Die Verwendung von CloudWatch, CloudWatch Synthetics und CloudWatch Network Monitoring mit Schnittstellen-VPC-Endpunkten
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS-Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC, CloudWatch, CloudWatch Synthetics und CloudWatch Network Monitoring herstellen. Sie können diese Verbindungen verwenden, um diesen Services die Kommunikation mit den Ressourcen in der VPC zu ermöglichen, ohne das öffentliche Internet verwenden zu müssen.
Amazon VPC ist ein AWS-Service, den Sie verwenden können, um AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk auszuführen. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Zum Herstellen einer Verbindung der VPC mit CloudWatch-Services definieren Sie einen Schnittstellen-VPC-Endpunkt für die VPC. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu CloudWatch und unterstützten CloudWatch-Services, ohne dass ein Internet-Gateway, eine NAT-Instance (Network Address Translation) oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter Was ist Amazon VPC im Benutzerhandbuch zu Amazon VPC.
Schnittstellen-VPC-Endpunkte werden über AWS PrivateLink bereitgestellt, eine AWS-Technologie, die eine private Kommunikation zwischen AWS-Services unter Verwendung einer Elastic Network-Schnittstelle mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie im folgenden Blogbeitrag Neu – AWS PrivateLink für AWS-Services
Die folgenden Schritte sind für Benutzer von Amazon VPC vorgesehen. Weitere Informationen finden Sie unter Erste Schritte im Amazon VPC Benutzerhandbuch.
CloudWatch VPC-Endpunkte
CloudWatch unterstützt derzeit VPC-Endpunkte, einschließlich reiner IPv6-Endpunkte und Dual-Stack-fähiger Endpunkte, in allen AWS-Regionen, unter anderem AWS-GovCloud-Regionen (USA). Weitere Informationen über Endpunkte-URLs finden Sie unter CloudWatch-Endpunkte und -Kontingente.
Erstellen des VPC-Endpunkts für CloudWatch
Um CloudWatch mit Ihrer VPC zu nutzen, erstellen Sie zunächst einen Schnittstellen-VPC-Endpunkt für CloudWatch. Der zu wählende Service-Name lautet com.amazonaws.. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.region.monitoring
Sie müssen die Einstellungen für CloudWatch nicht ändern. CloudWatch ruft andere AWS-Services entweder über öffentliche Endpunkte oder über VPC-Endpunkte mit privater Schnittstelle auf, je nachdem, was gerade verwendet wird. Wenn Sie beispielsweise einen Schnittstellen-VPC-Endpunkt für CloudWatch erstellen und bereits aus anderen Ressourcen in Ihrer VPC Metriken an CloudWatch senden, werden diese Metriken standardmäßig über den Schnittstellen-VPC-Endpunkt gesendet.
Kontrolle des Zugriffs auf Ihren CloudWatch VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für CloudWatch. Diese Richtlinie ermöglicht es Benutzern, eine Verbindung zu CloudWatch über die VPC zum Senden von Metrikdaten an CloudWatch herzustellen und hindert sie daran, andere CloudWatch-Aktionen auszuführen.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "cloudwatch:PutMetricData" ], "Effect": "Allow", "Resource": "*" } ] }
So bearbeiten Sie die VPC-Endpunktrichtlinie für CloudWatch
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Sofern Sie nicht bereits den Endpunkt für CloudWatch erstellt haben, wählen Sie Endpunkt erstellen aus. Wählen Sie com.amazonaws.
Region.monitoring und danach Create endpoint (Endpunkt erstellen) aus.Wählen Sie den Endpunkt com.amazonaws.
region.monitoring und dann die Registerkarte Policy (Richtlinie) aus.-
Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.
CloudWatch Synthetics VPC-Endpunkt
Zurzeit unterstützt CloudWatch-Synthetics-VPC-Endpunkte in den folgenden AWS-Regionen:
US East (Ohio)
USA Ost (Nord-Virginia)
USA West (Nordkalifornien)
USA West (Oregon)
Asien-Pazifik (Hongkong)
Asien-Pazifik (Mumbai)
Asia Pacific (Seoul)
Asien-Pazifik (Singapur)
Asien-Pazifik (Sydney)
Asien-Pazifik (Tokio)
Canada (Central)
Europe (Frankfurt)
Europa (Irland)
Europa (London)
Europe (Paris)
Südamerika (São Paulo)
Erstellen eines VPC-Endpunkt für CloudWatch Synthetics
Um CloudWatch Synthetics mit Ihrer VPC zu verwenden, erstellen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Synthetics. Der zu wählende Service-Name lautet com.amazonaws.. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.region.synthetics
Sie müssen die Einstellungen für CloudWatch Synthetics nicht ändern. CloudWatch Synthetics kommuniziert mit anderen AWS-Services entweder über öffentliche Endpunkte oder private Schnittstellen-VPC-Endpunkte, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen Schnittstellen-VPC-Endpunkt für CloudWatch Synthetics erstellen und Sie bereits über einen Schnittstellen-Endpunkt für Amazon S3 verfügen, beginnt Synthetics standardmäßig die Kommunikation mit Amazon S3 über den Schnittstellen-VPC-Endpunkt.
