Usar o AWS X-Ray com VPC endpoints - AWS X-Ray

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar o AWS X-Ray com VPC endpoints

Se você usar o Amazon Virtual Private Cloud (Amazon VPC) para hospedar os recursos da AWS, poderá estabelecer uma conexão privada entre sua VPC e o X-Ray. Isso permite que os recursos do Amazon VPC se comuniquem com o serviço X-Ray sem passar pela internet pública.

A Amazon VPC é um AWS service (Serviço da AWS) que pode ser utilizado para iniciar os recursos da AWS em uma rede virtual definida por você. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar a VPC ao X-Ray, defina uma interface do endpoint da VPC. O endpoint fornece uma conectividade confiável e escalável ao X-Ray sem a necessidade de um gateway da Internet, de uma instância de conversão de endereços de rede (NAT) ou de uma conexão VPN. Para obter mais informações, consulte O que é a Amazon VPC? no Manual do usuário da Amazon VPC.

Os endpoints da VPC de interface são viabilizados pelo AWS PrivateLink, uma tecnologia da AWS que permite a comunicação privada entre os Serviços da AWS usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte a publicação de blog Apresentação do AWS PrivateLink para Serviços da AWS e Conceitos básicos do Manual do usuário do Amazon VPC.

Para garantir que você possa criar um endpoint da VPC para X-Ray na Região da AWS escolhida, consulte Supported Regions (Regiões compatíveis).

Criar um endpoint da VPC para o X-Ray

Para começar a usar o X-Ray com a VPC, crie um endpoint da VPC para o X-Ray.

  1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Navegue até Endpoints no painel de navegação e escolha Criar endpoint.

  3. Pesquise e selecione o nome do serviço AWS X-Ray: com.amazonaws.region.xray.

    Selecione o serviço.
  4. Selecione a VPC que você deseja e escolha uma sub-rede na VPC para usar o endpoint de interface. Uma interface de rede de endpoint é criada na sub-rede selecionada. Você pode especificar mais de uma sub-rede em diferentes zonas de disponibilidade (conforme compatível por serviço) para ajudar a garantir que seu endpoint de interface seja resiliente a falhas da zona de disponibilidade. Se você fizer isso, uma interface de rede é criada em cada sub-rede que você habilitar.

    Selecione sub-rede e VPC.
  5. (Opcional) O DNS privado é habilitado por padrão para o endpoint, para que você possa fazer solicitações ao X-Ray usando o nome de host do DNS padrão. Você pode optar por desabilitá-lo.

  6. Especifique os grupos de segurança a serem associados à interface de rede do endpoint.

    Selecione grupos de segurança.
  7. (Opcional) Especifique uma política personalizada para controlar as permissões de acesso ao serviço X-Ray. Por padrão, o acesso total é permitido.

Controlar o acesso ao endpoint da VPC do X-Ray

Uma política de VPC endpoint é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não associar uma política ao criar um endpoint, a Amazon VPC associará uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui políticas de usuário do IAM nem políticas de serviço específicas. É uma política separada para controlar o acesso do endpoint ao serviço especificado. Políticas de endpoint devem ser gravadas em formato JSON. Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Manual do usuário da Amazon VPC.

A política de endpoint da VPC permite que você controle permissões para várias ações do X-Ray. Por exemplo, você pode criar uma política para permitir somente PutTraceSegment e negar todas as outras ações. Isso restringe workloads e serviços na VPC para que enviem somente dados de rastreamento para o X-Ray e neguem qualquer outra ação, como recuperar dados, alterar a configuração de criptografia ou criar e atualizar grupos.

Veja a seguir um exemplo de uma política de endpoint para o X-Ray. Essa política permite que os usuários que se conectam ao X-Ray por meio da VPC enviem dados de segmento ao X-Ray e também os impede de executar outras ações do X-Ray.

{"Statement": [ {"Sid": "Allow PutTraceSegments", "Principal": "*", "Action": [ "xray:PutTraceSegments" ], "Effect": "Allow", "Resource": "*" } ] }
Como editar a política de endpoint da VPC para o X-Ray
  1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Se você ainda não criou o endpoint para o X-Ray, siga as etapas em Criar um endpoint da VPC para o X-Ray.

  4. Selecione o endpoint com.amazonaws.region.xray e escolha a guia Política.

  5. Escolha Edit Policy (Editar política) e faça as alterações.

Supported Regions (Regiões compatíveis)

No momento, o X-Ray comporta endpoints da VPC nas seguintes Regiões da AWS:

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Asia Pacific (Osaka)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Milão)

  • Europa (Paris)

  • Europa (Estocolmo)

  • Oriente Médio (Bahrein)

  • South America (São Paulo)

  • AWS GovCloud (Leste dos EUA)

  • AWS GovCloud (Oeste dos EUA)