Usando CloudWatch registros com endpoints VPC de interface - CloudWatch Registros da Amazon
DisponibilidadeCriação de um VPC endpoint para registros CloudWatch Testando a conexão entre sua VPC e Logs CloudWatch Controle do acesso ao seu endpoint CloudWatch VPC do LogsCompatibilidade com chaves de contexto da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando CloudWatch registros com endpoints VPC de interface

Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e Logs. CloudWatch Você pode usar essa conexão para enviar registros para o CloudWatch Logs sem enviá-los pela Internet.

O Amazon VPC é um AWS serviço que você pode usar para lançar AWS recursos em uma rede virtual que você define. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar sua VPC ao CloudWatch Logs, você define uma interface VPC endpoint para Logs. CloudWatch Esse tipo de endpoint permite que você conecte a VPC aos serviços da AWS . O endpoint fornece conectividade confiável e escalável aos CloudWatch registros sem exigir um gateway de internet, instância de tradução de endereços de rede (NAT) ou conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Manual do usuário da Amazon VPC.

Os endpoints VPC da Interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte Novo — AWS PrivateLink para AWS serviços.

As etapas a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte Conceitos básicos no Guia do usuário da Amazon VPC.

Disponibilidade

CloudWatch Atualmente, o Logs oferece suporte a VPC endpoints em todas as AWS regiões, incluindo as regiões. AWS GovCloud (US)

Criação de um VPC endpoint para registros CloudWatch

Para começar a usar o CloudWatch Logs com sua VPC, crie uma interface VPC endpoint para Logs. CloudWatch O serviço a ser escolhido é com.amazonaws.Região.logs. Você não precisa alterar nenhuma configuração dos CloudWatch registros. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Testando a conexão entre sua VPC e Logs CloudWatch

Depois de criar o endpoint, você pode testar a conexão.

Para testar a conexão entre sua VPC e seu CloudWatch endpoint de registros

  1. Conecte-se a uma instância do Amazon EC2 que reside na VPC. Para obter mais informações sobre a conexão, consulte Conecte-se à sua instância do Linux ou Conexão com sua instância Windows na documentação do Amazon EC2.

  2. Na instância, use o AWS CLI para criar uma entrada de registro em um dos seus grupos de registros existentes.

    Primeiro, crie um arquivo JSON com um evento de log. O timestamp deve ser especificado como o número de milissegundos após 1º de janeiro de 1970 00:00:00 UTC.

    [
  {
    "timestamp": 1533854071310,
    "message": "VPC Connection Test"
  }
]

    Em seguida, use o comando put-log-events para criar a entrada de log:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    Se a resposta ao comando incluir nextSequenceToken, o comando terá sido bem-sucedido e o VPC endpoint estará funcionando.

Controle do acesso ao seu endpoint CloudWatch VPC do Logs

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Manual do usuário da Amazon VPC.

Veja a seguir um exemplo de uma política de endpoint para CloudWatch Logs. Essa política permite que os usuários se conectem ao CloudWatch Logs por meio da VPC para criar fluxos de registros e enviar CloudWatch registros para o Logs, além de impedir que eles realizem outras CloudWatch ações do Logs.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Para modificar a política de VPC endpoint para Logs CloudWatch

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não criou o endpoint para CloudWatch Logs, escolha Create Endpoint. Em seguida, selecione com.amazonaws.Região.logs e selecione Create endpoint (Criar endpoint).

  4. Selecione o endpoint com.amazonaws.Região.logs e selecione a guia Policy (Política) na metade inferior da tela.

  5. Selecione Edit policy (Editar política) e faça as alterações na política.

Compatibilidade com chaves de contexto da VPC

CloudWatch O Logs oferece suporte às chaves de aws:SourceVpce contexto aws:SourceVpc e de contexto que podem limitar o acesso a VPCs específicas ou a endpoints de VPC específicos. Essas chaves funcionam somente quando o usuário está usando VPC endpoints. Para obter mais informações, consulte Chaves disponíveis para alguns serviços no Manual do usuário do IAM.