Utilisation de CloudWatch, CloudWatch Synthetics et CloudWatch Network Monitoring avec des points de terminaison d’un VPC - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsSurveillance du réseau CloudWatch

Utilisation de CloudWatch, CloudWatch Synthetics et CloudWatch Network Monitoring avec des points de terminaison d’un VPC

Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos ressources AWS, vous pouvez établir une connexion privée entre votre VPC et les fonctionnalités CloudWatch, CloudWatch Synthetics et CloudWatch Network Monitoring. Vous pouvez utiliser ces connexions pour permettre à ces services de communiquer avec les ressources de votre VPC sans passer par l’Internet public.

Amazon VPC est un service AWS que vous pouvez utiliser pour lancer des ressources AWS dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d’adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC aux services CloudWatch, vous devez définir un point de terminaison d’un VPC pour votre VPC. Le point de terminaison fournit une connectivité fiable et évolutive à CloudWatch et aux services CloudWatch pris en charge sans nécessiter de passerelle Internet, d’instance de traduction d’adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, consultez Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Les points de terminaison d'un VPC d'interface reposent sur AWS PrivateLink, une technologie AWS qui active une communication privée entre les services AWS à l'aide d'une interface réseau Elastic avec des adresses IP privées. Pour plus d’informations, consultez l’article de blog suivant : New – AWS PrivateLink for AWS Services

Les étapes suivantes s'adressent aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez Démarrez dans le Amazon VPC Guide de l'utilisateur.

Points de terminaison d’un VPC CloudWatch

CloudWatch prend actuellement en charge les points de terminaison d’un VPC, y compris les points de terminaison IPv6 uniquement et les points de terminaison à double pile, dans toutes les régions AWS, y compris les régions AWS GovCloud (US). Pour plus d’informations sur l’URL des points de terminaison, consultez Points de terminaison et quotas CloudWatch.

Création du point de terminaison de VPC pour CloudWatch

Pour commencer à utiliser CloudWatch avec votre VPC, créez un point de terminaison de VPC d'interface pour CloudWatch. Le nom du service à choisir est com.amazonaws.region.monitoring. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Vous n'avez pas besoin de modifier les paramètres pour CloudWatch. CloudWatch appelle d'autres services AWS à l'aide de points de terminaison publics ou de points de terminaison de VPC d'interface privés, selon ceux utilisés. Par exemple, si vous créez un point de terminaison de VPC d'interface pour CloudWatch et que vous disposez déjà de métriques qui transitent vers CloudWatch à partir de ressources situées sur votre VPC, ces métriques commencent à transiter via le point de terminaison de VPC d'interface par défaut.

Contrôle de l'accès à votre point de terminaison de VPC CloudWatch

Une stratégie de point de terminaison d'un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n’attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de stratégie de point de terminaison pour CloudWatch. Cette stratégie permet aux utilisateurs de se connecter à CloudWatch via le VPC pour envoyer les données des métriques à CloudWatch, et les empêche d'effectuer d'autres actions CloudWatch.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Pour modifier la stratégie de point de terminaison de VPC pour CloudWatch

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n’avez pas encore créé le point de terminaison pour CloudWatch, choisissez Créer un point de terminaison. Sélectionnez com.amazonaws.region.monitoring et choisissez Create endpoint (Créer un point de terminaison).

  4. Sélectionnez le point de terminaison com.amazonaws..region.monitoring, puis choisissez l'onglet Policy (Politique).

  5. Choisissez Modifier la politique, puis apportez vos modifications.

Point de terminaison d’un VPC CloudWatch Synthetics

CloudWatch Synthetics prend actuellement en charge les points de terminaison de VPC dans les régions AWS suivantes :

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • US West (Oregon)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Paris)

  • Amérique du Sud (São Paulo)

Création d'un point de terminaison d’un VPC pour CloudWatch Synthetics

Pour commencer à utiliser CloudWatch Synthetics avec votre VPC, créez un point de terminaison de VPC d'interface pour CloudWatch Synthetics. Le nom du service à choisir est com.amazonaws.region.synthetics. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Vous n'avez pas besoin de modifier les paramètres pour CloudWatch Synthetics. CloudWatch Synthetics communique avec d'autres services AWS à l'aide de points de terminaison publics ou de points de terminaison de VPC d'interface privés, selon ceux utilisés. Par exemple, si vous créez un point de terminaison de VPC d'interface pour CloudWatch Synthetics et que vous avez déjà un point de terminaison d'interface pour Amazon S3, CloudWatch Synthetics commence à communiquer avec Amazon S3 via le point de terminaison d’un VPC d'interface par défaut.

