Menggunakan CloudWatch Log dengan titik akhir VPC antarmuka - CloudWatch Log Amazon
KetersediaanMembuat titik akhir VPC untuk Log CloudWatch Menguji koneksi antara VPC dan Log CloudWatch Mengontrol akses ke titik akhir VPC CloudWatch LogSupport untuk kunci konteks VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan CloudWatch Log dengan titik akhir VPC antarmuka

Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan Log Anda. CloudWatch Anda dapat menggunakan koneksi ini untuk mengirim CloudWatch log ke Log tanpa mengirimnya melalui internet.

Amazon VPC adalah AWS layanan yang dapat Anda gunakan untuk meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda ke CloudWatch Log, Anda menentukan titik akhir VPC antarmuka untuk Log. CloudWatch Jenis titik akhir ini memungkinkan Anda untuk menghubungkan VPC Anda ke layanan AWS . Endpoint menyediakan konektivitas yang andal dan dapat diskalakan ke CloudWatch Log tanpa memerlukan gateway internet, instance terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Amazon VPC dalam Panduan Pengguna Amazon VPC.

Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara AWS layanan menggunakan antarmuka jaringan elastis dengan alamat IP pribadi. Untuk informasi selengkapnya, lihat Baru — AWS PrivateLink untuk AWS Layanan.

Langkah-langkah berikut ditujukan untuk para pengguna Amazon VPC. Untuk informasi selengkapnya, silakan lihat Getting Started di Panduan Pengguna Amazon VPC.

Ketersediaan

CloudWatch Log saat ini mendukung titik akhir VPC di semua AWS Wilayah, termasuk Wilayah. AWS GovCloud (US)

Membuat titik akhir VPC untuk Log CloudWatch

Untuk mulai menggunakan CloudWatch Log dengan VPC Anda, buat antarmuka VPC endpoint untuk Log. CloudWatch Layanan yang harus dipilih adalah com.amazonaws.Region.logs. Anda tidak perlu mengubah pengaturan apa pun untuk CloudWatch Log. Untuk informasi selengkapnya, silakan lihat Membuat sebuah Titik Akhir Antarmuka dalam Panduan Pengguna Amazon VPC.

Menguji koneksi antara VPC dan Log CloudWatch

Setelah Anda membuat titik akhir, Anda dapat menguji koneksi.

Untuk menguji koneksi antara VPC dan titik akhir Log CloudWatch

  1. Connect ke instans Amazon EC2 yang berada di VPC Anda. Untuk informasi tentang menghubungkan, lihat Hubungkan ke Instans Linux Anda atau Connect ke Instans Windows Andadalam dokumentasi Amazon EC2.

  2. Dari contoh, gunakan AWS CLI untuk membuat entri log di salah satu grup log yang ada.

    Pertama, buat file JSON dengan log acara. Stempel waktu harus ditetapkan sebagai angka dalam milidetik setelah 1 Jan 1970 00:00:00 UTC.

    [
  {
    "timestamp": 1533854071310,
    "message": "VPC Connection Test"
  }
]

    Kemudian, gunakan perintah put-log-events untuk membuat entri log:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    Jika respons terhadap perintah termasuk nextSequenceToken, perintah telah berhasil dan VPC endpoint Anda bekerja.

Mengontrol akses ke titik akhir VPC CloudWatch Log

Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Kebijakan titik akhir harus ditulis dalam format JSON.

Untuk informasi selengkapnya, silakan lihat Mengendalikan Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Berikut ini adalah contoh kebijakan endpoint untuk CloudWatch Log. Kebijakan ini memungkinkan pengguna yang terhubung ke CloudWatch Log melalui VPC untuk membuat aliran log dan mengirim CloudWatch log ke Log, serta mencegah mereka melakukan tindakan Log lainnya CloudWatch .

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Untuk mengubah kebijakan titik akhir VPC untuk Log CloudWatch

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Jika Anda belum membuat endpoint untuk CloudWatch Log, pilih Create Endpoint. Kemudian pilih com.amazonaws.Region.logs dan pilih Create endpoint (Buat titik akhir).

  4. Pilih titik akhir com.amazonaws.Region.logs, dan pilih tab Policy (Kebijakan) di bagian bawah layar.

  5. Pilih Edit Policy (Edit Kebijakan) dan buat perubahan pada kebijakan.

Support untuk kunci konteks VPC

CloudWatch Log mendukung aws:SourceVpc dan kunci aws:SourceVpce konteks yang dapat membatasi akses ke VPC tertentu atau titik akhir VPC tertentu. Kunci ini bekerja hanya ketika pengguna menggunakan VPC endpoint. Untuk informasi selengkapnya, lihat Kunci yang Tersedia untuk Beberapa Layanan di Panduan Pengguna IAM.