Menggunakan CloudWatch Logs dengan VPC akhir antarmuka - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan CloudWatch Logs dengan VPC akhir antarmuka

Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-hostAWSsumber daya, Anda dapat membuat koneksi privat antara VPC dan CloudWatch Log. Anda dapat menggunakan koneksi ini untuk mengirimkan log ke CloudWatch Logs tanpa melalui internet.

Amazon VPC adalah layanan AWSyang dapat Anda gunakan untuk meluncurkan sumber daya AWS dalam jaringan virtual yang Anda tetapkan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda CloudWatch Log, Anda mendefinisikantitik VPC antarmukauntuk CloudWatch Log. Jenis titik akhir ini memungkinkan Anda untuk menghubungkan VPC Anda ke layanan AWS. Titik akhir memberikan konektivitas yang dapat diandalkan dan terukur ke CloudWatch Logs tanpa memerlukan gateway internet, instans terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Amazon VPC dalam Panduan Pengguna Amazon VPC.

Endpoint antarmuka VPC didukung olehAWS PrivateLink, sebuahAWSteknologi yang memungkinkan komunikasi pribadi antaraAWSlayanan menggunakan elastic network interface dengan alamat IP pribadi. Untuk informasi selengkapnya, lihat Baru – AWS PrivateLink untuk Layanan AWS.

Langkah-langkah berikut ditujukan untuk pengguna Amazon VPC. Untuk informasi selengkapnya, lihat Memulai dalam Panduan Pengguna Amazon VPC.

Ketersediaan

CloudWatch Logs saat ini mendukung endpoint VPC di Wilayah berikut:

  • AS Timur (Ohio)

  • US East (N. Virginia)

  • US West (N. California)

  • US West (Oregon)

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Seoul)

  • Asia Pacific (Singapore)

  • Asia Pacific (Sydney)

  • Asia Pacific (Tokyo)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europe (Ireland)

  • Europe (London)

  • Europe (Milan)

  • Europe (Paris)

  • Europe (Stockholm)

  • Middle East (Bahrain)

  • Middle East (UAE)

  • South America (São Paulo)

  • AWS GovCloud (AS-Timur)

  • AWS GovCloud (AS-Barat)

Membuat VPC endpoint untuk CloudWatch Beberapa catatan

Untuk mulai menggunakan CloudWatch Logs dengan VPC Anda, buat sebuah antarmuka VPC endpoint untuk CloudWatch Log. Layanan yang harus dipilih adalah com.amazonaws.Region.logs. Anda tidak perlu mengubah pengaturan apa pun untuk CloudWatch Log. Untuk informasi selengkapnya, lihat Membuat sebuah Titik Akhir Antarmuka dalam Panduan Pengguna Amazon VPC.

Menguji koneksi antara VPC dan CloudWatch Beberapa catatan

Setelah Anda membuat titik akhir, Anda dapat menguji koneksi.

Untuk menguji koneksi antara VPC dan CloudWatch Log titik akhir
  1. Connect ke instans Amazon EC2 yang berada di VPC Anda. Untuk informasi tentang menghubungkan, lihat Menghubungkan ke Instans Linux Anda atau Menghubungkan ke Instans Windows Anda dalam dokumentasi Amazon EC2.

  2. Dari instans tersebut, gunakan AWS CLI untuk membuat entri log di salah satu grup log yang ada.

    Pertama, buat file JSON dengan log acara. Stempel waktu harus ditetapkan sebagai angka dalam milidetik setelah 1 Jan 1970 00:00:00 UTC.

    [ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]

    Kemudian, gunakan perintah put-log-events untuk membuat entri log:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    Jika respons terhadap perintah termasuk nextSequenceToken, perintah telah berhasil dan VPC endpoint Anda bekerja.

Mengontrol akses ke CloudWatch Titik akhir VPC

Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau memodifikasi titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Kebijakan titik akhir harus ditulis dalam format JSON.

Untuk informasi selengkapnya, lihat Mengendalikan Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.

Berikut adalah contoh kebijakan titik akhir untuk CloudWatch Log. Kebijakan ini memungkinkan pengguna tersambung CloudWatch Log melalui VPC untuk membuat aliran log dan mengirim log CloudWatch Log, dan mencegah mereka dari melakukan CloudWatch Log tindakan.

{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
Untuk mengubah kebijakan VPC endpoint untuk CloudWatch Beberapa catatan
  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik akhir.

  3. Jika Anda belum membuat titik akhir untuk CloudWatch Log, pilihBuat Endpoint. Kemudian pilih com.amazonaws.Region.logs dan pilih Create endpoint (Buat titik akhir).

  4. Pilih titik akhir com.amazonaws.Region.logs, dan pilih tab Policy (Kebijakan) di bagian bawah layar.

  5. Pilih Edit Policy (Edit Kebijakan) dan buat perubahan pada kebijakan.

Support untuk kunci konteks VPC

CloudWatch Log mendukungaws:SourceVpcdanaws:SourceVpcekunci konteks yang dapat membatasi akses ke VPC tertentu atau VPC endpoint tertentu. Kunci ini bekerja hanya ketika pengguna menggunakan VPC endpoint. Untuk informasi selengkapnya, lihat Kunci yang Tersedia untuk Beberapa Layanan di Panduan Pengguna IAM.