インターフェイス VPC エンドポイントでの CloudWatch および CloudWatch Synthetics の使用 - Amazon CloudWatch
CloudWatchCloudWatch Synthetics

インターフェイス VPC エンドポイントでの CloudWatch および CloudWatch Synthetics の使用

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、VPC、CloudWatch、および CloudWatch Synthetics の間のプライベート接続を確立できます。この接続を使用すると、CloudWatch と CloudWatch Synthetics はパブリックインターネットを経由せずに VPC のリソースと通信できます。

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用すると、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を CloudWatch または CloudWatch Synthetics に接続するには、VPC を AWS のサービスに接続するためのインターフェイス VPC エンドポイントを定義します。このエンドポイントを使用すると、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせずに、信頼性の高いスケーラブルな方法で CloudWatch や CloudWatch Synthetics に接続できます。詳細については、『Amazon VPC ユーザーガイド』「Amazon VPCとは何か」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink を利用しています。これは、Elastic Network Interface とプライベート IP アドレスを使用して AWS のサービス間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、ブログ記事の新規 – AWS サービス用の AWS PrivateLink を参照してください。

以下の手順は、Amazon VPC のユーザー向けです。詳細については、Amazon VPC ユーザーガイド開始方法を参照してください。

CloudWatch VPC エンドポイント

現在、CloudWatch は以下の AWS リージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • ヨーロッパ (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 中東 (アラブ首長国連邦)

  • 南米 (サンパウロ)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

CloudWatch 用の VPC エンドポイントの作成

VPC で CloudWatch の使用を開始するには、CloudWatch のインターフェイス VPC エンドポイントを作成します。サービス名として com.amazonaws.region.monitoring を選択します。詳細については、Amazon VPC ユーザーガイドインターフェイスエンドポイントの作成を参照してください。

CloudWatch の設定を変更する必要はありません。CloudWatch は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使用して、他の AWS サービスを呼び出します。例えば、CloudWatch のインターフェイス VPC エンドポイントを作成し、VPC にあるリソースから CloudWatch に流れているメトリクスが既にある場合、それらのメトリクスはデフォルトでインターフェイス VPC エンドポイントを通じて流れ始めます。

CloudWatch の VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。評価項目の作成時にポリシーを加えない場合、サービスへの数多くのアクセスを許可する初期設定のポリシーがAmazon VPCによって自動的に接続されます。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

評価項目のポリシーは、JSON形式で記載する必要があります。

詳細については、「Amazon VPCユーザーガイド」の「VPC評価項目によるサービスのアクセス制御」を参照してください。

CloudWatch のエンドポイントポリシーの例を次に示します。このポリシーは、VPC を介して CloudWatch に接続するユーザーに対して、CloudWatch にメトリクスデータを送信することを許可し、他の CloudWatch アクションを実行することを禁止します。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
CloudWatch の VPC エンドポイントポリシーを編集するには

  1. Amazon VPCコンソール(https://console.aws.amazon.com/vpc/)を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. CloudWatch のエンドポイントをまだ作成していない場合は、[Create Endpoint (エンドポイントの作成)] を選択します。[com.amazonaws.region.monitoring] を選択し、[エンドポイントの作成] を選択します。

  4. [com.amazonaws.region.monitoring] エンドポイントを選択し、[ポリシー] タブを選択します。

  5. [ポリシーの編集] を選択し、変更を行います。

CloudWatch Synthetics の VPC エンドポイント

現在、CloudWatch Synthetics は次の AWS リージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • ヨーロッパ (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 南米 (サンパウロ)

CloudWatch Synthetics の VPC エンドポイントの作成

VPC で CloudWatch Synthetics の使用を開始するには、CloudWatch Synthetics 用のインターフェイス VPC エンドポイントを作成します。サービス名として com.amazonaws.region.synthetics を選択します。詳細については、Amazon VPC ユーザーガイドインターフェイスエンドポイントの作成を参照してください。

CloudWatch Synthetics の設定を変更する必要はありません。CloudWatch Synthetics は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち、いずれか使用中のエンドポイントを使用して、他の AWS サービスと通信します。例えば、CloudWatch Synthetics 用のインターフェイス VPC エンドポイントを作成する場合、Amazon S3 用のインターフェイスエンドポイントが既にあると、CloudWatch Synthetics はデフォルトでインターフェイス VPC エンドポイントを介して Amazon S3 との通信を開始します。

CloudWatch Synthetics の VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、エンドポイントから指定されたサービスへのアクセスを制御するための別のポリシーです。

エンドポイントポリシーは、VPC によって非公開で管理される Canary に影響します。プライベートサブネットで実行される Canary には必要ありません。

エンドポイントのポリシーは、JSON 形式で記述される必要があります。

詳細については、「Amazon VPCユーザーガイド」の「VPC評価項目によるサービスのアクセス制御」を参照してください。

CloudWatch Synthetics のエンドポイントポリシーの例を次に示します。このポリシーを使用すると、VPC を介して CloudWatch Synthetics に接続するユーザーは、Canary とその実行に関する情報は表示できますが、Canary を作成、変更、または削除することはできません。

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
CloudWatch Synthetics の VPC エンドポイントポリシーを編集するには

  1. Amazon VPCコンソール(https://console.aws.amazon.com/vpc/)を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. CloudWatch Synthetics のエンドポイントをまだ作成していない場合は、[エンドポイントの作成] を選択します。[com.amazonaws.region.synthetics] を選択し、[エンドポイントの作成] を選択します。

  4. [com.amazonaws.region.synthetics] エンドポイントを選択し、[ポリシー] タブを選択します。

  5. [ポリシーの編集] を選択し、変更を行います。