Amazon CloudWatch のインフラストラクチャセキュリティ

マネージドサービスである Amazon CloudWatch は、AWS グローバルネットワークセキュリティによって保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWSクラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、セキュリティの柱 - AWS Well-Architected Frameworkのインフラストラクチャ保護を参照してください。

AWS が発行した API 呼び出しを使用して、ネットワーク経由で CloudWatch にアクセスします。クライアントは以下をサポートする必要があります:

Transport Layer Security (TLS)。TLS 1.2 は必須で TLS 1.3 がお勧めです。
DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。

また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

ネットワークの隔離

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。サブネットは、ある範囲の IP アドレスが示す VPC 内の領域です。VPC のサブネットに、さまざまな AWS リソースをデプロイできます。たとえば、サブネットに Amazon EC2 インスタンス、EMR クラスター、および DynamoDB テーブルをデプロイできます。詳細については、Amazon VPC ユーザーガイドを参照してください。

CloudWatch がパブリックインターネットを経由せずに VPC 内のリソースと通信できるようにするには、AWS PrivateLink を使用します。詳細については、「インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用」を参照してください。

プライベートサブネットは、パブリックインターネットへのデフォルトルートを持たないサブネットです。プライベートサブネットに AWS リソースをデプロイしても、Amazon CloudWatch がリソースから組み込みメトリクスを収集するのを防ぐことはできません。

プライベートサブネットの AWS リソースからカスタムメトリクスを発行する必要がある場合は、プロキシサーバーを使用して発行できます。プロキシサーバーは、これらの HTTPS 要求を CloudWatch のパブリック API エンドポイントに転送します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

レジリエンス

AWS Security Hub