CloudWatch Synthetics unterstützt derzeit VPC-Endpunkte in den folgenden Regionen: AWS
US East (Ohio)
USA Ost (Nord-Virginia)
USA West (Nordkalifornien)
USA West (Oregon)
Asien-Pazifik (Hongkong)
Asien-Pazifik (Mumbai)
Asia Pacific (Seoul)
Asien-Pazifik (Singapur)
Asien-Pazifik (Sydney)
Asien-Pazifik (Tokio)
Canada (Central)
Europe (Frankfurt)
Europa (Irland)
Europa (London)
Europe (Paris)
Südamerika (São Paulo)
Erstellen eines VPC-Endpunkts für Synthetics CloudWatch
Um mit der Verwendung von CloudWatch Synthetics mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für Synthetics. CloudWatch Der zu wählende Service-Name lautet com.amazonaws.. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.region.synthetics
Sie müssen die Einstellungen für CloudWatch Synthetics nicht ändern. CloudWatch Synthetics kommuniziert mit anderen AWS Diensten entweder über öffentliche Endpunkte oder über VPC-Endpunkte mit privaten Schnittstellen, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen VPC-Schnittstellen-Endpunkt für CloudWatch Synthetics erstellen und bereits über einen Schnittstellenendpunkt für Amazon S3 verfügen, beginnt CloudWatch Synthetics standardmäßig mit der Kommunikation mit Amazon S3 über den Schnittstellen-VPC-Endpunkt.
Steuern des Zugriffs auf Ihren CloudWatch Synthetics VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunkt-Richtlinien wirken sich auf Canarys aus, die privat von der VPC verwaltet werden. Sie werden nicht für Canarys benötigt, die in privaten Subnetzen ausgeführt werden.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für CloudWatch Synthetics. Diese Richtlinie ermöglicht es Benutzern, die über die VPC eine Verbindung zu CloudWatch Synthetics herstellen, Informationen über Canaries und ihre Läufe einzusehen, jedoch keine Canaries zu erstellen, zu ändern oder zu löschen.
{
"Statement": [
{
"Action": [
"synthetics:DescribeCanaries",
"synthetics:GetCanaryRuns"
],
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}So bearbeiten Sie die VPC-Endpunktrichtlinie für Synthetics CloudWatch
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Wenn Sie den Endpunkt für CloudWatch Synthetics noch nicht erstellt haben, wählen Sie Create endpoint. Wählen Sie com.amazonaws aus.
region.synthetics und wählen Sie dann Create endpoint.Wählen Sie com.amazonaws aus.
region.synthetics-Endpunkt und wählen Sie dann die Registerkarte Richtlinie aus.-
Wählen Sie Richtlinie bearbeiten und nehmen Sie dann Ihre Änderungen vor.
CloudWatch VPC-Endpunkte der Netzwerküberwachungsfunktion
CloudWatch Die Netzwerküberwachung umfasst die folgenden Funktionen: Network Flow Monitor, Internet Monitor und Network Synthetic Monitor. Diese Funktionen unterstützen jeweils VPC-Endpunkte in den AWS Regionen, in denen die Netzwerküberwachungsfunktion unterstützt wird.
Eine Liste der unterstützten Regionen für jede Netzwerküberwachungsfunktion finden Sie in den folgenden Themen:
Netzwerkflussmonitor: Wird AWS-Regionen für Network Flow Monitor unterstützt
Internetmonitor: Wird AWS-Regionen für Internet Monitor unterstützt
Synthetischer Netzwerkmonitor: Wird AWS-Regionen für Network Synthetic Monitor unterstützt
Erstellen eines VPC-Endpunkts für eine CloudWatch Netzwerküberwachungsfunktion
Um mit der Verwendung von CloudWatch Netzwerküberwachungsfunktionen mit Ihrer VPC zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt für die Funktion, die Sie verwenden möchten. Für die Netzwerküberwachung sind die folgenden Dienstnamen verfügbar:
com.amazonaws.region.networkflowmonitorcom.amazonaws.region.networkflowmonitorreportscom.amazonaws.region.internetmonitorcom.amazonaws.region.internetmonitor-fipscom.amazonaws.region.networkmonitor
Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.
Sie müssen die Einstellungen für die Netzwerküberwachungsdienste nicht ändern. Netzwerküberwachungsdienste kommunizieren mit anderen AWS Diensten über öffentliche Endpunkte oder VPC-Endpunkte mit privaten Schnittstellen, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen VPC-Schnittstellen-Endpunkt für einen Netzwerküberwachungsdienst erstellen und bereits Metriken von Ressourcen auf Ihrer VPC an den Service gesendet werden, beginnen die Metriken standardmäßig, über den Schnittstellen-VPC-Endpunkt zu fließen.
Steuern des Zugriffs auf die VPC-Endpunkte Ihrer CloudWatch Netzwerküberwachungsfunktion
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Wenn Sie beim Erstellen eines Endpunkts keine Richtlinie anhängen, fügt Amazon VPC eine Standardrichtlinie für Sie hinzu, die vollen Zugriff ermöglicht und den Zugriff auf einen bestimmten Service nicht einschränkt. Für zusätzliche Sicherheit können Sie dem Endpunkt eine Richtlinie hinzufügen, um den Zugriff auf die Funktion gezielt einzuschränken. Für Internet Monitor könnten Sie beispielsweise Vollzugriff nur auf Internet Monitor gewähren, indem Sie die AWS verwaltete Richtlinie anhängen, die den vollen Zugriff auf die Funktion ermöglicht. CloudWatchInternetMonitorFullAccess Oder Sie können die Berechtigungen weiter auf bestimmte Aktionen für den Endpunkt beschränken.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie, die Sie für Network Flow Monitor erstellen könnten, um Aktionen für den Endpunkt einzuschränken. Diese Richtlinie ermöglicht es Anfragen an Network Flow Monitor über die VPC, nur die Publish Aktion zu verwenden, die es Anfragen ermöglicht, Metriken für die Backend-Aufnahme von Network Flow Monitor zu veröffentlichen.
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "networkflowmonitor:Publish",
"Resource": "*"
}
]
}Wenn Sie eine bestimmte VPC-Endpunktrichtlinie mit einem VPC-Schnittstellen-Endpunkt für eine Netzwerküberwachungsfunktion verwenden möchten, verwenden Sie zum Hinzufügen einer Richtlinie für Network Flow Monitor ähnliche Schritte wie im folgenden Beispiel.
So bearbeiten Sie eine VPC-Endpunktrichtlinie für Network Flow Monitor
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Wenn Sie den Endpunkt für Internet Monitor noch nicht erstellt haben, wählen Sie Endpunkt erstellen.
Wählen Sie com.amazonaws aus.
region.networkflowmonitor und wählen Sie dann Create Endpoint aus.Wählen Sie com.amazonaws aus.
region.networkflowmonitor-Endpunkt und wählen Sie dann die Registerkarte Richtlinie aus.-
Wählen Sie Richtlinie bearbeiten aus und nehmen Sie dann Ihre Änderungen vor.
