インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用 - Amazon CloudWatch
クラウドWatchCloudWatch SyntheticsCloudWatch Network Monitoring

インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、VPC、CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の各機能間のプライベート接続を確立できます。これらの接続を使用すると、これらのサービスはパブリックインターネットを経由せずに、VPC 内のリソースと通信できます。

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を CloudWatch サービスに接続するには、VPC のインターフェイス VPC エンドポイントを定義します。このエンドポイントを使用すると、インターネットゲートウェイも、ネットワークアドレス変換 (NAT) インスタンスも、VPN 接続も必要とせずに、信頼性の高いスケーラブルな方法で CloudWatch やサポートされている CloudWatch サービスに接続できます。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink を利用しています。これは、Elastic Network Interface とプライベート IP アドレスを使用して AWS のサービス間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、ブログ記事の「最新情報 - AWS サービスの AWS PrivateLink」を参照してください。

以下の手順は、Amazon VPC のユーザー向けです。詳細については、『Amazon VPC ユーザーガイド』の「開始方法」を参照してください。

CloudWatch VPC エンドポイント

現在、CloudWatch は以下の AWS リージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 中東 (UAE)

  • 南米 (サンパウロ)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

CloudWatch 用の VPC エンドポイントの作成

VPC で CloudWatch の使用を開始するには、CloudWatch のインターフェイス VPC エンドポイントを作成します。サービス名として com.amazonaws.region.monitoring を選択します。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

CloudWatch の設定を変更する必要はありません。CloudWatch は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使用して、他の AWS サービスを呼び出します。例えば、CloudWatch のインターフェイス VPC エンドポイントを作成し、VPC にあるリソースから CloudWatch に流れているメトリクスが既にある場合、それらのメトリクスはデフォルトでインターフェイス VPC エンドポイントを通じて流れ始めます。

CloudWatch の VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーが Amazon VPC によって自動的にアタッチされます。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

評価項目のポリシーは、JSON形式で記載する必要があります。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

CloudWatch のエンドポイントポリシーの例を次に示します。このポリシーは、VPC を介して CloudWatch に接続するユーザーに対して、CloudWatch にメトリクスデータを送信することを許可し、他の CloudWatch アクションを実行することを禁止します。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
CloudWatch の VPC エンドポイントポリシーを編集するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. CloudWatch のエンドポイントをまだ作成していない場合は、[エンドポイントの作成] を選択します。[com.amazonaws.region.monitoring] を選択し、[エンドポイントの作成] を選択します。

  4. [com.amazonaws.region.monitoring] エンドポイントを選択し、[ポリシー] タブを選択します。

  5. [ポリシーを編集] を選択し、変更を加えます。

CloudWatch Synthetics の VPC エンドポイント

現在、CloudWatch Synthetics は次の AWS リージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 南米 (サンパウロ)

CloudWatch Synthetics の VPC エンドポイントの作成

VPC で CloudWatch Synthetics の使用を開始するには、CloudWatch Synthetics 用のインターフェイス VPC エンドポイントを作成します。サービス名として com.amazonaws.region.synthetics を選択します。詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

CloudWatch Synthetics の設定を変更する必要はありません。CloudWatch Synthetics は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち、いずれか使用中のエンドポイントを使用して、他の AWS サービスと通信します。例えば、CloudWatch Synthetics 用のインターフェイス VPC エンドポイントを作成する場合、Amazon S3 用のインターフェイスエンドポイントが既にあると、CloudWatch Synthetics はデフォルトでインターフェイス VPC エンドポイントを介して Amazon S3 との通信を開始します。

CloudWatch Synthetics の VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントにアタッチする IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、エンドポイントから指定されたサービスへのアクセスを制御するための別のポリシーです。

エンドポイントポリシーは、VPC によって非公開で管理される Canary に影響します。プライベートサブネットで実行される Canary には必要ありません。

エンドポイントのポリシーは、JSON 形式で記述される必要があります。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

