インターフェイス VPC エンドポイントでの CloudWatch ログの使用 - Amazon CloudWatch Logs
可用性 CloudWatch Logs 用の VPC エンドポイントの作成VPC と CloudWatch Logs 間の接続のテスト CloudWatch Logs VPC エンドポイントへのアクセスの制御VPC コンテキストキーのサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイントでの CloudWatch ログの使用

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、VPC と CloudWatch Logs の間にプライベート接続を確立できます。この接続を使用すると、インターネット経由でログを送信せずにログを CloudWatch Logs に送信できます。

Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を CloudWatch Logs に接続するには、 CloudWatch Logs のインターフェイス VPC エンドポイントを定義します。このタイプのエンドポイントにより、VPC を AWS のサービスに接続できるようになります。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせずに、信頼性が高くスケーラブルな CloudWatch Logs への接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink、Elastic Network Interface とプライベート IP アドレスを使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーである を利用しています。詳細については、「New – for AWS Services AWS PrivateLink」を参照してください。

以下の手順は、Amazon VPC のユーザー向けです。詳細については、『Amazon VPC ユーザーガイド』の「開始方法」を参照してください。

可用性

CloudWatch ログは現在、 AWS リージョンを含むすべての AWS GovCloud (US) リージョンで VPC エンドポイントをサポートしています。

CloudWatch Logs 用の VPC エンドポイントの作成

VPC で CloudWatch Logs の使用を開始するには、Logs 用のインターフェイス VPC CloudWatch エンドポイントを作成します。選択するサービスは、[com.amazonaws.Region.logs] です。 CloudWatch ログの設定は変更する必要はありません。詳細については、『Amazon VPC ユーザーガイド』の「インターフェイスエンドポイントの作成」を参照してください。

VPC と CloudWatch Logs 間の接続のテスト

エンドポイントの作成が完了したら、接続をテストできます。

VPC と CloudWatch Logs エンドポイント間の接続をテストするには

  1. VPC にある Amazon EC2 インスタンスに接続します。接続の詳細については、Amazon EC2 ドキュメントの Linux インスタンスへの接続または Windows インスタンスへの接続を参照してください。

  2. インスタンスから、 AWS CLI を使用して既存のロググループの 1 つにログエントリを作成します。

    まず、ログイベントを持つ JSON ファイルを作成します。タイムスタンプは、1970 年 1 月 1 日 00:00:00 UTC からの経過ミリ秒数で指定する必要があります。

    [
  {
    "timestamp": 1533854071310,
    "message": "VPC Connection Test"
  }
]

    次に、put-log-events コマンドを使用してログエントリを作成します。

    aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName

    コマンドに対する応答に nextSequenceToken が含まれていた場合、コマンドは成功しており VPC エンドポイントが機能しています。

CloudWatch Logs VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントに加える国際機械技術者協会 (IAM) のリソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、IAM ポリシーやサービス固有のポリシーを上書き、または置き換えたりするものではありません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

評価項目のポリシーは、JSON形式で記載する必要があります。

詳細については、「Amazon VPCユーザーガイド」の「VPC評価項目によるサービスのアクセス制御」を参照してください。

CloudWatch ログのエンドポイントポリシーの例を次に示します。このポリシーにより、VPC 経由で CloudWatch Logs に接続するユーザーはログストリームを作成し、ログを CloudWatch Logs に送信できます。また、他の CloudWatch Logs アクションを実行することはできません。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
CloudWatch Logs の VPC エンドポイントポリシーを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. CloudWatch ログのエンドポイントをまだ作成していない場合は、エンドポイントの作成を選択します。次に、[com.amazonaws.Region.logs] を選択し、[エンドポイントの作成] を選択します。

  4. [com.amazonaws.Region.logs] エンドポイントを選択し、画面の下部で [ポリシー] タブを選択します。

  5. [ポリシーの編集] を選択してポリシーを変更します。

VPC コンテキストキーのサポート

CloudWatch ログは、特定の VPCsまたは特定の VPC エンドポイントへのアクセスを制限できる aws:SourceVpcおよび aws:SourceVpceコンテキストキーをサポートします。これらのキーは、ユーザーが VPC エンドポイントを使用している場合にのみ使用できます。詳細については、「IAM ユーザーガイド」の「一部のサービスに使用可能なキー」を参照してください。