CloudWatch CloudWatch Synthetics CloudWatch Pemantauan Jaringan

Menggunakan CloudWatch, CloudWatch Synthetics, dan CloudWatch Network Monitoring dengan antarmuka VPC endpoint

Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara fitur VPC,, CloudWatch CloudWatch Synthetics, dan Pemantauan Jaringan Anda. CloudWatch Anda dapat menggunakan koneksi ini untuk memungkinkan layanan ini berkomunikasi dengan sumber daya di VPC Anda tanpa melalui internet publik.

Amazon VPC adalah AWS layanan yang dapat Anda gunakan untuk meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda ke CloudWatch layanan, Anda menentukan titik akhir VPC antarmuka untuk VPC Anda. Endpoint menyediakan konektivitas yang andal dan dapat diskalakan ke CloudWatch dan CloudWatch layanan yang didukung tanpa memerlukan gateway internet, instance terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Amazon VPC dalam Panduan Pengguna Amazon VPC.

Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara AWS layanan menggunakan antarmuka jaringan elastis dengan alamat IP pribadi. Untuk informasi lebih lanjut, lihat posting blog berikut: Baru - AWS PrivateLink untuk AWS Layanan

Langkah-langkah berikut ditujukan untuk para pengguna Amazon VPC. Untuk informasi selengkapnya, silakan lihat Getting Started di Panduan Pengguna Amazon VPC.

CloudWatch Titik akhir VPC

CloudWatch saat ini mendukung titik akhir VPC di Wilayah berikut: AWS

AS Timur (Ohio)
AS Timur (Virginia Utara)
AS Barat (California Utara)
AS Barat (Oregon)
Asia Pasifik (Hong Kong)
Asia Pasifik (Mumbai)
Asia Pasifik (Seoul)
Asia Pasifik (Singapura)
Asia Pasifik (Sydney)
Asia Pasifik (Tokyo)
Kanada (Pusat)
Eropa (Frankfurt)
Eropa (Irlandia)
Eropa (London)
Eropa (Paris)
Timur Tengah (UEA)
Amerika Selatan (Sao Paulo)
AWS GovCloud (AS-Timur)
AWS GovCloud (AS-Barat)

Membuat titik akhir VPC untuk CloudWatch

Untuk mulai menggunakan CloudWatch dengan VPC Anda, buat antarmuka VPC endpoint untuk. CloudWatch Nama layanan untuk dipilih adalah com.amazonaws.region.monitoring. Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Anda tidak perlu mengubah pengaturan untuk CloudWatch. CloudWatch memanggil AWS layanan lain menggunakan titik akhir publik atau titik akhir VPC antarmuka pribadi, mana pun yang digunakan. Misalnya, jika Anda membuat titik akhir VPC antarmuka untuk CloudWatch, dan Anda sudah memiliki metrik yang mengalir CloudWatch dari sumber daya yang terletak di VPC Anda, metrik ini mulai mengalir melalui titik akhir VPC antarmuka secara default.

Mengontrol akses ke titik akhir CloudWatch VPC Anda

Kebijakan VPC endpoint adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, Amazon VPC melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Kebijakan titik akhir harus ditulis dalam format JSON.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Berikut ini adalah contoh kebijakan endpoint untuk CloudWatch. Kebijakan ini memungkinkan pengguna yang terhubung CloudWatch melalui VPC untuk mengirim data metrik ke CloudWatch dan mencegah mereka melakukan tindakan lain CloudWatch .


{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Untuk mengedit kebijakan titik akhir VPC untuk CloudWatch

Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
Di panel navigasi, pilih Titik akhir.
Jika Anda belum membuat titik akhir untuk CloudWatch, pilih Buat titik akhir. Pilih com.amazonaws. region.monitoring, lalu pilih Create endpoint.
Pilih com.amazonaws. region.monitoring endpoint, lalu pilih tab Policy.
Pilih Edit kebijakan, lalu buat perubahan.

CloudWatch Titik akhir VPC Synthetics

CloudWatch Synthetics saat ini mendukung titik akhir VPC di Wilayah berikut: AWS

AS Timur (Ohio)
AS Timur (Virginia Utara)
AS Barat (California Utara)
AS Barat (Oregon)
Asia Pasifik (Hong Kong)
Asia Pasifik (Mumbai)
Asia Pasifik (Seoul)
Asia Pasifik (Singapura)
Asia Pasifik (Sydney)
Asia Pasifik (Tokyo)
Kanada (Pusat)
Eropa (Frankfurt)
Eropa (Irlandia)
Eropa (London)
Eropa (Paris)
Amerika Selatan (São Paulo)

Membuat titik akhir VPC untuk Synthetics CloudWatch

Untuk mulai menggunakan CloudWatch Synthetics dengan VPC Anda, buat antarmuka VPC endpoint untuk Synthetics. CloudWatch Nama layanan untuk dipilih adalah com.amazonaws.region.synthetics. Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Anda tidak perlu mengubah pengaturan untuk CloudWatch Synthetics. CloudWatch Synthetics berkomunikasi dengan AWS layanan lain menggunakan titik akhir publik atau titik akhir VPC antarmuka pribadi, mana saja yang digunakan. Misalnya, jika Anda membuat antarmuka VPC endpoint untuk CloudWatch Synthetics, dan Anda sudah memiliki endpoint antarmuka untuk Amazon S3, CloudWatch Synthetics mulai berkomunikasi dengan Amazon S3 melalui antarmuka VPC endpoint secara default.

