CloudWatch CloudWatch Synthetics Monitor de red de CloudWatch

Uso de CloudWatch, CloudWatch Synthetics y CloudWatch Network Monitoring con los puntos de conexión de VPC de tipo interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar los recursos de AWS, puede establecer una conexión privada entre la VPC, CloudWatch, CloudWatch Synthetics y las características de CloudWatch Network Monitoring. Puede utilizar estas conexiones para permitir que estos servicios se comuniquen con sus recursos en su VPC sin pasar por la red pública de Internet.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtual que defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de ruteo y las gateways de red. Si desea conectar la VPC con servicios de CloudWatch, puede definir un punto de conexión de VPC de tipo interfaz para conectar la VPC. El punto de conexión ofrece conectividad escalable de confianza con CloudWatch y servicios de CloudWatch compatibles sin necesidad de utilizar una puerta de enlace de Internet, una instancia (NAT) de traducción de dirección de red o una conexión de VPN. Para obtener más información, consulte ¿Qué es Amazon VPC en la Guía del usuario de Amazon VPC.

Los puntos de conexión de VPC de tipo interfaz utilizan la tecnología de AWSPrivateLink, una tecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte la siguiente publicación de blog New – AWS PrivateLink for AWS Services

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulte Introducción en la Guía del usuario de Amazon VPC.

Puntos de conexión de VPC de CloudWatchpunto de conexión de VPC

CloudWatch actualmente admite puntos de enlace de la VPC en las siguientes Regiones de AWS:

Este de EE. UU. (Ohio)
Este de EE. UU. (Norte de Virginia)
Oeste de EE. UU. (Norte de California)
Oeste de EE. UU. (Oregón)
Asia-Pacífico (Hong Kong)
Asia-Pacífico (Bombay)
Asia-Pacífico (Osaka)
Asia-Pacífico (Seúl)
Asia-Pacífico (Singapur)
Asia-Pacífico (Sídney)
Asia-Pacífico (Tokio)
Canadá (centro)
Europa (Fráncfort)
Europa (Irlanda)
Europa (Londres)
Europa (París)
Oriente Medio (EAU)
América del Sur (São Paulo)
AWS GovCloud (Este de EE. UU.)
AWS GovCloud (Oeste de EE. UU.)

Creación de un punto de enlace de la VPC para CloudWatch

Para comenzar a utilizar CloudWatch con la VPC, cree un punto de enlace de la VPC de tipo interfaz para CloudWatch. El nombre del servicio que se va a elegir es com.amazonaws.region.monitoring. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

No necesita cambiar la configuración de CloudWatch. CloudWatch llama a otros servicios de AWS con puntos de enlace públicos o puntos de enlace de la VPC privados de tipo interfaz, lo que esté en uso. Por ejemplo, si crea punto de enlace de la VPC de tipo interfaz para CloudWatch y ya tiene métricas que circulan por CloudWatch desde los recursos que se encuentran en la VPC, estas métricas comienzan a circular por el punto de enlace de la VPC de tipo interfaz de forma predeterminada.

Control del acceso al punto de enlace de la VPC de CloudWatch

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no adjunta una política al crear un punto de conexión, Amazon VPC adjunta una política predeterminada que le conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de ni las políticas específicas de los servicios. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de conexión deben escribirse en formato JSON.

Para más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de puntos de enlace de CloudWatch. Esta política permite a los usuarios que se conectan a CloudWatch a través de la VPC que envíen datos de métricas a CloudWatch, y les impide que realicen otras acciones de CloudWatch.


{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Para editar la política de punto de enlace de la VPC para CloudWatch

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Si todavía no ha creado el punto de conexión para CloudWatch, elija Crear punto de conexión. Seleccione com.amazonaws.region.monitoring y, a continuación, elija Create endpoint (Crear punto de enlace).
Seleccione el punto de enlace com.amazonaws.region.monitoring y, a continuación, elija la pestaña Policy (Política).
Elija Editar política y, a continuación, realice los cambios.

Puntos de enlace de la VPC de CloudWatch Synthetics

Actualmente, CloudWatch Synthetics admite puntos de enlace de la VPC en las siguientes Regiones de AWS:

Este de EE. UU. (Ohio)
Este de EE. UU. (Norte de Virginia)
Oeste de EE. UU. (Norte de California)
Oeste de EE. UU. (Oregón)
Asia-Pacífico (Hong Kong)
Asia-Pacífico (Mumbai)
Asia-Pacífico (Seúl)
Asia-Pacífico (Singapur)
Asia-Pacífico (Sídney)
Asia-Pacífico (Tokio)
Canadá (centro)
Europa (Fráncfort)
Europa (Irlanda)
Europa (Londres)
Europa (París)
América del Sur (São Paulo)

Creación de un punto de enlace de la VPC para CloudWatch Synthetics

Para empezar a utilizar CloudWatch Synthetics con la VPC, cree un punto de enlace de la VPC de tipo interfaz para CloudWatch Synthetics. El nombre del servicio que se va a elegir es com.amazonaws.region.synthetics. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

No necesita cambiar la configuración de CloudWatch Synthetics. CloudWatch Synthetics se comunica con otros servicios de AWS con los puntos de enlace públicos o los puntos de enlace de la VPC de tipo interfaz privados, lo que esté en uso. Por ejemplo, si crea un punto de enlace de la VPC de tipo interfaz para CloudWatch Synthetics y ya dispone de un punto de enlace tipo interfaz para Amazon S3, CloudWatch Synthetics inicia la comunicación con Amazon S3 a través del punto de enlace de la VPC de tipo interfaz de forma predeterminada.

