# Amazon CloudWatch のインフラストラクチャセキュリティ
<a name="infrastructure-security"></a>

マネージドサービスである Amazon CloudWatch は、AWS グローバルネットワークセキュリティによって保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、[AWS クラウドセキュリティ](https://aws.amazon.com/security/) を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには *セキュリティの柱 - AWS 適切なアーキテクチャを備えたフレームワーク* の [インフラストラクチャの保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) を参照してください。

AWS が発行した API 呼び出しを使用して、ネットワーク経由で CloudWatch にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

## ネットワークの隔離
<a name="network-isolation"></a>

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。サブネットはある範囲の IP アドレスが示す VPC 内の領域です。VPC のサブネットに、さまざまな AWS リソースをデプロイできます。たとえば、サブネットに Amazon EC2 インスタンス、EMR クラスター、および DynamoDB テーブルをデプロイできます。詳細については、[Amazon VPC ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/)を参照してください。

CloudWatch がパブリックインターネットを経由せずに VPC 内のリソースと通信できるようにするには、AWS PrivateLink を使用します。詳細については、「[インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用](cloudwatch-and-interface-VPC.md)」を参照してください。

プライベートサブネットは、パブリックインターネットへのデフォルトルートを持たないサブネットです。プライベートサブネットに AWS リソースをデプロイしても、Amazon CloudWatch がリソースから組み込みメトリクスを収集するのを防ぐことはできません。

プライベートサブネットの AWS リソースからカスタムメトリクスを発行する必要がある場合は、プロキシサーバーを使用して発行できます。プロキシサーバーは、これらの HTTPS 要求を CloudWatch のパブリック API エンドポイントに転送します。