Mengontrol akses ke titik akhir CloudWatch VPC Synthetics Anda

Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Kebijakan titik akhir mempengaruhi canary yang dikelola secara privat oleh VPC. Mereka tidak diperlukan untuk canary yang berjalan di subnet privat.

Kebijakan titik akhir harus ditulis dalam format JSON.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Berikut ini adalah contoh kebijakan endpoint untuk CloudWatch Synthetics. Kebijakan ini memungkinkan pengguna yang terhubung ke CloudWatch Synthetics melalui VPC untuk melihat informasi tentang kenari dan operasinya, tetapi tidak membuat, memodifikasi, atau menghapus kenari.


{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

Untuk mengedit kebijakan titik akhir VPC untuk Synthetics CloudWatch

Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
Di panel navigasi, pilih Titik akhir.
Jika Anda belum membuat endpoint untuk CloudWatch Synthetics, pilih Create endpoint. Pilih com.amazonaws. region.synthetics dan kemudian pilih Create endpoint.
Pilih com.amazonaws. region.synthetics endpoint, lalu pilih tab Policy.
Pilih Edit kebijakan, lalu buat perubahan.

CloudWatch Fitur Pemantauan Jaringan Titik akhir VPC

CloudWatch Network Monitoring mencakup fitur-fitur berikut: Network Flow Monitor, Internet Monitor, dan Network Synthetic Monitor. Fitur ini masing-masing mendukung titik akhir VPC di AWS Wilayah tempat fitur Pemantauan Jaringan didukung.

Untuk melihat daftar Wilayah yang didukung untuk setiap fitur Pemantauan Jaringan, lihat topik berikut:

Monitor Aliran Jaringan: Didukung Wilayah AWS untuk Network Flow Monitor
Monitor Internet: Didukung Wilayah AWS untuk Internet Monitor
Monitor Sintetis Jaringan: Didukung Wilayah AWS untuk Network Synthetic Monitor

Membuat titik akhir VPC untuk fitur Pemantauan Jaringan CloudWatch

Untuk mulai menggunakan fitur CloudWatch Network Monitoring dengan VPC Anda, buat antarmuka VPC endpoint untuk fitur yang ingin Anda gunakan. Untuk Network Monitoring, nama layanan berikut tersedia:

com.amazonaws.region.networkflowmonitor
com.amazonaws.region.networkflowmonitorreports
com.amazonaws.region.internetmonitor
com.amazonaws.region.internetmonitor-fips
com.amazonaws.region.networkmonitor

Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Anda tidak perlu mengubah pengaturan untuk layanan Pemantauan Jaringan. Layanan Pemantauan Jaringan berkomunikasi dengan AWS layanan lain menggunakan titik akhir publik atau titik akhir VPC antarmuka pribadi, mana saja yang digunakan. Misalnya, jika Anda membuat titik akhir VPC antarmuka untuk layanan Pemantauan Jaringan, dan Anda sudah memiliki metrik yang mengalir ke layanan dari sumber daya yang terletak di VPC Anda, metrik mulai mengalir melalui titik akhir VPC antarmuka secara default.

Mengontrol akses ke fitur Pemantauan CloudWatch Jaringan Anda VPC endpoint

Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Kebijakan titik akhir tidak membatalkan atau mengganti kebijakan pengguna IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.

Jika Anda tidak melampirkan kebijakan saat membuat titik akhir, Amazon VPC melampirkan kebijakan default untuk Anda yang memungkinkan akses penuh dan tidak membatasi akses ke layanan tertentu. Untuk keamanan tambahan, Anda dapat melampirkan kebijakan ke titik akhir untuk secara khusus membatasi akses ke fitur tersebut. Misalnya, untuk Internet Monitor, Anda dapat mengizinkan akses penuh hanya ke Internet Monitor dengan melampirkan kebijakan AWS terkelola yang memungkinkan akses penuh ke fitur tersebut. CloudWatchInternetMonitorFullAccess Atau, Anda dapat membatasi izin lebih lanjut hanya untuk tindakan tertentu untuk titik akhir.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

Berikut ini adalah contoh kebijakan endpoint yang dapat Anda buat untuk Network Flow Monitor untuk membatasi tindakan untuk titik akhir. Kebijakan ini memungkinkan permintaan ke Network Flow Monitor melalui VPC untuk hanya menggunakan Publish tindakan, yang memungkinkan permintaan untuk mempublikasikan metrik ke konsumsi backend Network Flow Monitor.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Jika Anda ingin menggunakan kebijakan titik akhir VPC tertentu dengan titik akhir VPC antarmuka untuk fitur Pemantauan Jaringan, gunakan langkah-langkah yang mirip dengan contoh berikut untuk menambahkan kebijakan untuk Monitor Aliran Jaringan.

Untuk mengedit kebijakan titik akhir VPC untuk Network Flow Monitor

Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
Di panel navigasi, pilih Titik akhir.
Jika Anda belum membuat endpoint untuk Internet Monitor, pilih Create endpoint.
Pilih com.amazonaws. region.networkflowmonitor, lalu pilih Create endpoint.
Pilih com.amazonaws. region.networkflowmonitor endpoint, lalu pilih tab Policy.
Pilih Edit kebijakan, lalu buat perubahan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS Security Hub

Pertimbangan keamanan untuk canary Synthetics