Uso de CloudWatch registros con puntos finales de VPC de interfaz - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de CloudWatch registros con puntos finales de VPC de interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus AWS recursos, puede establecer una conexión privada entre su VPC y Logs. CloudWatch Puede utilizar esta conexión para enviar CloudWatch registros a Logs sin enviarlos a través de Internet.

Amazon VPC es un AWS servicio que puede utilizar para lanzar AWS recursos en una red virtual que usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de ruteo y las gateways de red. Para conectar la VPC a CloudWatch los registros, debe definir un punto final de VPC de interfaz para los registros. CloudWatch Este tipo de punto de enlace le permite conectar la VPC a los servicios de AWS . El punto final proporciona una conectividad fiable y escalable a CloudWatch Logs sin necesidad de una puerta de enlace a Internet, una instancia de traducción de direcciones de red (NAT) o una conexión VPN. Para obtener más información, consulte Qué es Amazon VPC en la Guía del usuario de Amazon VPC.

Los puntos finales de VPC de interfaz cuentan con una AWS tecnología que permite la comunicación privada entre AWS servicios mediante una interfaz de red elástica con direcciones IP privadas. AWS PrivateLink Para obtener más información, consulte Nuevo: AWS PrivateLink para AWS servicios.

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulte Introducción en la Guía del usuario de Amazon VPC.

Disponibilidad

CloudWatch Actualmente, Logs admite puntos finales de VPC en todas AWS las regiones, incluidas las regiones. AWS GovCloud (US)

Creación de un punto final de VPC para registros CloudWatch

Para empezar a usar CloudWatch los registros con la VPC, cree un punto de enlace de VPC de interfaz para los registros. CloudWatch El servicio que debe elegir es com.amazonaws.región.logs. No necesita cambiar ninguna configuración de Logs. CloudWatch Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Probar la conexión entre la VPC y los registros CloudWatch

Una vez creado el punto de conexión, puede probar la conexión.

Para probar la conexión entre la VPC CloudWatch y el punto de conexión de Logs
  1. Conéctese a una instancia de Amazon EC2 que resida en la VPC. Para obtener más información acerca de la conexión, consulte Conexión con la instancia de Linux o Conexión con la instancia de Windows en la documentación de Amazon EC2.

  2. Desde la instancia, úsala AWS CLI para crear una entrada de registro en uno de tus grupos de registros existentes.

    En primer lugar, cree un archivo JSON con un evento de registro. La marca temporal se debe especificar como el número de milisegundos después del 1 de enero de 1970 00:00:00 UTC.

    [ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]

    A continuación, utilice el comando put-log-events para crear la entrada de registro:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    Si la respuesta al comando incluye nextSequenceToken, el comando se ha realizado correctamente y el punto de enlace de la VPC funciona.

Controlar el acceso a su punto final CloudWatch de Logs VPC

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no asocia una política al crear un punto de conexión, se asociará automáticamente una política predeterminada que conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de IAM ni las políticas específicas del servicio. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de conexión deben escribirse en formato JSON.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

El siguiente es un ejemplo de una política de punto final para CloudWatch Logs. Esta política permite a los usuarios que se conectan a CloudWatch Logs a través de la VPC crear flujos de registros y enviar CloudWatch registros a Logs, y les impide realizar otras acciones de CloudWatch Logs.

{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
Para modificar la política de puntos finales de la VPC para los registros CloudWatch
  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Si aún no ha creado el punto de enlace para los CloudWatch registros, elija Crear punto de enlace. A continuación, seleccione com.amazonaws.región.logs y elija Create endpoint (Crear punto de enlace).

  4. Seleccione el punto de enlace com.amazonaws.región.logs y elija la pestaña Policy (Política) en la mitad inferior de la pantalla.

  5. Elija Editar política y realice los cambios en la política.

Compatibilidad con las claves de contexto de la VPC

CloudWatch Los registros admiten las claves aws:SourceVpc y de aws:SourceVpce contexto que pueden limitar el acceso a VPC específicas o puntos finales de VPC específicos. Estas claves funcionan solo cuando el usuario utiliza puntos de enlace de la VPC. Con el fin de obtener más información, consulte Claves disponibles para algunos servicios en la Guía del usuario de IAM.