Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencez avec AWS PrivateLink
<a name="getting-started"></a>

Ce didacticiel explique comment envoyer une demande depuis une EC2 instance d'un sous-réseau privé à Amazon à CloudWatch l'aide AWS PrivateLink de.

Le schéma suivant fournit un aperçu de ce scénario. Pour vous connecter depuis votre ordinateur à l'instance dans le sous-réseau privé, vous devez d'abord vous connecter à un hôte bastion dans un sous-réseau public. L'hôte bastion et l'instance doivent utiliser la même paire de clés. Comme le fichier `.pem` de la clé privée se trouve sur votre ordinateur et non sur l'hôte bastion, vous utiliserez le transfert de clé SSH. Vous pouvez ensuite vous connecter à l'instance depuis l'hôte bastion sans spécifier le fichier `.pem` dans la commande **ssh**. Une fois que vous avez configuré un point de terminaison VPC pour CloudWatch, le trafic provenant de l'instance à laquelle il CloudWatch est destiné est résolu vers l'interface réseau du point de terminaison, puis envoyé à l' CloudWatch aide du point de terminaison VPC.

![\[Une instance d'un sous-réseau privé y accède CloudWatch via un point de terminaison VPC.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/privatelink/images/getting-started.png)


À des fins de test, vous pouvez utiliser une zone de disponibilité unique. En production, nous vous recommandons d'utiliser au moins deux zones de disponibilité pour une faible latence et une haute disponibilité.

**Topics**
+ [Étape 1 : Créer un VPC et des sous-réseaux](#create-vpc-subnets)
+ [Étape 2 : Lancer les instances](#launch-instances)
+ [Étape 3 : Tester CloudWatch l'accès](#test-cloudwatch-access)
+ [Étape 4 : créer un point de terminaison VPC auquel accéder CloudWatch](#create-vpc-endpoint-cloudwatch)
+ [Étape 5 : Test du point de terminaison d’un VPC](#test-vpc-endpoint)
+ [Étape 6 : Nettoyage](#clean-up)

## Étape 1 : Créer un VPC et des sous-réseaux
<a name="create-vpc-subnets"></a>

Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé.

**Pour créer le VPC**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Sélectionnez **Create VPC** (Créer un VPC).

1. Sous **Resources to create** (Ressources à créer), choisissez **VPC and more** (VPC et autres).

1. Pour **Name tag auto-generation** (Génération automatique de balises de nom), saisissez un nom pour le VPC.

1. Pour configurer les sous-réseaux, procédez comme suit :

   1. Pour **Number of Availability Zones** (Nombre de zones de disponibilité), choisissez **1** ou **2**, selon vos besoins.

   1. Pour **Number of public subnets** (Nombre de sous-réseaux publics), assurez-vous de disposer d'un sous-réseau public par zone de disponibilité.

   1. Pour **Number of private subnets** (Nombre de sous-réseaux privés), assurez-vous de disposer d'un sous-réseau privé par zone de disponibilité.

1. Sélectionnez **Create VPC** (Créer un VPC).

## Étape 2 : Lancer les instances
<a name="launch-instances"></a>

À l'aide du VPC que vous avez créé à l'étape précédente, lancez l'hôte bastion dans le sous-réseau public et l'instance dans le sous-réseau privé.

**Prérequis**
+ Créez une paire de clés à l'aide du format **.pem**. Vous devez choisir cette paire de clés lorsque vous lancez à la fois l'hôte bastion et l'instance.
+ Créez un groupe de sécurité pour l'hôte bastion qui autorise le trafic SSH entrant à partir du bloc CIDR de votre ordinateur.
+ Créez un groupe de sécurité pour l'instance qui autorise le trafic SSH entrant depuis le groupe de sécurité pour l'hôte bastion.
+ Créez un profil d'instance IAM et attachez la **CloudWatchReadOnlyAccess**politique.

**Pour lancer l'hôte bastion**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Choisissez **Launch Instance**.

1. Dans **Name** (Nom), saisissez un nom pour votre hôte bastion.

1. Conservez l'image et le type d'instance par défaut.

1. Pour **Key pair** (Paire de clés), choisissez votre paire de clés.

1. Sous **Network settings** (Paramètres réseau), effectuez les opérations suivantes :

   1. Pour **VPC**, choisissez votre VPC.

   1. Pour **Subnet** (Sous-réseau), sélectionnez votre sous-réseau public.

   1. Pour **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Enable** (Activer).

   1. Pour **Firewall** (Pare-feu), choisissez **Select existing security group** (Sélectionner un groupe de sécurité existant), puis choisissez le groupe de sécurité pour l'hôte bastion.

