Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra le funzionalità VPC, CloudWatch Synthetics CloudWatch e Network Monitoring. CloudWatch Puoi utilizzare queste connessioni per consentire a questi servizi di comunicare con le risorse del tuo VPC senza passare attraverso la rete Internet pubblica.
Amazon VPC è un AWS servizio che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il tuo VPC ai CloudWatch servizi, definisci un endpoint VPC di interfaccia per il tuo VPC. L'endpoint fornisce connettività affidabile e scalabile CloudWatch e CloudWatch servizi supportati senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.
Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra AWS i servizi utilizzando un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, consulta il seguente post di blog: New — AWS PrivateLink
Le fasi seguenti sono per gli utenti Amazon VPC. Per ulteriori informazioni, consulta l'argomento relativo alle nozioni di base nella Guida per l'utente di Amazon VPC.
CloudWatch Endpoint VPC
CloudWatch attualmente supporta gli endpoint VPC nelle seguenti regioni: AWS
Stati Uniti orientali (Ohio)
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti occidentali (California settentrionale)
US West (Oregon)
Asia Pacifico (Hong Kong)
Asia Pacifico (Mumbai)
Asia Pacifico (Seoul)
Asia Pacifico (Singapore)
Asia Pacifico (Sydney)
Asia Pacifico (Tokyo)
Canada (Centrale)
Europa (Francoforte)
Europa (Irlanda)
Europe (London)
Europa (Parigi)
Medio Oriente (Emirati Arabi Uniti)
Sud America (San Paolo)
AWS GovCloud (Stati Uniti orientali)
AWS GovCloud (Stati Uniti occidentali)
Creazione di un endpoint VPC per CloudWatch
Per iniziare a utilizzarlo CloudWatch con il tuo VPC, crea un endpoint VPC di interfaccia per. CloudWatch Il nome del servizio da scegliere è com.amazonaws.. Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.region.monitoring
Non è necessario modificare le impostazioni per. CloudWatch CloudWatch chiama altri AWS servizi utilizzando endpoint pubblici o endpoint VPC con interfaccia privata, a seconda di quale dei due siano in uso. Ad esempio, se crei un endpoint VPC di interfaccia per e hai già metriche CloudWatch provenienti da risorse situate sul tuo VPC CloudWatch, queste metriche iniziano a fluire attraverso l'endpoint VPC dell'interfaccia per impostazione predefinita.
Controllo dell'accesso al tuo CloudWatch endpoint VPC
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, Amazon VPC collega una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Le policy endpoint devono essere scritte in formato JSON.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di policy sugli endpoint per. CloudWatch Questa policy consente agli utenti che si connettono CloudWatch tramite il VPC di inviare dati metrici CloudWatch e impedisce loro di eseguire altre azioni. CloudWatch
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"cloudwatch:PutMetricData"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Per modificare la policy degli endpoint VPC per CloudWatch
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoint.
Se non hai ancora creato l'endpoint per CloudWatch, scegli Crea endpoint. Seleziona com.amazonaws.
region.monitoring, quindi scegli Crea endpoint.Seleziona com.amazonaws.
region.monitoring endpoint, quindi scegli la scheda Policy.-
Scegli Modifica politica, quindi apporta le modifiche.
CloudWatch Endpoint VPC Synthetics
CloudWatch Synthetics attualmente supporta gli endpoint VPC nelle seguenti regioni: AWS
Stati Uniti orientali (Ohio)
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti occidentali (California settentrionale)
US West (Oregon)
Asia Pacifico (Hong Kong)
Asia Pacifico (Mumbai)
Asia Pacifico (Seoul)
Asia Pacifico (Singapore)
Asia Pacifico (Sydney)
Asia Pacifico (Tokyo)
Canada (Centrale)
Europa (Francoforte)
Europa (Irlanda)
Europe (London)
Europa (Parigi)
Sud America (San Paolo)
Creazione di un endpoint VPC per Synthetics CloudWatch
Per iniziare a utilizzare CloudWatch Synthetics con il tuo VPC, crea un endpoint VPC di interfaccia per Synthetics. CloudWatch Il nome del servizio da scegliere è com.amazonaws.. Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.region.synthetics
Non è necessario modificare le impostazioni di CloudWatch Synthetics. CloudWatch Synthetics comunica con AWS altri servizi utilizzando endpoint pubblici o endpoint VPC con interfaccia privata, a seconda di quale siano in uso. Ad esempio, se crei un endpoint VPC di interfaccia per Synthetics e disponi già di un endpoint di interfaccia per Amazon S3, CloudWatch Synthetics CloudWatch inizia a comunicare con Amazon S3 tramite l'endpoint VPC di interfaccia per impostazione predefinita.
