인터페이스 VPC 엔드포인트에서 CloudWatch Logs 사용 - Amazon CloudWatch Logs

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 VPC 엔드포인트에서 CloudWatch Logs 사용

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스팅하는 경우, VPC와 CloudWatch Logs 간에 연결을 설정할 수 있습니다. 이 연결을 사용하여 인터넷을 통하지 않고 CloudWatch Logs에 로그를 보낼 수 있습니다.

Amazon VPC란 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 때 사용할 수 있는 AWS 서비스입니다. VPC가 있으면 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등 네트워크 설정을 제어할 수 있습니다. VPC를 CloudWatch Logs에 연결하려면 CloudWatch Logs용 인터페이스 VPC 엔드포인트에 대해 알아보세요. 이 유형의 엔드포인트를 사용하여 VPC를 AWS 서비스에 연결할 수 있습니다. 이 엔드포인트를 이용하면 인터넷 게이트웨이나 NAT(네트워크 주소 변환) 인스턴스 또는 VPN 연결 없이도 CloudWatch Logs에 안정적이고 확장할 수 있게 연결됩니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC란 무엇입니까? 섹션을 참조하세요.

인터페이스 VPC 엔드포인트는 프라이빗 IP 주소와 함께 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간 프라이빗 통신을 사용할 수 있는 AWS 기술인 AWS PrivateLink에 의해 구동됩니다. 자세한 내용은 AWS 서비스를 위한 신규 – AWS PrivateLink를 참조하세요.

다음은 Amazon VPC 사용자를 위한 단계입니다. 자세한 내용은 Amazon VPC 사용 설명서의 시작하기를 참조하세요.

가용성

CloudWatch Logs는 현재 AWS GovCloud (US) 리전을 포함한 모든 AWS 리전에서 VPC 엔드포인트를 지원합니다.

CloudWatch Logs에 대한 VPC 엔드포인트 생성

VPC에서 CloudWatch Logs를 사용하려면 CloudWatch Logs에 대한 인터페이스 VPC 엔드포인트를 생성합니다. 선택할 서비스 이름은 com.amazonaws.Region.logs입니다. CloudWatch Logs에 대한 설정을 변경할 필요가 없습니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하세요.

VPC와 CloudWatch Logs 간 연결 테스트

엔드포인트를 생성한 후에 연결을 테스트할 수 있습니다.

VPC와 CloudWatch Logs 엔드포인트 간 연결을 테스트하려면
  1. VPC에 있는 Amazon EC2 인스턴스에 연결합니다. 연결에 대한 자세한 내용은 Amazon EC2 설명서의 Linux 인스턴스에 연결 또는 Windows 인스턴스 연결을 참조하세요.

  2. 인스턴스에서 AWS CLI를 사용하여 기존 로그 그룹 중 하나에 로그 항목을 생성합니다.

    먼저 로그 이벤트 JSON 파일을 생성합니다. 타임스탬프는 1970년 1월 1일 1:1970 00:00:00 UTC 이후 경과된 시간(밀리초)으로 지정해야 합니다.

    [ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]

    그런 후 put-log-events 명령을 사용하여 로그 항목을 생성합니다.

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    명령이 성공해 VPC 엔드포인트를 사용할 수 있는 상태가 되었다면 명령에 대한 응답에 nextSequenceToken 명령이 포함됩니다.

CloudWatch Logs VPC 엔드포인트에 대한 액세스 제어

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가됩니다. 엔드포인트 정책은 IAM 정책 또는 서비스별 정책을 재정의하거나 대체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

엔드포인트 정책은 JSON 형식으로 작성해야 합니다.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

다음은 CloudWatch Logs에 대한 엔드포인트 정책의 예입니다. 이 정책에서는 사용자가 VPC를 통해 CloudWatch Logs에 연결하여 로그 스트림을 생성하고 CloudWatch Logs에 로그를 전송할 수 있도록 허용하고, 다른 CloudWatch Logs 작업을 수행하지 못하게 금지합니다.

{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
CloudWatch Logs에 대한 VPC 엔드포인트 정책을 수정하려면
  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. CloudWatch Logs에 대한 엔드포인트를 아직 생성하지 않았다면 엔드포인트 생성을 선택합니다. 그런 다음 com.amazonaws.Region.logs를 선택하고 엔드포인트 생성을 선택합니다.

  4. com.amazonaws.Region.logs 엔드포인트를 선택하고 화면 하단의 정책 탭을 선택합니다.

  5. 정책 편집(Edit Policy)을 선택하고 정책을 변경합니다.

VPC 컨텍스트 키에 대한 지원

CloudWatch Logs는 특정 VPC 또는 특정 VPC 엔드포인트에 대한 액세스를 제한할 수 있는 aws:SourceVpcaws:SourceVpce 컨텍스트 키를 지원합니다. 이러한 키는 사용자가 VPC 엔드포인트를 사용하고 있을 때만 작동합니다. 자세한 내용은 IAM 사용 설명서일부 서비스에 사용 가능한 키를 참조하세요.