Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des CloudWatch journaux avec les points de terminaison VPC de l'interface
Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et Logs. CloudWatch Vous pouvez utiliser cette connexion pour envoyer des CloudWatch journaux à Logs sans les envoyer via Internet.
Amazon VPC est un AWS service que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez vos paramètres réseau, tels que la plage d'adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC aux CloudWatch journaux, vous devez définir un point de terminaison VPC d'interface pour les journaux. CloudWatch Ce type de point de terminaison vous permet de connecter votre VPC à des services AWS . Le point de terminaison fournit une connectivité fiable et évolutive aux CloudWatch journaux sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, consultez Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.
Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, voir Nouveau — AWS PrivateLink pour les AWS services
Les étapes suivantes s'adressent aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez Démarrez dans le Amazon VPC Guide de l'utilisateur.
Disponibilité
CloudWatch Logs prend actuellement en charge les points de terminaison VPC dans toutes les AWS régions, y compris les régions. AWS GovCloud (US)
Création d'un point de terminaison VPC pour les journaux CloudWatch
Pour commencer à utiliser CloudWatch les journaux avec votre VPC, créez un point de terminaison VPC d'interface pour les journaux. CloudWatch Le service à choisir est com.amazonaws.Region.logs. Il n'est pas nécessaire de modifier les paramètres des CloudWatch journaux. Pour plus d'informations, consultez Création d'un point de terminaison d'interface dans le Amazon VPC Guide de l'utilisateur.
Test de la connexion entre votre VPC et Logs CloudWatch
Une fois que vous avez créé le point de terminaison, vous pouvez tester la connexion.
Pour tester la connexion entre votre VPC et votre CloudWatch point de terminaison Logs
-
Connectez-vous à une instance Amazon EC2 qui se trouve dans votre VPC. Pour plus d'informations sur la connexion, consultez Connexion à votre instance Linux ou Connexion à votre instance Windows dans la documentation Amazon EC2.
À partir de l'instance, utilisez le AWS CLI pour créer une entrée de journal dans l'un de vos groupes de journaux existants.
Commencez par créer un fichier JSON avec un événement de journal. L'horodatage doit être spécifié en nombre de millisecondes après le 1er janvier 1970 00:00:00 UTC.
[ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]Utilisez ensuite la commande
put-log-eventspour créer une entrée de journal :aws logs put-log-events --log-group-nameLogGroupName--log-stream-nameLogStreamName--log-events file://JSONFileNameSi la réponse à la commande inclut
nextSequenceToken, cela signifie que la commande a réussi et que votre point de terminaison d'un VPC fonctionne.
Contrôle de l'accès à votre point de CloudWatch terminaison Logs VPC
Une stratégie de point de terminaison d'un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une politique de point de terminaison n'annule pas et ne remplace pas les politiques IAM ou les politiques spécifiques aux services. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.
Les politiques de point de terminaison doivent être écrites au format JSON.
Pour en savoir plus, consultez Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le guide de l'utilisateur Amazon VPC.
Voici un exemple de politique de point de terminaison pour CloudWatch Logs. Cette politique permet aux utilisateurs qui se connectent aux CloudWatch journaux via le VPC de créer des flux de journaux et d'envoyer des journaux aux CloudWatch journaux, et les empêche d'effectuer d'autres actions liées CloudWatch aux journaux.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
Pour modifier la politique de point de terminaison VPC pour les journaux CloudWatch
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Points de terminaison.
Si vous n'avez pas encore créé le point de terminaison pour CloudWatch Logs, choisissez Create Endpoint. Ensuite, sélectionnez com.amazonaws.
Region.logs et choisissez Create endpoint (Créer un point de terminaison).Sélectionnez le point de terminaison com.amazonaws.
Region.logs, puis l'onglet Policy (Politique) dans la partie inférieure de l'écran.-
Choisissez Modifier la politique, puis apportez les modifications souhaitées à la politique.
Prise en charge des clés de contexte de VPC
CloudWatch Les journaux prennent en charge les clés de aws:SourceVpce contexte aws:SourceVpc et qui peuvent limiter l'accès à des VPC spécifiques ou à des points de terminaison spécifiques de VPC. Ces clés fonctionnent uniquement lorsque l'utilisateur utilise des points de terminaison d'un VPC. Pour plus d'informations, consultez Clés disponibles pour certains services dans le Guide de l'utilisateur IAM.