CloudWatch Synthetics のエンドポイントポリシーの例を次に示します。このポリシーを使用すると、VPC を介して CloudWatch Synthetics に接続するユーザーは、Canary とその実行に関する情報は表示できますが、Canary を作成、変更、または削除することはできません。

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
CloudWatch Synthetics の VPC エンドポイントポリシーを編集するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. CloudWatch Synthetics のエンドポイントをまだ作成していない場合は、[エンドポイントの作成] を選択します。[com.amazonaws.region.synthetics] を選択し、[エンドポイントの作成] を選択します。

  4. com.amazonaws.region.synthetics エンドポイントを選択し、[ポリシー] タブを選択します。

  5. [ポリシーを編集] を選択し、変更を加えます。

CloudWatch Network Monitoring 機能の VPC エンドポイント

CloudWatch Network Monitoring には、Network Flow Monitor、Internet Monitor、Network Synthetic Monitor の機能が含まれています。これらの機能はそれぞれ、ネットワークモニタリング機能がサポートされている AWS リージョンで VPC エンドポイントをサポートします。

各ネットワークモニタリング機能でサポートされているリージョンのリストを確認するには、以下のトピックを参照してください。

CloudWatch Network Monitoring 機能の VPC エンドポイントの作成

VPC で CloudWatch Network Monitoring 機能の使用を開始するには、使用する機能のインターフェイス VPC エンドポイントを作成します。Network Monitoring では、次のサービス名を使用できます。

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

詳細については、 Amazon VPC ユーザーガイド のインターフェイスエンドポイントの作成を参照してください。

Network Monitoring サービスの設定を変更する必要はありません。Network Monitoring サービスは、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち、いずれか使用中のエンドポイントを使用して、他の AWS サービスと通信します。例えば、Network Monitoring サービスのインターフェイス VPC エンドポイントを作成し、VPC にあるリソースからサービスにメトリクスが既に流れている場合、それらのメトリクスはデフォルトでインターフェイス VPC エンドポイントを通じて流れ始めます。

CloudWatch Network Monitoring 機能の VPC エンドポイントへのアクセスの制御

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントに加える IAM リソースポリシーです。エンドポイントポリシーは、 ユーザーポリシーやサービス固有のポリシーを上書き、または置き換えません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

エンドポイントの作成時にポリシーをアタッチしない場合、Amazon VPC によって、サービスへのフルアクセスを許可するデフォルトのポリシーが自動的にアタッチされ、特定のサービスへのアクセス制限はなくなります。セキュリティを強化するために、エンドポイントにポリシーをアタッチして、機能へのアクセスを個別に制限できます。例えば、Internet Monitor では、CloudWatchInternetMonitorFullAccess 機能へのフルアクセスを有効にする AWS 管理ポリシーをアタッチすることで、Internet Monitor へのフルアクセスを許可できます。または、アクセス許可をさらに制限してエンドポイントの特定のアクションのみにすることもできます。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

以下は、Network Flow Monitor がエンドポイントのアクションを制限するために作成できるエンドポイントポリシーの例です。このポリシーは、VPC 経由での Network Flow Monitor へのリクエストが Publish アクションのみを使用することを許可します。このアクションにより、リクエストは Network Flow Monitor バックエンド取り込みにメトリクスを発行できます。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Network Monitoring 機能のインターフェイス VPC エンドポイントで特定の VPC エンドポイントポリシーを使用する場合は、Network Flow Monitor のポリシーを追加するために、次の例のような手順を使用します。

Network Flow Monitor の VPC エンドポイントポリシーを編集するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. Internet Monitor のエンドポイントをまだ作成していない場合は、[エンドポイントの作成] を選択します。

  4. com.amazonaws.region.networkflowmonitor を選択し、[エンドポイントの作成] を選択します。

  5. com.amazonaws.region.networkflowmonitor エンドポイントを選択し、[ポリシー] タブを選択します。

  6. [ポリシーを編集] を選択し、変更を加えます。