Control del acceso a su punto de enlace de la VPC de CloudWatch Synthetics

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no asocia una política al crear un punto de conexión, se asociará automáticamente una política predeterminada que conceda acceso completo al servicio. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de ni las políticas específicas de los servicios. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Las políticas de punto de enlace afectan a los canaries que la VPC administra de forma privada. No son necesarios para canaries que se ejecutan en subredes privadas.

Las políticas de punto de conexión deben escribirse en formato JSON.

Para más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de punto de enlace de CloudWatch Synthetics. Esta política permite que los usuarios que se conectan a CloudWatch Synthetics a través de la VPC puedan ver información sobre los canaries y las ejecuciones, pero no crear, modificar ni eliminar los canaries.


{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

Para editar la política de punto de enlace de la VPC para CloudWatch Synthetics

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Si todavía no ha creado el punto de conexión para CloudWatch Synthetics, elija Crear punto de conexión. Seleccione com.amazonaws.region.synthetics y, a continuación, elija Create endpoint (Crear punto de enlace).
Seleccione el punto de conexión com.amazonaws.region.synthetics y, a continuación, elija la pestaña Política.
Elija Editar política y, a continuación, realice los cambios.

Puntos de conexión de VPC de la característica CloudWatch Network Monitoring

CloudWatch Network Monitoring incluye las siguientes características: Network Flow Monitor, Internet Monitor y Network Synthetic Monitor. Cada una de estas características admite puntos de conexión de VPC en las regiones de AWS en las que se admite la característica Network Monitoring.

Para ver una lista de las regiones compatibles para cada característica de Network Monitoring, consulte los temas siguientes:

Network Flow Monitor: Compatible con Regiones de AWS para Network Flow Monitor
Internet Monitor: Regiones de AWS admitidas para Internet Monitor
Network Synthetic Monitor: Regiones de AWS compatibles con Network Synthetic Monitor

Creación de un punto de conexión de VPC para una característica de CloudWatch Network Monitoring

Para comenzar a utilizar las características de CloudWatch Network Monitoring con la VPC, cree un punto de conexión de VPC de tipo interfaz para la característica que desee utilizar. En el caso de Network Monitoring, están disponibles los siguientes nombres de servicio:

com.amazonaws.region.networkflowmonitor
com.amazonaws.region.networkflowmonitorreports
com.amazonaws.region.internetmonitor
com.amazonaws.region.internetmonitor-fips
com.amazonaws.region.networkmonitor

Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

No es necesario cambiar la configuración de los servicios de Network Monitoring. Los servicios de Network Monitoring se comunican con otros servicios de AWS a través de puntos de conexión públicos o puntos de conexión de VPC de tipo interfaz privados, lo que se esté usando. Por ejemplo, si crea un punto de conexión de VPC de interfaz para un servicio de Network Monitoring y ya tiene una métrica que circula hacia el servicio desde los recursos que se encuentran en la VPC, las métricas comienzan a circular por el punto de conexión de VPC de interfaz de forma predeterminada.

Control del acceso a los puntos de conexión de VPC de la característica CloudWatch Network Monitoring

Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Una política de punto de conexión no anula ni sustituye a las políticas de usuario de ni las políticas específicas de los servicios. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado.

Si no adjunta una política al crear un punto de conexión, Amazon VPC adjunta una política predeterminada que le conceda acceso completo y no restrinja el acceso a un servicio específico. Para mayor seguridad, puede asociar una política al punto de conexión a fin de limitar de forma específica el acceso a la característica. Por ejemplo, en el caso de Internet Monitor, puede permitir el acceso total solo a Internet Monitor si asocia la política administrada por AWS CloudWatchInternetMonitorFullAccess, que permite el acceso total a la característica. O bien, puede limitar aún más los permisos a acciones específicas para el punto de conexión.

Para más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

A continuación, se muestra un ejemplo de una política de punto de conexión que puede crear para Network Flow Monitor a fin de limitar las acciones del punto de conexión. Esta política permite que las solicitudes a Network Flow Monitor a través de la VPC utilicen solo la acción Publish, de modo que las solicitudes puedan publicar métricas en el backend de Network Flow Monitor.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Si desea utilizar una política de punto de conexión de VPC específica con un punto de conexión de VPC de tipo interfaz para una característica de Network Monitoring, siga pasos similares a los del siguiente ejemplo y agregue una política para Network Flow Monitor.

Edición de una política de punto de conexión de VPC para Network Flow Monitor

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Si todavía no ha creado el punto de conexión para Internet Monitor, elija Crear punto de conexión.
Seleccione com.amazonaws.region.monitoring y, a continuación, elija Crear punto de conexión.
Seleccione el punto de conexión com.amazonaws.region.monitoring y, a continuación, elija la pestaña Política.
Elija Editar política y, a continuación, realice los cambios.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Security Hub

Consideraciones de seguridad para los canaries de Synthetics