인터페이스 CloudWatch VPC 엔드포인트와 함께 로그 사용 - 아마존 CloudWatch 로그

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 CloudWatch VPC 엔드포인트와 함께 로그 사용

Amazon VPC (Virtual Private Cloud) 를 사용하여 AWS 리소스를 호스팅하는 경우 VPC와 로그 간에 프라이빗 연결을 설정할 수 있습니다. CloudWatch 인터넷을 통해 로그를 전송하지 않고도 이 연결을 사용하여 CloudWatch 로그에 로그를 보낼 수 있습니다.

Amazon VPC는 사용자가 AWS 정의한 가상 네트워크에서 AWS 리소스를 시작하는 데 사용할 수 있는 서비스입니다. VPC가 있으면 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등 네트워크 설정을 제어할 수 있습니다. VPC를 Logs에 연결하려면 CloudWatch Logs에 대한 인터페이스 VPC 엔드포인트를 정의합니다. CloudWatch 이 유형의 엔드포인트를 사용하여 VPC를 AWS 서비스에 연결할 수 있습니다. 엔드포인트는 인터넷 게이트웨이, 네트워크 주소 변환 (NAT) 인스턴스 또는 VPN 연결 없이 안정적이고 확장 가능한 CloudWatch 로그 연결을 제공합니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC란 무엇입니까? 섹션을 참조하세요.

인터페이스 VPC 엔드포인트는 사설 IP 주소가 있는 Elastic Network Interface를 사용하여 AWS 서비스 간 사설 통신을 가능하게 하는 AWS 기술인 에 의해 AWS PrivateLink 구동됩니다. 자세한 내용은 신규 — AWS PrivateLink for AWS Services를 참조하십시오.

다음은 Amazon VPC 사용자를 위한 단계들입니다. 자세한 내용은 Amazon VPC 사용 설명서의 시작하기를 참조하세요.

가용성

CloudWatch 로그는 현재 AWS 지역을 포함한 모든 지역의 VPC 엔드포인트를 지원합니다. AWS GovCloud (US)

로그용 VPC 엔드포인트 생성 CloudWatch

VPC에서 CloudWatch Logs를 사용하려면 Logs용 인터페이스 VPC 엔드포인트를 생성하십시오. CloudWatch 선택할 서비스 이름은 com.amazonaws.Region.logs입니다. 로그의 설정은 변경할 필요가 없습니다. CloudWatch 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하세요.

VPC와 로그 간의 연결 테스트 CloudWatch

엔드포인트를 생성한 후에 연결을 테스트할 수 있습니다.

VPC와 Logs 엔드포인트 간의 연결을 테스트하려면 CloudWatch
  1. VPC에 있는 Amazon EC2 인스턴스에 연결합니다. 연결에 대한 자세한 내용은 Amazon EC2 설명서의 Linux 인스턴스에 연결 또는 Windows 인스턴스에 연결을 참조하세요.

  2. 인스턴스에서 AWS CLI 를 사용하여 기존 로그 그룹 중 하나에 로그 항목을 생성합니다.

    먼저 로그 이벤트 JSON 파일을 생성합니다. 타임스탬프는 1970년 1월 1일 1:1970 00:00:00 UTC 이후 경과된 시간(밀리초)으로 지정해야 합니다.

    [ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]

    그런 후 put-log-events 명령을 사용하여 로그 항목을 생성합니다.

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    명령이 성공해 VPC 엔드포인트를 사용할 수 있는 상태가 되었다면 명령에 대한 응답에 nextSequenceToken 명령이 포함됩니다.

CloudWatch Logs VPC 엔드포인트에 대한 액세스 제어

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가됩니다. 엔드포인트 정책은 IAM 정책 또는 서비스별 정책을 재정의하거나 대체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

엔드포인트 정책은 JSON 형식으로 작성해야 합니다.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

다음은 로그에 대한 CloudWatch 엔드포인트 정책의 예시입니다. 이 정책은 VPC를 통해 CloudWatch Logs에 연결하는 사용자가 로그 스트림을 생성하고 로그를 Logs로 전송하도록 허용하며 다른 CloudWatch CloudWatch Logs 작업을 수행하지 못하도록 합니다.

{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
로그에 대한 VPC 엔드포인트 정책을 수정하려면 CloudWatch
  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. CloudWatch 로그용 엔드포인트를 아직 생성하지 않은 경우 엔드포인트 생성을 선택합니다. 그런 다음 com.amazonaws.Region.logs를 선택하고 엔드포인트 생성을 선택합니다.

  4. com.amazonaws.Region.logs 엔드포인트를 선택하고 화면 하단의 정책 탭을 선택합니다.

  5. 정책 편집(Edit Policy)을 선택하고 정책을 변경합니다.

VPC 컨텍스트 키에 대한 지원

CloudWatch 로그는 특정 VPC 또는 특정 VPC 엔드포인트에 대한 액세스를 제한할 수 있는 aws:SourceVpcaws:SourceVpce 컨텍스트 키를 지원합니다. 이러한 키는 사용자가 VPC 엔드포인트를 사용하고 있을 때만 작동합니다. 자세한 내용은 IAM 사용 설명서일부 서비스에 사용 가능한 키를 참조하세요.