使用 CloudWatch 和 CloudWatch Synthetics 與介面VPC端點 - Amazon CloudWatch
CloudWatchCloudWatch Synthetics

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CloudWatch 和 CloudWatch Synthetics 與介面VPC端點

如果您使用 Amazon Virtual Private Cloud(AmazonVPC)託管 AWS 資源, 你可以建立你的VPC, CloudWatch 和 CloudWatch Synthetics 之間的私人連接. 您可以使用這些連接來啟用 CloudWatch 和 CloudWatch Synthetics 與您的資源進行通信,VPC而無需通過公共互聯網。

Amazon VPC 是一個 AWS 您可以用來啟動的服務 AWS 您定義的虛擬網路中的資源。使用時VPC,您可以控制網路設定,例如 IP 位址範圍、子網路、路由表和網路閘道。要連接VPC到 CloudWatch 或 CloudWatch Synthetics,您可以定義一個接口VPC端點來連接到 VPC AWS 服務。端點提供可靠、可擴展的連接 CloudWatch 或 CloudWatch Synthetics,無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或VPN連線。有關更多信息,請參閱 Amazon 用VPC戶指南VPC中的 Amazon 是什麼

介面VPC端點由 AWS PrivateLink,一個 AWS 技術,使之間的私人通信 AWS 使用具有私有 IP 地址的 elastic network interface 的服務。如需詳細資訊,請參閱新增 — AWS PrivateLink for AWS 服務博客文章。

以下步驟適用於 Amazon 的用戶VPC。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的入門指南

CloudWatch VPC端點

CloudWatch 目前支援以下VPC端點 AWS 地區:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (香港)

  • Asia Pacific (Mumbai)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 中東 (UAE)

  • 南美洲 (聖保羅)

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

建立VPC端點 CloudWatch

若要開 CloudWatch 始使用VPC,VPC請為 CloudWatch. 要選擇的服務名稱為 com.amazonaws.region.monitoring。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點

您不需要變更的設定 CloudWatch。 CloudWatch 呼叫其他 AWS 使用公用端點或私有介面VPC端點 (以使用中為準) 的服務。例如,如果您建立的介面VPC端點 CloudWatch,且您已經有量度 CloudWatch 從位於您的資源流向VPC,則這些指標預設會開始流經介面VPC端點。

控制 CloudWatch VPC端點的存取

VPC端點策略是您在建立或修改端點時附加到端點的IAM資源策略。如果您在建立端點時未附加政策,Amazon 會為您VPC附加允許完整存取服務的預設政策。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點策略必須以JSON格式寫入。

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。

以下是的端點策略範例 CloudWatch。此原則允許使用者 CloudWatch 透過連線,將測量結果資料傳送VPC至, CloudWatch 並防止他們執行其他 CloudWatch 動作。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
若要編輯的VPC端點策略 CloudWatch

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中選擇端點

  3. 如果尚未為其建立端點 CloudWatch,請選擇「建立端點」。選擇喜歡.region. 監視,然後選擇 [建立端點]。

  4. 選擇喜歡的.region. 監控端點,然後選擇策略索引標籤。

  5. 選擇 Edit Policy (編輯政策),然後進行變更。

CloudWatch Synthetics 端VPC點

CloudWatch Synthetics 目前支持以下VPC端點 AWS 地區:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (香港)

  • Asia Pacific (Mumbai)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 南美洲 (聖保羅)

為 CloudWatch Syn VPC thetics 建端點

要開始使用 CloudWatch SyntheticsVPC,請為 S CloudWatch ynthetics 創建一個接口VPC端點。要選擇的服務名稱為 com.amazonaws.region.synthetics。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點

您不需要變更「 CloudWatch Synthetics」的設定。 CloudWatch Synthetics 與其他溝通 AWS 使用公用端點或私有介面VPC端點 (以使用中為準) 的服務。例如,如果您為 CloudWatch 合成材料建立了一個介面VPC端點,並且已經有適用於 Amazon S3 的介面端點,則 CloudWatch Synthetics 預設會開始透過介面VPC端點與 Amazon S3 進行通訊。

控制對 CloudWatch Synthetics VPC 端點的訪問

VPC端點策略是您在建立或修改端點時附加到端點的IAM資源策略。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點策略會影響由VPC私人管理的金絲雀。在私有子網路上執行的 canary 不需要它們。

端點策略必須以JSON格式寫入。

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。

以下是 S CloudWatch ynthetics 的端點策略示例。此原則可讓使用者透過連線至 CloudWatch Synthetics,以檢視有關 Canaries 及其執行的資訊,但不能建立、修改或刪除金絲雀。VPC

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
編輯 S CloudWatch ynthetics 的VPC端點策略

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中選擇端點

  3. 如果尚未建立「 CloudWatch Synthetics」的端點,請選擇「建立端點」。選擇喜歡.region. 合成,然後選擇 [建立端點]。

  4. 選擇喜歡的.region。合成端點,然後選擇策略選項卡。

  5. 選擇 Edit Policy (編輯政策),然後進行變更。