Steuern des Zugriffs auf Ihren CloudWatch Synthetics-VPC-Endpunkt
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, wird ihm eine Standardrichtlinie mit Vollzugriff auf den Service zugeordnet. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunkt-Richtlinien wirken sich auf Canarys aus, die privat von der VPC verwaltet werden. Sie werden nicht für Canarys benötigt, die in privaten Subnetzen ausgeführt werden.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für CloudWatch Synthetics. Diese Richtlinie ermöglicht es Benutzern, die sich über die VPC mit CloudWatch Synthetics verbinden, Informationen über Canarys und ihre Ausführung anzuzeigen, jedoch keine Canarys zu erstellen, zu ändern oder zu löschen.
{ "Statement": [ { "Action": [ "synthetics:DescribeCanaries", "synthetics:GetCanaryRuns" ], "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
So bearbeiten Sie die VPC-Endpunktrichtlinie für CloudWatch Synthetics
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Sofern Sie nicht bereits den Endpunkt für CloudWatch Synthetics erstellt haben, wählen Sie Endpunkt erstellen aus. Wählen Sie com.amazonaws.
region.synthetics und dann die Option Create endpoint (Endpunkt erstellen) aus.Wählen Sie den Endpunkt com.amazonaws.
region.synthetics und dann die Registerkarte Richtlinie aus.-
Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.
Feature CloudWatch Network Monitoring für VPC-Endpunkte
CloudWatch Network Monitoring umfasst die folgenden Funktionen: Network Flow Monitor, Internet Monitor und Network Synthetic Monitor. Diese Funktionen unterstützen jeweils VPC-Endpunkte in den AWS-Regionen, in denen das Feature Network Monitoring unterstützt wird.
Eine Liste der unterstützten Regionen für jedes Feature von Network Monitoring finden Sie unter den folgenden Themen:
Network Flow Monitor: Unterstützte AWS-Regionen für Network Flow Monitor
Internet Monitor: Unterstützte AWS-Regionen für Internet Monitor
Network Synthetic Monitor: Unterstützte AWS-Regionen für Network Synthetic Monitor
Erstellen des VPC-Endpunkts für ein Feature von CloudWatch Network Monitoring
Um Features von CloudWatch Network Monitoring mit Ihrer VPC zu nutzen, erstellen Sie einen Schnittstellen-VPC-Endpunkt für das zu verwendende Feature. Für Network Monitoring sind folgende Servicenamen verfügbar:
com.amazonaws.region.networkflowmonitorcom.amazonaws.region.networkflowmonitorreportscom.amazonaws.region.internetmonitorcom.amazonaws.region.internetmonitor-fipscom.amazonaws.region.networkmonitor
Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.
Sie müssen die Einstellungen für Services von Network Monitoring nicht ändern. Services von Network Monitoring kommunizieren mit anderen AWS-Services entweder über öffentliche Endpunkte oder private Schnittstellen-VPC-Endpunkte, je nachdem, welche verwendet werden. Wenn Sie beispielsweise einen Schnittstellen-VPC-Endpunkt für einen Service von Network Monitoring erstellen und bereits aus anderen Ressourcen in Ihrer VPC Metriken an den Service senden, werden diese Metriken standardmäßig über den Schnittstellen-VPC-Endpunkt gesendet.
Kontrolle des Zugriffs auf Ihre VPC-Endpunkte mit dem Feature CloudWatch Network Monitoring
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. -Benutzerrichtlinien oder servicespezifische Richtlinien werden durch Endpunktrichtlinien nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff zu und schränkt den Zugriff auf einen bestimmten Service nicht ein. Für zusätzliche Sicherheit können Sie eine Richtlinie an den Endpunkt anhängen, um den Zugriff auf das Feature gezielt zu beschränken. Für Internet Monitor könnten Sie beispielsweise Vollzugriff nur auf Internet Monitor gewähren, indem Sie der verwalteten AWS-Richtlinie, die den vollen Zugriff auf die Funktion ermöglicht, CloudWatchInternetMonitorFullAccess, anhängen. Oder Sie können die Berechtigungen auf bestimmte Aktionen für den Endpunkt weiter beschränken.
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.
Nachfolgend finden Sie ein Beispiel für eine Endpunktrichtlinie, die Sie für Network Flow Monitor erstellen können, um Aktionen für den Endpunkt einzuschränken. Diese Richtlinie ermöglicht Anfragen an Network Flow Monitor über die VPC nur die Verwendung der Publish-Aktion, mit deren Hilfe Anfragen Metriken für die Backend-Erfassung von Network Flow Monitor veröffentlichen können.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "networkflowmonitor:Publish", "Resource": "*" } ] }
Wenn Sie eine bestimmte VPC-Endpunktrichtlinie mit einem Schnittstellen-VPC-Endpunkt für ein Feature von Network Monitoring verwenden möchten, nutzen Sie zum Hinzufügen einer Richtlinie für Network Flow Monitor ähnliche Schritte wie im folgenden Beispiel.
So bearbeiten Sie eine VPC-Endpunktrichtlinie für Network Flow Monitor
Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie im Navigationsbereich Endpunkte aus.
Sofern Sie nicht bereits den Endpunkt für Internet Monitor erstellt haben, wählen Sie Endpunkt erstellen aus.
Wählen Sie com.amazonaws.
region.networkflowmonitor, und danach Endpunkt erstellen aus.Wählen Sie den Endpunkt com.amazonaws.
region.networkflowmonitor und dann die Registerkarte Richtlinie aus.-
Klicken Sie auf Richtlinie bearbeiten und nehmen Sie Ihre Änderungen vor.