Contrôler l'accès à votre point de terminaison d’un VPC Synthetics

Une stratégie de point de terminaison d'un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Les stratégies de point de terminaison affectent les Canary gérés en privé par VPC. Ils ne sont pas nécessaires pour les Canary qui fonctionnent sur des sous-réseaux privés.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de stratégie de point de terminaison pour CloudWatch Synthetics. Cette stratégie permet aux utilisateurs qui se connectent à CloudWatch Synthetics via le VPC d'afficher des informations sur les Canary et leurs exécutions, mais pas de créer, modifier ou supprimer des Canary.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
Pour modifier la stratégie d'un point de terminaison de VPC pour CloudWatch Synthetics

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n’avez pas encore créé le point de terminaison pour CloudWatch Synthetics, choisissez Créer un point de terminaison. Sélectionnez com.amazonaws.region.synthetics, puis choisissez Create endpoint (Créer un point de terminaison).

  4. Sélectionnez le point de terminaison com.amazonaws.region.synthetics, puis choisissez l’onglet Politique.

  5. Choisissez Modifier la politique, puis apportez vos modifications.

Points de terminaison VPC de la fonctionnalité CloudWatch Network Monitoring

La surveillance du réseau CloudWatch comprend les fonctionnalités suivantes : Network Flow Monitor, Moniteur Internet et la surveillance synthétique du réseau. Chacune de ces fonctionnalités prend en charge les points de terminaison d’un VPC dans les régions AWS où la fonctionnalité de surveillance du réseau est prise en charge.

Pour consulter la liste des régions prises en charge pour chaque fonctionnalité de surveillance du réseau, veuillez vous reporter aux rubriques suivantes :

Création d’un point de terminaison d’un VPC pour une fonctionnalité de surveillance du réseau CloudWatch

Pour commencer à utiliser les fonctionnalités de surveillance du réseau CloudWatch avec votre VPC, créez un point de terminaison d’un VPC pour la fonctionnalité que vous voulez utiliser. Pour la surveillance du réseau, les noms de service suivants sont disponibles :

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Vous n’avez pas besoin de modifier les paramètres des services de surveillance du réseau. Les services de surveillance du réseau communiquent avec d’autres services AWS à l’aide de points de terminaison publics ou de points de terminaison d’un VPC privés, selon ceux qui sont utilisés. Par exemple, si vous créez un point de terminaison d’un VPC d’interface pour un service de surveillance du réseau et que vous disposez déjà de métriques provenant de ressources situées sur votre VPC, les métriques commencent à transiter par le point de terminaison d’un VPC d’interface par défaut.

Contrôle de l’accès aux points de terminaison d’un VPC de votre fonctionnalité CloudWatch Network Monitoring

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Si vous n’associez pas de politique lors de la création d’un point de terminaison, Amazon VPC associe pour vous une politique par défaut qui autorise un accès complet et ne restreint pas l’accès à un service spécifique. Pour plus de sécurité, vous pouvez associer une politique au point de terminaison afin de limiter spécifiquement l’accès à la fonctionnalité. Par exemple, pour le Moniteur Internet, vous pouvez autoriser un accès complet uniquement au Moniteur Internet en attachant les politiques gérées par AWS qui permettent un accès complet à la fonctionnalité, CloudWatchInternetMonitorFullAccess. Vous pouvez également limiter davantage les autorisations à des actions spécifiques pour le point de terminaison.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison que vous pouvez créer pour Network Flow Monitor afin de limiter les actions pour le point de terminaison. Cette politique autorise les demandes adressées à Network Flow Monitor via le VPC à utiliser uniquement l’action Publish, qui permet aux demandes de publier des métriques vers l’ingestion dorsal de Network Flow Monitor.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Si vous voulez utiliser une politique de point de terminaison d’un VPC spécifique avec un point de terminaison d’un VPC d’interface pour une fonctionnalité de surveillance du réseau, suivez les étapes similaires à celles de l’exemple suivant pour ajouter une politique pour Network Flow Monitor.

Pour modifier une politique de point de terminaison d’un VPC pour Network Flow Monitor

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Points de terminaison.

  3. Si vous n’avez pas encore créé le point de terminaison pour le Moniteur Internet, sélectionnez Créer un point de terminaison.

  4. Sélectionnez com.amazonaws.region.networkflowmonitor, puis choisissez Créer un point de terminaison.

  5. Sélectionnez le point de terminaison com.amazonaws.region.networkflowmonitor, puis choisissez l’onglet Politique.

  6. Choisissez Modifier la politique, puis apportez vos modifications.