Utilisation CloudWatch, CloudWatch synthetics et surveillance du réseau avec des points de CloudWatch terminaison VPC d'interface - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch Surveillance du réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation CloudWatch, CloudWatch synthetics et surveillance du réseau avec des points de CloudWatch terminaison VPC d'interface

Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre vos fonctionnalités VPC, CloudWatch Synthetics CloudWatch et Network Monitoring. CloudWatch Vous pouvez utiliser ces connexions pour permettre à ces services de communiquer avec les ressources de votre VPC sans passer par l'Internet public.

Amazon VPC est un AWS service que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d’adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC aux CloudWatch services, vous définissez un point de terminaison VPC d'interface pour votre VPC. Le point de terminaison fournit une connectivité fiable CloudWatch et évolutive aux CloudWatch services pris en charge sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, consultez Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, consultez le billet de blog suivant : Nouveau — AWS PrivateLink pour les AWS services

Les étapes suivantes s'adressent aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez Démarrez dans le Amazon VPC Guide de l'utilisateur.

CloudWatch Points de terminaison VPC

CloudWatch prend actuellement en charge les points de terminaison VPC dans les régions suivantes : AWS

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • US West (Oregon)

  • Asie-Pacifique (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asie-Pacifique (Osaka)

  • Asia Pacific (Seoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Paris)

  • Moyen-Orient (EAU)

  • Amérique du Sud (São Paulo)

  • AWS GovCloud (USA Est)

  • AWS GovCloud (US-Ouest)

Création d'un point de terminaison VPC pour CloudWatch

Pour commencer à utiliser CloudWatch avec votre VPC, créez un point de terminaison VPC d'interface pour. CloudWatch Le nom du service à choisir est com.amazonaws.region.monitoring. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Il n'est pas nécessaire de modifier les paramètres de CloudWatch. CloudWatch appelle d'autres AWS services en utilisant des points de terminaison publics ou des points de terminaison VPC d'interface privée, selon ceux utilisés. Par exemple, si vous créez un point de terminaison VPC d'interface pour CloudWatch et que vous disposez déjà de métriques CloudWatch provenant de ressources situées sur votre VPC, ces métriques commencent à passer par le point de terminaison VPC d'interface par défaut.

Contrôle de l'accès à votre point de CloudWatch terminaison VPC

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n’attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour CloudWatch. Cette politique permet aux utilisateurs qui se connectent CloudWatch via le VPC d'envoyer des données métriques CloudWatch et les empêche d'effectuer d'autres CloudWatch actions.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
Pour modifier la politique de point de terminaison VPC pour CloudWatch

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé le point de terminaison pour CloudWatch, choisissez Create endpoint. Sélectionnez com.amazonaws. region.monitoring, puis choisissez Create endpoint.

  4. Sélectionnez com.amazonaws. region.monitoring endpoint, puis choisissez l'onglet Policy.

  5. Choisissez Modifier la politique, puis apportez vos modifications.

CloudWatch Point de terminaison VPC Synthetics

CloudWatch Synthetics prend actuellement en charge les points de terminaison VPC dans les régions suivantes : AWS

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • US West (Oregon)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Paris)

  • Amérique du Sud (São Paulo)

Création d'un point de terminaison VPC pour Synthetics CloudWatch

Pour commencer à utiliser CloudWatch Synthetics avec votre VPC, créez un point de terminaison VPC d'interface pour Synthetics. CloudWatch Le nom du service à choisir est com.amazonaws.region.synthetics. Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Il n'est pas nécessaire de modifier les paramètres des CloudWatch Synthetics. CloudWatch Synthetics communique avec AWS d'autres services à l'aide de points de terminaison publics ou de points de terminaison VPC d'interface privée, selon ceux utilisés. Par exemple, si vous créez un point de terminaison VPC d'interface pour Synthetics CloudWatch et que vous possédez déjà un point de terminaison d'interface pour Amazon S3, Synthetics CloudWatch commence à communiquer avec Amazon S3 via le point de terminaison VPC d'interface par défaut.

Contrôle de l'accès à votre point de CloudWatch terminaison Synthetics VPC

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Les stratégies de point de terminaison affectent les Canary gérés en privé par VPC. Ils ne sont pas nécessaires pour les Canary qui fonctionnent sur des sous-réseaux privés.

