Utilisation CloudWatch et CloudWatch synthèse des points de terminaison VPC d'interface - Amazon CloudWatch
CloudWatchCloudWatch Synthetics

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation CloudWatch et CloudWatch synthèse des points de terminaison VPC d'interface

Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et Synthetics. CloudWatch CloudWatch Vous pouvez utiliser ces connexions pour permettre CloudWatch à CloudWatch Synthetics de communiquer avec vos ressources sur votre VPC sans passer par l'Internet public.

Amazon VPC est un AWS service que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d’adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC à CloudWatch Synthetics CloudWatch , vous devez définir un point de terminaison VPC d'interface pour connecter votre VPC aux services. AWS Le point de terminaison fournit une connectivité fiable et évolutive à CloudWatch Synthetics sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) CloudWatch ou de connexion VPN. Pour de plus amples informations, veuillez consulter Qu’est-ce qu’Amazon VPC ? dans le Guide de l’utilisateur Amazon VPC.

Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, consultez le billet de blog New — AWS PrivateLink for AWS Services.

Les étapes suivantes s'adressent aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez Démarrez dans le Amazon VPC Guide de l'utilisateur.

CloudWatch Point de terminaison VPC

CloudWatch prend actuellement en charge les points de terminaison VPC dans les régions suivantes : AWS

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • US West (Oregon)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Paris)

  • Moyen-Orient (EAU)

  • Amérique du Sud (São Paulo)

  • AWS GovCloud (USA Est)

  • AWS GovCloud (US-Ouest)

Création d'un point de terminaison VPC pour CloudWatch

Pour commencer à utiliser CloudWatch avec votre VPC, créez un point de terminaison VPC d'interface pour. CloudWatch Le nom du service à choisir est com.amazonaws.region.monitoring. Pour plus d'informations, consultez Création d'un point de terminaison d'interface dans le Amazon VPC Guide de l'utilisateur.

Il n'est pas nécessaire de modifier les paramètres de CloudWatch. CloudWatch appelle d'autres AWS services en utilisant des points de terminaison publics ou des points de terminaison VPC d'interface privée, selon ceux utilisés. Par exemple, si vous créez un point de terminaison VPC d'interface pour CloudWatch et que vous disposez déjà de métriques CloudWatch provenant de ressources situées sur votre VPC, ces métriques commencent à passer par le point de terminaison VPC d'interface par défaut.

Contrôle de l'accès à votre point de CloudWatch terminaison VPC

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n’attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour en savoir plus, consultez Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le guide de l'utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour CloudWatch. Cette politique permet aux utilisateurs qui se connectent CloudWatch via le VPC d'envoyer des données métriques CloudWatch et les empêche d'effectuer d'autres CloudWatch actions.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Pour modifier la politique de point de terminaison VPC pour CloudWatch

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé le point de terminaison pour CloudWatch, choisissez Create Endpoint. Sélectionnez com.amazonaws.region.monitoring et choisissez Create endpoint (Créer un point de terminaison).

  4. Sélectionnez le point de terminaison com.amazonaws..region.monitoring, puis choisissez l'onglet Policy (Politique).

  5. Choisissez Edit Policy (Modifier la politique), puis apportez vos modifications.

CloudWatch Point de terminaison VPC Synthetics

CloudWatch Synthetics prend actuellement en charge les points de terminaison VPC dans les régions suivantes : AWS

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • US West (Oregon)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Paris)

  • Amérique du Sud (São Paulo)

Création d'un point de terminaison VPC pour Synthetics CloudWatch

Pour commencer à utiliser CloudWatch Synthetics avec votre VPC, créez un point de terminaison VPC d'interface pour Synthetics. CloudWatch Le nom du service à choisir est com.amazonaws.region.synthetics. Pour plus d'informations, consultez Création d'un point de terminaison d'interface dans le Amazon VPC Guide de l'utilisateur.

Il n'est pas nécessaire de modifier les paramètres des CloudWatch Synthetics. CloudWatch Synthetics communique avec AWS d'autres services à l'aide de points de terminaison publics ou de points de terminaison VPC d'interface privée, selon ceux utilisés. Par exemple, si vous créez un point de terminaison VPC d'interface pour Synthetics CloudWatch et que vous possédez déjà un point de terminaison d'interface pour Amazon S3, Synthetics CloudWatch commence à communiquer avec Amazon S3 via le point de terminaison VPC d'interface par défaut.

Contrôle de l'accès à votre point de CloudWatch terminaison Synthetics VPC

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Les stratégies de point de terminaison affectent les Canary gérés en privé par VPC. Ils ne sont pas nécessaires pour les Canary qui fonctionnent sur des sous-réseaux privés.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour en savoir plus, consultez Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le guide de l'utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour CloudWatch Synthetics. Cette politique permet aux utilisateurs qui se connectent à CloudWatch Synthetics via le VPC de consulter des informations sur les canaris et leurs courses, mais pas de créer, de modifier ou de supprimer des canaris.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
Pour modifier la politique de point de terminaison VPC pour Synthetics CloudWatch

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé le point de terminaison pour CloudWatch Synthetics, choisissez Create Endpoint. Sélectionnez com.amazonaws.region.synthetics, puis choisissez Create endpoint (Créer un point de terminaison).

  4. Sélectionnez le point de terminaison com.amazonaws.region.synthetics, puis choisissez l'onglet Policy (Politique).

  5. Choisissez Edit Policy (Modifier la politique), puis apportez vos modifications.