Uso de CloudWatch y CloudWatch Synthetics con los puntos de enlace de la VPC de tipo interfaz - Amazon CloudWatch
CloudWatchCloudWatch Synthetics

Uso de CloudWatch y CloudWatch Synthetics con los puntos de enlace de la VPC de tipo interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar los recursos de AWS, puede establecer una conexión privada entre la VPC, CloudWatch y CloudWatch Synthetics. Puede utilizar estas conexiones para habilitar CloudWatch y CloudWatch Synthetics para comunicarse con los recursos en la VPC sin pasar por la internet pública.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtual que usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de ruteo y las gateways de red. Para conectar la VPC a CloudWatch o a CloudWatch Synthetics, defina un punto de enlace de la VPC de tipo interfaz para conectar la VPC a los servicios de AWS. El punto de enlace ofrece conectividad escalable de confianza con CloudWatch o CloudWatch Synthetics sin necesidad de utilizar una gateway de Internet, una instancia (NAT) de traducción de dirección de red o una conexión de VPN. Para obtener más información, consulte What Is Amazon VPC (¿Qué es Amazon VPC?) en la Guía del usuario de Amazon VPC.

Los puntos de enlace de la VPC de tipo interfaz utilizan la tecnología de AWS PrivateLink, una tecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte la publicación de blog New – AWS PrivateLink for AWS Services.

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulte Introducción en la Guía del usuario de Amazon VPC.

Punto de enlace de la VPC de CloudWatch

CloudWatch actualmente admite puntos de enlace de la VPC en las siguientes Regiones de AWS:

  • Este de EE. UU. (Ohio)

  • EE.UU. Este (Norte de Virginia)

  • EE.UU. Oeste (Norte de California)

  • Oeste de EE. UU. (Oregón)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Mumbai)

  • Asia Pacific (Seoul)

  • Asia Pacífico (Singapur)

  • Asia Pacífico (Sídney)

  • Asia Pacífico (Tokio)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (París)

  • Medio Oriente (EAU)

  • América del Sur (São Paulo)

  • AWS GovCloud (Este de EE. UU.)

  • AWS GovCloud (Oeste de EE. UU.)

Creación de un punto de enlace de la VPC para CloudWatch

Para comenzar a utilizar CloudWatch con la VPC, cree un punto de enlace de la VPC de tipo interfaz para CloudWatch. El nombre del servicio que se va a elegir es com.amazonaws.region.monitoring. Para obtener más información, consulte Creación de un punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

No necesita cambiar la configuración de CloudWatch. CloudWatch llama a otros servicios de AWS con puntos de enlace públicos o puntos de enlace de la VPC privados de tipo interfaz, lo que esté en uso. Por ejemplo, si crea punto de enlace de la VPC de tipo interfaz para CloudWatch y ya tiene métricas que circulan por CloudWatch desde los recursos que se encuentran en la VPC, estas métricas comienzan a circular por el punto de enlace de la VPC de tipo interfaz de forma predeterminada.

Control del acceso al punto de enlace de la VPC de CloudWatch

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no adjunta una política al crear un punto de enlace, Amazon VPC adjunta una política predeterminada que le conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de ni las políticas específicas de los servicios. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de conexión deben escribirse en formato JSON.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de puntos de enlace de CloudWatch. Esta política permite a los usuarios que se conectan a CloudWatch a través de la VPC que envíen datos de métricas a CloudWatch, y les impide que realicen otras acciones de CloudWatch.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Para editar la política de punto de enlace de la VPC para CloudWatch

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Si todavía no ha creado el punto de enlace para CloudWatch, elija Create Endpoint (Crear punto de enlace). Seleccione com.amazonaws.region.monitoring y, a continuación, elija Create endpoint (Crear punto de enlace).

  4. Seleccione el punto de enlace com.amazonaws.region.monitoring y, a continuación, elija la pestaña Policy (Política).

  5. Elija Edit Policy (Editar política) y, a continuación, realice los cambios.

Puntos de enlace de la VPC de CloudWatch Synthetics

Actualmente, CloudWatch Synthetics admite puntos de enlace de la VPC en las siguientes Regiones de AWS:

  • Este de EE. UU. (Ohio)

  • EE.UU. Este (Norte de Virginia)

  • EE.UU. Oeste (Norte de California)

  • Oeste de EE. UU. (Oregón)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Mumbai)

  • Asia Pacific (Seoul)

  • Asia Pacífico (Singapur)

  • Asia Pacífico (Sídney)

  • Asia Pacífico (Tokio)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (París)

  • América del Sur (São Paulo)

Creación de un punto de enlace de la VPC para CloudWatch Synthetics

Para empezar a utilizar CloudWatch Synthetics con la VPC, cree un punto de enlace de la VPC de tipo interfaz para CloudWatch Synthetics. El nombre del servicio que se va a elegir es com.amazonaws.region.synthetics. Para obtener más información, consulte Creación de un punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

No necesita cambiar la configuración de CloudWatch Synthetics. CloudWatch Synthetics se comunica con otros servicios de AWS con los puntos de enlace públicos o los puntos de enlace de la VPC de tipo interfaz privados, lo que esté en uso. Por ejemplo, si crea un punto de enlace de la VPC de tipo interfaz para CloudWatch Synthetics y ya dispone de un punto de enlace tipo interfaz para Amazon S3, CloudWatch Synthetics inicia la comunicación con Amazon S3 a través del punto de enlace de la VPC de tipo interfaz de forma predeterminada.

Control del acceso a su punto de enlace de la VPC de CloudWatch Synthetics

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no asocia una política al crear un punto de enlace, se asociará automáticamente una política predeterminada que conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de ni las políticas específicas de los servicios. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de enlace afectan a los canaries que la VPC administra de forma privada. No son necesarios para canaries que se ejecutan en subredes privadas.

Las políticas de punto de conexión deben escribirse en formato JSON.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de punto de enlace de CloudWatch Synthetics. Esta política permite que los usuarios que se conectan a CloudWatch Synthetics a través de la VPC puedan ver información sobre los canaries y las ejecuciones, pero no crear, modificar ni eliminar los canaries.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
Para editar la política de punto de enlace de la VPC para CloudWatch Synthetics

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Si todavía no ha creado el punto de enlace para CloudWatch Synthetics, elija Create Endpoint (Crear punto de enlace). Seleccione com.amazonaws.region.synthetics y, a continuación, elija Create endpoint (Crear punto de enlace).

  4. Seleccione el punto de enlace com.amazonaws.region.synthetics y, a continuación, elija la pestaña Policy (Política).

  5. Elija Edit Policy (Editar política) y, a continuación, realice los cambios.