Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von CloudWatch Protokollen mit Schnittstellen-VPC-Endpunkten
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer - AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und CloudWatch Logs herstellen. Sie können diese Verbindung verwenden, um Protokolle an CloudWatch Logs zu senden, ohne sie über das Internet zu senden.
Amazon VPC ist ein - AWS Service, mit dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit CloudWatch Protokollen zu verbinden, definieren Sie einen Schnittstellen-VPC-Endpunkt für CloudWatch Protokolle. Mit dieser Art Endpunkt können Sie Ihre VPC mit AWS -Services verbinden. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu - CloudWatch Protokollen, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.
Schnittstellen-VPC-Endpunkte werden von unterstützt AWS PrivateLink, einer - AWS Technologie, die private Kommunikation zwischen - AWS Services über eine Elastic-Network-Schnittstelle mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter Neu – AWS PrivateLink für - AWS Services
Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.
Verfügbarkeit
CloudWatch Protokolle unterstützen derzeit VPC-Endpunkte in allen - AWS Regionen, einschließlich der - AWS GovCloud (US) Regionen.
Erstellen eines VPC-Endpunkts für CloudWatch Protokolle
Um mit der Verwendung von CloudWatch Protokollen mit Ihrer VPC zu beginnen, erstellen Sie einen Schnittstellen-VPC-Endpunkt für CloudWatch Protokolle. Der auszuwählende Service ist com.amazonaws.Region.logs. Sie müssen keine Einstellungen für CloudWatch Protokolle ändern. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im Amazon VPC Leitfaden.
Testen der Verbindung zwischen Ihrer VPC und - CloudWatch Protokollen
Nachdem Sie den Endpunkt erstellt haben, können Sie die Verbindung testen.
So testen Sie die Verbindung zwischen Ihrer VPC und Ihrem CloudWatch Logs-Endpunkt
-
Stellen Sie eine Verbindung mit einer Amazon EC2-Instance in Ihrer VPC her. Weitere Informationen zum Herstellen einer Verbindung finden Sie unter Herstellen einer Verbindung mit Ihrer Linux-Instance or Herstellen einer Verbindung mit Ihrer Windows-Instance in der Amazon EC2-Dokumentation.
Verwenden Sie in der Instance die , AWS CLI um einen Protokolleintrag in einer Ihrer vorhandenen Protokollgruppen zu erstellen.
Zuerst erstellen Sie eine JSON-Datei mit einem Protokollereignis. Der Zeitstempel muss als Millisekunden seit dem 1. Januar 1970 00:00:00 UTC angegeben werden.
[ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]Verwenden Sie anschließend den
put-log-events-Befehl zum Erstellen des Protokolleintrags:aws logs put-log-events --log-group-nameLogGroupName--log-stream-nameLogStreamName--log-events file://JSONFileNameWenn die Antwort auf den Befehl
nextSequenceTokenenthält, war der Befehl erfolgreich und Ihr VPC-Endpunkt funktioniert.
Steuern des Zugriffs auf Ihren CloudWatch Logs-VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. IAM-Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für - CloudWatch Protokolle. Diese Richtlinie ermöglicht es Benutzern, eine Verbindung zu CloudWatch Protokollen über die VPC herzustellen, Protokollstreams zu erstellen und Protokolle an CloudWatch Protokolle zu senden, und verhindert, dass sie andere CloudWatch Protokollaktionen ausführen.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
So ändern Sie die VPC-Endpunktrichtlinie für CloudWatch Protokolle
Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Wenn Sie den Endpunkt noch nicht für CloudWatch Protokolle erstellt haben, wählen Sie Endpunkt erstellen aus. Wählen Sie anschließend com.amazonaws.
Region.logs und danach Create endpoint (Endpunkt erstellen) aus.Wählen Sie den Endpunkt com.amazonaws.
Region.logs und danach die Registerkarte Policy (Richtlinie) in der unteren Hälfte des Bildschirms aus.-
Wählen Sie Richtlinie bearbeiten und nehmen Sie die Änderungen an der Richtlinie vor.
Support für VPC-Kontextschlüssel
CloudWatch Logs unterstützt die aws:SourceVpce Kontextschlüssel aws:SourceVpc und , die den Zugriff auf bestimmte VPCs oder bestimmte VPC-Endpunkte einschränken können. Diese Schlüssel funktionieren nur, wenn der Benutzer VPC-Endpunkte verwendet. Weitere Informationen finden Sie unter Schlüssel, die für manche Services verfügbar sind im IAM-Benutzerhandbuch.
