Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von CloudWatch Protokollen mit VPC-Endpunkten der Schnittstelle
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und CloudWatch Logs herstellen. Sie können diese Verbindung verwenden, um Protokolle an Logs zu CloudWatch senden, ohne sie über das Internet zu senden. CloudWatch Logs unterstützt IPv4 VPC-Endpunkte in allen Regionen und unterstützt IPv6 Endpunkte in allen Regionen außer Asien-Pazifik (Malaysia), Asien-Pazifik (Thailand) und Mexiko (Zentral).
Amazon VPC ist ein AWS Service, mit dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit CloudWatch Logs zu verbinden, definieren Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs. Mit dieser Art Endpunkt können Sie Ihre VPC mit AWS -Services verbinden. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu CloudWatch Logs, ohne dass ein Internet-Gateway, eine NAT-Instanz (Network Address Translation) oder eine VPN-Verbindung erforderlich sind. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.
Schnittstelle, auf der VPC-Endpunkte basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen AWS Diensten über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter Neu — AWS PrivateLink für AWS Dienste
Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.
Verfügbarkeit
CloudWatch Logs unterstützt derzeit VPC-Endpunkte in allen AWS Regionen, einschließlich der AWS GovCloud (US) Regionen.
Einen VPC-Endpunkt für CloudWatch Logs erstellen
Um CloudWatch Logs mit Ihrer VPC zu verwenden, erstellen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs. Der Service, den Sie wählen können, ist com.amazonaws. Region.logs. Sie müssen keine Einstellungen für CloudWatch Logs ändern. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im Amazon VPC Leitfaden.
Testen der Verbindung zwischen Ihrer VPC und Logs CloudWatch
Nachdem Sie den Endpunkt erstellt haben, können Sie die Verbindung testen.
Um die Verbindung zwischen Ihrer VPC und Ihrem CloudWatch Logs-Endpunkt zu testen
-
Stellen Sie eine Connect zu einer EC2 Amazon-Instance her, die sich in Ihrer VPC befindet. Informationen zum Herstellen einer Verbindung finden Sie unter Connect to Your Linux Instance oder Connecting to Your Windows Instance in der EC2 Amazon-Dokumentation.
Verwenden Sie von der Instance aus, AWS CLI um einen Protokolleintrag in einer Ihrer vorhandenen Protokollgruppen zu erstellen.
Zuerst erstellen Sie eine JSON-Datei mit einem Protokollereignis. Der Zeitstempel muss als Millisekunden seit dem 1. Januar 1970 00:00:00 UTC angegeben werden.
[ { "timestamp": 1533854071310, "message": "VPC Connection Test" } ]Verwenden Sie anschließend den
put-log-events-Befehl zum Erstellen des Protokolleintrags:aws logs put-log-events --log-group-nameLogGroupName--log-stream-nameLogStreamName--log-events file://JSONFileNameWenn die Antwort auf den Befehl
nextSequenceTokenenthält, war der Befehl erfolgreich und Ihr VPC-Endpunkt funktioniert.
Steuern des Zugriffs auf Ihren CloudWatch Logs-VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. IAM-Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für CloudWatch Logs. Diese Richtlinie ermöglicht Benutzern, die über die VPC eine Verbindung zu CloudWatch Logs herstellen, Log-Streams zu erstellen und Logs an CloudWatch Logs zu senden, und verhindert, dass sie andere CloudWatch Logs-Aktionen ausführen.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Effect": "Allow", "Resource": "*" } ] }
So ändern Sie die VPC-Endpunktrichtlinie für Logs CloudWatch
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Wenn Sie den Endpunkt für CloudWatch Logs noch nicht erstellt haben, wählen Sie Create Endpoint aus. Wählen Sie dann com.amazonaws aus.
Region.logs und wählen Sie Create Endpoint.Wählen Sie com.amazonaws aus.
Region.logs-Endpunkt und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte Richtlinie aus.-
Wählen Sie Richtlinie bearbeiten und nehmen Sie die Änderungen an der Richtlinie vor.
Support für VPC-Kontextschlüssel
CloudWatch Logs unterstützt die Schlüssel aws:SourceVpc und die aws:SourceVpce Kontextschlüssel, die den Zugriff auf bestimmte VPCs oder spezifische VPC-Endpunkte einschränken können. Diese Schlüssel funktionieren nur, wenn der Benutzer VPC-Endpunkte verwendet. Weitere Informationen finden Sie unter Schlüssel, die für manche Services verfügbar sind im IAM-Benutzerhandbuch.