Les politiques de point de terminaison doivent être écrites au format JSON.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison pour CloudWatch Synthetics. Cette politique permet aux utilisateurs qui se connectent à CloudWatch Synthetics via le VPC de consulter des informations sur les canaris et leurs courses, mais pas de créer, de modifier ou de supprimer des canaris.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
Pour modifier la politique de point de terminaison VPC pour Synthetics CloudWatch

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé le point de terminaison pour CloudWatch Synthetics, choisissez Create endpoint. Sélectionnez com.amazonaws. region.synthetics, puis choisissez Create endpoint.

  4. Sélectionnez com.amazonaws. region.synthetics endpoint, puis choisissez l'onglet Policy.

  5. Choisissez Modifier la politique, puis apportez vos modifications.

CloudWatch Fonctionnalité de surveillance réseau (points de terminaison VPC)

CloudWatch La surveillance du réseau inclut les fonctionnalités suivantes : moniteur de flux réseau, moniteur Internet et moniteur synthétique du réseau. Ces fonctionnalités prennent chacune en charge les points de terminaison VPC dans les AWS régions où la fonctionnalité de surveillance du réseau est prise en charge.

Pour consulter la liste des régions prises en charge pour chaque fonctionnalité de surveillance du réseau, consultez les rubriques suivantes :

Création d'un point de terminaison VPC pour une fonctionnalité de surveillance CloudWatch réseau

Pour commencer à utiliser les fonctionnalités de surveillance CloudWatch réseau avec votre VPC, créez un point de terminaison VPC d'interface pour la fonctionnalité que vous souhaitez utiliser. Pour la surveillance du réseau, les noms de service suivants sont disponibles :

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Il n'est pas nécessaire de modifier les paramètres des services de surveillance réseau. Les services de surveillance réseau communiquent avec d'autres AWS services via des points de terminaison publics ou des points de terminaison VPC d'interface privée, selon le type utilisé. Par exemple, si vous créez un point de terminaison VPC d'interface pour un service de surveillance réseau et que des métriques circulent déjà vers le service à partir de ressources situées sur votre VPC, les métriques commencent à passer par le point de terminaison VPC d'interface par défaut.

Contrôle de l'accès aux points de CloudWatch terminaison VPC de votre fonction de surveillance réseau

Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Une stratégie de point de terminaison n'annule pas et ne remplace pas les stratégies utilisateur ou les stratégies propres au service. Il s’agit d’une politique distincte qui contrôle l’accès depuis le point de terminaison jusqu’au service spécifié.

Si vous n'attachez pas de politique lorsque vous créez un point de terminaison, Amazon VPC attache pour vous une politique par défaut qui autorise un accès complet et ne restreint pas l'accès à un service spécifique. Pour plus de sécurité, vous pouvez associer une politique au point de terminaison afin de limiter spécifiquement l'accès à la fonctionnalité. Par exemple, pour Internet Monitor, vous pouvez autoriser un accès complet à Internet Monitor uniquement en joignant la politique AWS gérée qui permet un accès complet à la fonctionnalité CloudWatchInternetMonitorFullAccess. Vous pouvez également limiter davantage les autorisations à des actions spécifiques pour le point de terminaison.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Voici un exemple de politique de point de terminaison que vous pouvez créer pour Network Flow Monitor afin de limiter les actions pour le point de terminaison. Cette politique permet aux demandes adressées à Network Flow Monitor via le VPC d'utiliser uniquement l'Publishaction, ce qui permet aux demandes de publication de métriques pour l'ingestion du backend Network Flow Monitor.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Si vous souhaitez utiliser une politique de point de terminaison VPC spécifique avec un point de terminaison VPC d'interface pour une fonctionnalité de surveillance réseau, suivez des étapes similaires à l'exemple suivant pour ajouter une politique pour Network Flow Monitor.

Pour modifier une politique de point de terminaison VPC pour Network Flow Monitor

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison.

  3. Si vous n'avez pas encore créé le point de terminaison pour Internet Monitor, choisissez Create endpoint.

  4. Sélectionnez com.amazonaws. region.networkflowmonitor, puis choisissez Create endpoint.

  5. Sélectionnez com.amazonaws. regionpoint de terminaison .networkflowmonitor, puis choisissez l'onglet Policy.

  6. Choisissez Modifier la politique, puis apportez vos modifications.