Utilizzo dei CloudWatch log con endpoint VPC di interfaccia - CloudWatch Registri Amazon
DisponibilitàCreazione di un endpoint VPC per i log CloudWatch Verifica della connessione tra il tuo VPC e Logs CloudWatch Controllo dell'accesso all'endpoint VPC CloudWatch LogsSupporto delle chiavi di contesto VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei CloudWatch log con endpoint VPC di interfaccia

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e Logs. CloudWatch Puoi utilizzare questa connessione per inviare log a CloudWatch Logs senza inviarli tramite Internet.

Amazon VPC è un AWS servizio che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il tuo VPC ai CloudWatch log, definisci un endpoint VPC di interfaccia per Logs. CloudWatch Questo tipo di endpoint consente di collegare il VPC ai servizi AWS . L'endpoint fornisce una connettività affidabile e scalabile ai CloudWatch log senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.

Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra AWS i servizi utilizzando un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, vedere New — AWS PrivateLink for AWS Services.

Le fasi seguenti sono per gli utenti Amazon VPC. Per ulteriori informazioni, consulta l'argomento relativo alle nozioni di base nella Guida per l'utente di Amazon VPC.

Disponibilità

CloudWatch Logs attualmente supporta gli endpoint VPC in AWS tutte le regioni, incluse le regioni. AWS GovCloud (US)

Creazione di un endpoint VPC per i log CloudWatch

Per iniziare a utilizzare CloudWatch Logs con il tuo VPC, crea un endpoint VPC di interfaccia per Logs. CloudWatch Il servizio da scegliere è com.amazonaws.Region.logs. Non è necessario modificare alcuna impostazione per Logs. CloudWatch Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

Verifica della connessione tra il tuo VPC e Logs CloudWatch

Dopo aver creato l'endpoint, è possibile testare la connessione.

Per testare la connessione tra il tuo VPC e l'endpoint Logs CloudWatch

  1. Connettiti a un'istanza Amazon EC2 che risiede nel tuo VPC. Per informazioni sulla connessione, consulta Connessione all'istanza Linux o Connessione all'istanza Windows nella documentazione Amazon EC2.

  2. Dall'istanza, usa AWS CLI per creare una voce di registro in uno dei gruppi di log esistenti.

    Prima di tutto, creare un file JSON con un evento di log. Il timestamp deve essere specificato come numero di millisecondi dopo il 1° gennaio 1970 alle 00:00:00 UTC.

    [
  {
    "timestamp": 1533854071310,
    "message": "VPC Connection Test"
  }
]

    Quindi, utilizzare il comando put-log-events per creare la voce di log:

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    Se la risposta al comando include nextSequenceToken, il comando è riuscito e l'endpoint VPC sta funzionando.

Controllo dell'accesso all'endpoint VPC CloudWatch Logs

Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy IAM o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.

Le policy endpoint devono essere scritte in formato JSON.

Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Di seguito è riportato un esempio di policy sugli endpoint per Logs. CloudWatch Questa policy consente agli utenti che si connettono ai CloudWatch log tramite il VPC di creare flussi di log e inviare log CloudWatch ai log, e impedisce loro di eseguire altre azioni di log. CloudWatch 

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Per modificare la policy degli endpoint VPC per Logs CloudWatch

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Se non hai ancora creato l'endpoint for CloudWatch Logs, scegli Crea endpoint. Quindi seleziona com.amazonaws.Region.logs e scegli Create endpoint (Crea endpoint).

  4. Seleziona l'endpoint com.amazonaws.Region.logs e scegli la scheda Policy nella parte inferiore dello schermo.

  5. Scegli Edit Policy (Modifica policy) e apporta le modifiche alla policy.

Supporto delle chiavi di contesto VPC

CloudWatch Logs supporta aws:SourceVpc le chiavi di aws:SourceVpce contesto che possono limitare l'accesso a VPC o endpoint VPC specifici. Queste chiavi funzionano solo se l'utente utilizza endpoint VPC. Per ulteriori informazioni, consulta Chiavi disponibili per alcuni servizi nella Guida per l'utente di IAM.