Controllo dell'accesso all'endpoint VPC CloudWatch Synthetics
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Le policy degli endpoint influiscono sulle canary gestite privatamente da VPC. Non sono necessarie per canary che funzionano su sottoreti private.
Le policy endpoint devono essere scritte in formato JSON.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di policy sugli endpoint per CloudWatch Synthetics. Questa politica consente agli utenti che si connettono a CloudWatch Synthetics tramite VPC di visualizzare informazioni sui canarini e sulle loro corse, ma non di creare, modificare o eliminare i canarini.
{
"Statement": [
{
"Action": [
"synthetics:DescribeCanaries",
"synthetics:GetCanaryRuns"
],
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
}
]
}Per modificare la policy degli endpoint VPC per Synthetics CloudWatch
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoint.
Se non avete già creato l'endpoint per CloudWatch Synthetics, scegliete Crea endpoint. Seleziona com.amazonaws.
region.synthetics, quindi scegli Crea endpoint.Seleziona com.amazonaws.
region.synthetics endpoint, quindi scegli la scheda Policy.-
Scegli Modifica politica, quindi apporta le modifiche.
CloudWatch Funzionalità di monitoraggio della rete (endpoint VPC)
CloudWatch Il monitoraggio della rete include le seguenti funzionalità: Network Flow Monitor, Internet Monitor e Network Synthetic Monitor. Queste funzionalità supportano ciascuna gli endpoint VPC AWS nelle regioni in cui è supportata la funzionalità di monitoraggio della rete.
Per visualizzare un elenco delle regioni supportate per ciascuna funzionalità di monitoraggio della rete, consulta i seguenti argomenti:
Monitoraggio del flusso di rete: Supportato Regioni AWS per Network Flow Monitor
Monitor Internet: Supportato Regioni AWS per Internet Monitor
Monitor sintetico di rete: Supportato Regioni AWS per Network Synthetic Monitor
Creazione di un endpoint VPC per una CloudWatch funzionalità di monitoraggio della rete
Per iniziare a utilizzare le funzionalità di monitoraggio della CloudWatch rete con il tuo VPC, crea un endpoint VPC di interfaccia per la funzionalità che desideri utilizzare. Per il monitoraggio della rete, sono disponibili i seguenti nomi di servizio:
com.amazonaws.region.networkflowmonitorcom.amazonaws.region.networkflowmonitorreportscom.amazonaws.region.internetmonitorcom.amazonaws.region.internetmonitor-fipscom.amazonaws.region.networkmonitor
Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.
Non è necessario modificare le impostazioni per i servizi di monitoraggio della rete. I servizi di monitoraggio della rete comunicano con altri AWS servizi utilizzando endpoint pubblici o endpoint VPC con interfaccia privata, a seconda di quale venga utilizzato. Ad esempio, se crei un endpoint VPC di interfaccia per un servizio di monitoraggio della rete e hai già metriche che fluiscono al servizio dalle risorse presenti sul tuo VPC, le metriche iniziano a fluire attraverso l'endpoint VPC dell'interfaccia per impostazione predefinita.
Controllo dell'accesso agli endpoint CloudWatch VPC della funzionalità di monitoraggio della rete
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Se non alleghi una policy quando crei un endpoint, Amazon VPC ti allega una policy predefinita che consente l'accesso completo e non limita l'accesso a un servizio specifico. Per una maggiore sicurezza, puoi allegare una policy all'endpoint per limitare in modo specifico l'accesso alla funzionalità. Ad esempio, per Internet Monitor, è possibile consentire l'accesso completo solo a Internet Monitor allegando la policy AWS gestita che consente l'accesso completo alla funzionalità,. CloudWatchInternetMonitorFullAccess In alternativa, è possibile limitare ulteriormente le autorizzazioni solo ad azioni specifiche per l'endpoint.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di policy sugli endpoint che è possibile creare per Network Flow Monitor per limitare le azioni per l'endpoint. Questa policy consente alle richieste a Network Flow Monitor tramite il VPC di utilizzare solo l'Publishazione, che consente alle richieste di pubblicare metriche nell'ingestione del backend di Network Flow Monitor.
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "networkflowmonitor:Publish",
"Resource": "*"
}
]
}Se desideri utilizzare una policy specifica per gli endpoint VPC con un endpoint VPC di interfaccia per una funzionalità di monitoraggio della rete, utilizza passaggi simili al seguente esempio per aggiungere una policy per Network Flow Monitor.
Per modificare una policy degli endpoint VPC per Network Flow Monitor
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoint.
Se non hai ancora creato l'endpoint per Internet Monitor, scegli Crea endpoint.
Seleziona com.amazonaws.
region.networkflowmonitor, quindi scegli Crea endpoint.Seleziona com.amazonaws.
region.networkflowmonitor endpoint, quindi scegli la scheda Policy.-
Scegli Modifica politica, quindi apporta le modifiche.
