Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Usar o CloudWatch, o CloudWatch Synthetics e o CloudWatch Network Monitoring com endpoints de VPC de interface

RSS
Modo de foco
Usar o CloudWatch, o CloudWatch Synthetics e o CloudWatch Network Monitoring com endpoints de VPC de interface - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsMonitor de Rede do CloudWatch

Se você usar a Amazon Virtual Private Cloud (Amazon VPC) para hospedar os recursos da AWS, poderá estabelecer uma conexão privada entre os recursos da VPC, do CloudWatch, do CloudWatch Synthetics e do CloudWatch Network Monitoring. Você pode usar essas conexões para permitir que esses serviços se comuniquem com os recursos na VPC sem passar pela Internet pública.

A Amazon VPC é um produto da AWS que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar sua VPC aos serviços do CloudWatch, defina um endpoint de VPC de interface para sua VPC. O endpoint fornece conectividade confiável e escalável com o CloudWatch e os serviços compatíveis do CloudWatch, sem a necessidade de um gateway da Internet, da instância de conversão de endereço de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Manual do usuário da Amazon VPC.

Os VPC endpoints de interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia da AWS permite a comunicação privada entre os serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte a seguinte publicação de blog: New – AWS PrivateLink for AWS Services.

As etapas a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte Conceitos básicos no Guia do usuário da Amazon VPC.

Endpoint da VPC do CloudWatch

No momento, o CloudWatch oferece suporte a endpoints da VPC nas seguintes regiões da AWS:

  • Leste dos EUA (Ohio)

  • Leste dos EUA (Norte da Virgínia)

  • Oeste dos EUA (Norte da Califórnia)

  • Oeste dos EUA (Oregon)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • Oriente Médio (Emirados Árabes Unidos)

  • South America (São Paulo)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)

Criar um endpoint da VPC para o CloudWatch

Para começar a usar o CloudWatch na VPC, crie um endpoint da VPC de interface para o CloudWatch. O nome do serviço a ser escolhido é com.amazonaws.region.monitoring. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Você não precisa alterar as configurações do CloudWatch. O CloudWatch chama outros serviços da AWS usando endpoints públicos ou privados da VPC de interface, o que estiver em uso. Por exemplo, ao criar um endpoint da VPC de interface para o CloudWatch, se você já tiver uma métrica fluindo para o CloudWatch a partir de recursos localizados em sua VPC, essas métricas começarão a fluir por meio do endpoint da VPC de interface por padrão.

Controlar o acesso ao endpoint da VPC do CloudWatch

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do ou políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia do Usuário do Amazon VPC.

Veja a seguir um exemplo de uma política de endpoints do CloudWatch. Esta política permite que os usuários se conectem ao CloudWatch por meio da VPC para enviar dados de métrica ao CloudWatch e impede que outras ações do CloudWatch sejam executadas.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Como editar a política de endpoint da VPC para o CloudWatch

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não tiver criado o endpoint para o CloudWatch, escolha Criar endpoint. Selecione com.amazonaws.region.monitoring e escolha Create endpoint (Criar endpoint).

  4. Selecione o endpoint com.amazonaws.region.monitoring e escolha a guia Policy (Política).

  5. Escolha Editar política e faça as alterações.

Endpoint da VPC do CloudWatch Synthetics

No momento, o CloudWatch Synthetics oferece suporte a endpoints da VPC nas seguintes regiões da AWS:

  • Leste dos EUA (Ohio)

  • Leste dos EUA (Norte da Virgínia)

  • Oeste dos EUA (Norte da Califórnia)

  • Oeste dos EUA (Oregon)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • América do Sul (São Paulo)

Criar um endpoint da VPC para o CloudWatch Synthetics

Para começar a usar o CloudWatch Synthetics com a VPC, crie um endpoint da VPC de interface para o CloudWatch Synthetics. O nome do serviço a ser escolhido é com.amazonaws.region.synthetics. Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Você não precisa alterar as configurações do CloudWatch Synthetics. O CloudWatch Synthetics se comunica com outros produtos da AWS usando endpoints da VPC de interface públicos ou privados, o que estiver em uso. Por exemplo, se você criar um endpoint da VPC de interface para o CloudWatch Synthetics e já tiver um endpoint de interface para o Amazon S3, o CloudWatch Synthetics começará a se comunicar com o Amazon S3 por meio do endpoint da VPC de interface por padrão.

