Verwenden von AWS X-Ray mit VPC-Endpunkten

Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten IhresAWSRessourcen, Sie können eine private Verbindung zwischen Ihrer VPC und X-Ray herstellen. Dadurch können Ressourcen in Ihrer Amazon VPC mit dem X-Ray-Service kommunizieren, ohne das öffentliche Internet nutzen zu müssen.

Amazon VPC ist einAWS-Servicedas Sie zum Starten verwenden könnenAWSRessourcen in einem virtuellen Netzwerk, das Sie definieren. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit X-Ray zu verbinden, definieren Sie eineSchnittstelle VPC-Endpunkt. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu X-Ray, ohne dass ein Internet-Gateway, eine NAT-Instanz (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.

Schnittstelle, über die VPC-Endpunkte betrieben werdenAWS PrivateLink, einAWSTechnologie, die private Kommunikation ermöglicht zwischenAWS-Servicesdurch die Verwendung einer elastischen Netzwerkschnittstelle mit privaten IP-Adressen. Weitere Informationen finden Sie imNeu —AWS PrivateLinkzumAWS-ServicesBlogbeitrag undErste Schrittein derAmazon VPC-Benutzerhandbuch.

Um sicherzustellen, dass Sie in der von Ihnen ausgewählten Umgebung einen VPC-Endpunkt für X-Ray erstellen könnenAWS-Region, sieheUnterstützte Regionen.

Einen VPC-Endpunkt für X-Ray erstellen

Um X-Ray mit Ihrer VPC zu verwenden, erstellen Sie einen VPC-Schnittstellen-Endpunkt für X-Ray.

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Navigieren Sie zuEndpunkteim Navigationsbereich und wählen SieEndpunkt erstellen.

3. Suchen Sie nach dem Namen desAWS X-RayDienst:com.amazonaws.region.xray.

   

4. Wählen Sie die gewünschte VPC und anschließend ein Subnetz in Ihrer VPC aus, um den Schnittstellenendpunkt zu verwenden. Im ausgewählten Subnetz wird eine Endpunkt-Netzwerkschnittstelle erstellt. Sie können mehrere Subnetze in unterschiedlichen Availability Zones angeben (wie vom Service unterstützt), um sicherzustellen, dass Ihr Schnittstellenendpunkt robust gegenüber Ausfällen von Availability Zone ist. Wenn Sie dies tun, wird in jedem von Ihnen angegebenen Subnetz eine Schnittstellen-Netzwerkschnittstelle erstellt.

   

5. (Optional) Private DNS ist standardmäßig für den Endpunkt aktiviert, sodass Sie Anfragen an X-Ray mit seinem Standard-DNS-Hostnamen stellen können. Sie können sich dafür entscheiden, es zu deaktivieren.

6. Geben Sie die Sicherheitsgruppen an, die der Endpunktnetzwerkschnittstelle zugeordnet werden sollen.

   

7. (Optional) Geben Sie eine benutzerdefinierte Richtlinie an, um die Zugriffsberechtigungen für den X-Ray-Dienst zu steuern. Standardmäßig ist Vollzugriff erlaubt.

Steuern des Zugriffs auf Ihren X-Ray-VPC-Endpunkt

Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-Benutzerrichtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service. Endpunktrichtlinien müssen im JSON-Format erstellt werden. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Mit der VPC-Endpunktrichtlinie können Sie die Berechtigungen für verschiedene X-Ray-Aktionen kontrollieren. Sie können beispielsweise eine Richtlinie erstellen, die nur erlaubtPutTraceSegmentund alle anderen Aktionen ablehnen. Dadurch werden Workloads und Dienste in der VPC darauf beschränkt, nur Trace-Daten an X-Ray zu senden und alle anderen Aktionen wie das Abrufen von Daten, das Ändern der Verschlüsselungskonfiguration oder das Erstellen/Aktualisieren von Gruppen zu verweigern.

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für X-Ray. Diese Richtlinie ermöglicht Benutzern, die über die VPC eine Verbindung zu X-Ray herstellen, Segmentdaten an X-Ray zu senden und verhindert außerdem, dass sie andere X-Ray-Aktionen ausführen.

 {"Statement": [
     {"Sid": "Allow PutTraceSegments",
       "Principal": "*",
       "Action": [
         "xray:PutTraceSegments"
       ],
       "Effect": "Allow",
       "Resource": "*"
     }
   ]
 }

Um die VPC-Endpunktrichtlinie für X-Ray zu bearbeiten

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Endpunkte aus.

3. Wenn Sie den Endpunkt für X-Ray noch nicht erstellt haben, folgen Sie den Schritten unterEinen VPC-Endpunkt für X-Ray erstellen.

4. Wählen Sie diecom.amazonaws.Region.xrayEndpunkt, und wählen Sie dannRichtlinieRegisterkarte.

5. Klicken Sie auf Edit Policy (Richtlinie bearbeiten) und nehmen Sie Ihre Änderungen vor.

Unterstützte Regionen

X-Ray unterstützt derzeit folgende VPC-EndpunkteAWS-Regionen:

• US East (Ohio)

• USA Ost (Nord-Virginia)

• USA West (Nordkalifornien)

• USA West (Oregon)

• Africa (Cape Town)

• Asia Pacific (Hong Kong)

• Asia Pacific (Mumbai)

• Asia Pacific (Osaka)

• Asia Pacific (Seoul)

• Asien-Pazifik (Singapur)

• Asien-Pazifik (Sydney)

• Asien-Pazifik (Tokio)

• Canada (Central)

• Europe (Frankfurt)

• Europa (Irland)

• Europe (London)

• Europa (Mailand)

• Europe (Paris)

• Europe (Stockholm)

• Middle East (Bahrain)

• Südamerika (São Paulo)

• AWS GovCloud(US-Ost)

• AWS GovCloud(US-West)