將記 CloudWatch 錄檔與介面 VPC 端點搭配使用 - Amazon CloudWatch Logs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將記 CloudWatch 錄檔與介面 VPC 端點搭配使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管資 AWS 源,則可以在 VPC 和 CloudWatch 日誌之間建立私有連接。您可以使用此連接將日誌發送到日 CloudWatch 誌,而無需通過互聯網發送日誌。

Amazon VPC 是一項 AWS 服務,可用於在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連線到 CloudWatch 記錄檔,請 CloudWatch 為記錄定義介面 VPC 端點。這類端點可讓您將 VPC 連線到 AWS 服務。端點為 CloudWatch 記錄檔提供可靠、可擴充的連線,而不需要網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

介面 VPC 私人雲端端點的支援是一種 AWS 技術 AWS PrivateLink,可使用具有私有 IP 位址的 elastic network interface,在 AWS 服務之間進行私人通訊。如需詳細資訊,請參閱新增 — AWS PrivateLink 適用於 AWS 服務

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

可用性

CloudWatch 記錄檔目前支援所有 AWS 區域 (包括區域) 的 AWS GovCloud (US) VPC 端點。

建立記錄檔的 CloudWatch VPC 端點

若要開始將 CloudWatch 記錄與 VPC 搭配使用,請 CloudWatch 為記錄檔建立介面 VPC 端點。服務選擇為 com.amazonaws.Region.logs。您不需要變更 CloudWatch 記錄檔的任何設定。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立界面端點

測試 VPC 和 CloudWatch 記錄檔之間的連線

建立端點後,您可以測試連線。

測試您的 VPC 和 CloudWatch Logs 端點之間的連線
  1. 連線至位於 VPC 中的 Amazon EC2 執行個體。如需連線的詳細資訊,請參閱 Amazon EC2 文件中的連線至 Linux 執行個體連線至 Windows 執行個體

  2. 在執行個體中,使 AWS CLI 用在其中一個現有的記錄群組中建立記錄項目。

    首先,以日誌事件建立一個 JSON 檔案。時間戳記必須以從 1970 年 1 月 1 日 00:00:00 UTC 之後的毫秒數指定。

    [ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]

    然後使用 put-log-events 命令來建立日誌項目:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    如果回應命令包含 nextSequenceToken,則該命令已成功而且您的 VPC 端點是正常運作的。

控制對 CloudWatch 日誌 VPC 端點的訪問

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代 IAM 政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取

以下是 CloudWatch 記錄檔的端點策略範例。此原則可讓使用者透過 VPC 連線至 CloudWatch 記錄檔,建立記錄串流並將記錄檔傳送至 CloudWatch 記錄檔,並防止他們執行其他 CloudWatch 記錄動作。

{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
修改記錄檔的 VPC 端點策略 CloudWatch
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未為 CloudWatch 記錄檔建立端點,請選擇「建立端點」。然後選取 com.amazonaws.Region.logs,然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.Region.logs 端點,然後選擇螢幕下半部的 Policy (政策) 標籤。

  5. 選擇 Edit Policy (編輯政策),並對政策做出變更。

VPC 內容金鑰支援

CloudWatch 記錄檔支援可限制存取特定 VPC 或特定 VPC 端點的aws:SourceVpce內容金鑰aws:SourceVpc和內容金鑰。這些金鑰只有在使用者使用 VPC 端點時才會運作。如需詳細資訊,請參閱《IAM 使用者指南》中的可用於部分服務的金鑰