Controlar o acesso ao endpoint da VPC do CloudWatch Synthetics

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do ou políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

As políticas de endpoint afetam os canaries que são gerenciados de forma privada pela VPC. Elas não são necessárias para canaries que são executados em sub-redes privadas.

Políticas de endpoint devem ser gravadas em formato JSON.

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia do Usuário do Amazon VPC.

Veja a seguir um exemplo de política de endpoint para o CloudWatch Synthetics. Essa política permite que os usuários se conectem ao CloudWatch Synthetics por meio da VPC para visualizar informações sobre canaries e suas execuções, mas não para criar, modificar nem excluir canaries.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
Como editar a política de endpoint da VPC para o CloudWatch Synthetics

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não tiver criado o endpoint para o CloudWatch Synthetics, selecione Criar endpoint. Selecione com.amazonaws.region.synthetics e escolha Create endpoint (Criar endpoint).

  4. Selecione o endpoint com.amazonaws.region.synthetics e escolha a guia Política.

  5. Escolha Editar política e faça as alterações.

Endpoints de VPC para recursos do CloudWatch Network Monitoring

O CloudWatch Network Monitoring inclui estes recursos: Network Flow Monitor, Internet Monitor e Network Synthetic Monitor. Cada um deles oferece suporte a endpoints de VPC nas regiões da AWS em que o recurso Network Monitoring é compatível.

Para ver uma lista de regiões com suporte para cada recurso do Network Monitoring, consulte os seguintes tópicos:

Criar um endpoint de VPC para um recurso do CloudWatch Network Monitoring

Para começar a usar os recursos do CloudWatch Network Monitoring com a sua VPC, crie um endpoint de VPC de interface para o recurso que você deseja usar. Para o Network Monitoring, os nomes de serviço a seguir estão disponíveis:

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Não é necessário alterar as configurações para serviços do Network Monitoring. Os serviços do Network Monitoring se comunicam com outros serviços da AWS usando endpoints de VPC de interface públicos ou privados, o que estiver em uso. Por exemplo, ao criar um endpoint da VPC de interface para um serviço do Network Monitoring, se você já tiver uma métrica fluindo para esse serviço a partir de recursos localizados em sua VPC, essas métricas começarão a fluir por meio do endpoint da VPC de interface por padrão.

Controlar o acesso aos endpoints de VPC do seu recurso do CloudWatch Network Monitoring

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Uma política de endpoint não substitui políticas de usuário do ou políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado.

Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permite acesso total e não restringe o acesso a um serviço específico. Para segurança adicional, você pode anexar uma política ao endpoint a fim de limitar especificamente o acesso a esse recurso. Por exemplo, para o Internet Monitor, é possível permitir acesso total apenas ao Internet Monitor, anexando a política gerenciada AWS, que permite acesso total ao recurso, CloudWatchInternetMonitorFullAccess. Outra opção é limitar ainda mais as permissões a apenas ações específicas do endpoint.

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia do Usuário do Amazon VPC.

Veja a seguir um exemplo de uma política de endpoint que pode ser criada para o Network Flow Monitor com o objetivo de limitar as ações do endpoint. Essa política permite que as solicitações feitas ao Network Flow Monitor por meio da VPC usem somente a ação Publish, permitindo que essas solicitações publiquem métricas na ingestão de backend do Network Flow Monitor.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Se quiser usar uma política específica de endpoint de VPC com um endpoint de VPC de interface para um recurso do Network Monitoring, use etapas semelhantes ao exemplo abaixo para adicionar uma política do Network Flow Monitor.

Para editar uma política de endpoint de VPC para o Network Flow Monitor

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Se ainda não tiver criado o endpoint do Internet Monitor, selecione Criar endpoint.

  4. Selecione com.amazonaws.region.networkflowmonitor e escolha Criar endpoint.

  5. Selecione o endpoint com.amazonaws.region.networkflowmonitor e escolha a guia Política.

  6. Escolha Editar política e faça as alterações.

Nesta página

Related resources

Referência da API do Amazon CloudWatch
Comandos da AWS CLI para o Amazon CloudWatch
SDKs e ferramentas 

Related resources

Referência da API do Amazon CloudWatch
Comandos da AWS CLI para o Amazon CloudWatch
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.