1. Choisissez **Launch Instance**.

**Pour lancer l'instance**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Choisissez **Launch Instance**.

1. Pour **Name** (Nom), saisissez un nom pour votre instance.

1. Conservez l'image et le type d'instance par défaut.

1. Pour **Key pair** (Paire de clés), choisissez votre paire de clés.

1. Sous **Network settings** (Paramètres réseau), effectuez les opérations suivantes :

   1. Pour **VPC**, choisissez votre VPC.

   1. Pour **Subnet** (Sous-réseau), choisissez private subnet (Sous-réseau privé).

   1. Pour **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Disable** (Désactiver).

   1. Pour **Firewall** (Pare-feu), choisissez **Select existing security group** (Sélectionner un groupe de sécurité existant), puis choisissez le groupe de sécurité pour l'instance.

1. Développez **Advanced Details** (Détails avancés). Pour **IAM instance profile** (Profil d'instance IAM), choisissez votre nom de profil d'instance IAM.

1. Choisissez **Launch Instance**.

## Étape 3 : Tester CloudWatch l'accès
<a name="test-cloudwatch-access"></a>

Utilisez la procédure suivante pour vérifier que l'instance ne peut pas y accéder CloudWatch. Pour ce faire, utilisez une AWS CLI commande en lecture seule pour. CloudWatch

**Pour tester CloudWatch l'accès**

1. Depuis votre ordinateur, ajoutez la paire de clés à l'agent SSH à l'aide de la commande suivante, où se *key.pem* trouve le nom de votre fichier .pem.

   ```
   ssh-add ./key.pem
   ```

   Si vous recevez un message d'erreur indiquant que les autorisations pour votre paire de clés sont trop ouvertes, exécutez la commande suivante, puis réessayez la commande précédente.

   ```
   chmod 400 ./key.pem
   ```

1. Connexion à l'hôte bastion depuis votre ordinateur. Vous devez spécifier l'option `-A`, le nom d'utilisateur de l'instance (par exemple `ec2-user`) et l'adresse IP publique de l'hôte bastion.

   ```
   ssh -A ec2-user@bastion-public-ip-address
   ```

1. Connexion à l'instance depuis l'hôte bastion. Vous devez spécifier le nom d'utilisateur de l'instance (par exemple `ec2-user`) et l'adresse IP privée de l'instance.

   ```
   ssh ec2-user@instance-private-ip-address
   ```

1. Exécutez la commande CloudWatch [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) sur l'instance comme suit. Pour l’option `--region`, spécifiez la région dans laquelle vous avez créé le VPC.

   ```
   aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
   ```

1. Après quelques minutes, la commande expire. Cela montre que vous ne pouvez pas y accéder CloudWatch depuis l'instance avec la configuration VPC actuelle.

   ```
   Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
   ```

1. Restez connecté à votre instance. Après avoir créé le point de terminaison d’un VPC, vous allez réessayer cette commande **list-metrics**.

## Étape 4 : créer un point de terminaison VPC auquel accéder CloudWatch
<a name="create-vpc-endpoint-cloudwatch"></a>

Utilisez la procédure suivante pour créer un point de terminaison VPC qui se connecte à. CloudWatch

**Prérequis**  
Créez un groupe de sécurité pour le point de terminaison VPC qui autorise le trafic à. CloudWatch Par exemple, ajoutez une règle qui autorise le trafic HTTPS à partir du bloc d'adresse CIDR du VPC.

**Pour créer un point de terminaison VPC pour CloudWatch**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Points de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. Sous **Name** (Nom), saisissez un nom pour le point de terminaison.

1. Pour **Service category** (Catégorie de service), choisissez **Services AWS**.

1. Pour **Service**, sélectionnez **com.amazonaws. *region*.surveillance**.

1. Pour **VPC**, sélectionnez votre VPC.

1. Pour **Subnets** (Sous-réseaux), sélectionnez la zone de disponibilité puis le sous-réseau privé.

1. Pour **Security group** (Groupe de sécurité), sélectionnez le groupe de sécurité du point de terminaison d’un VPC.

1. Pour **Policy** (Politique), sélectionnez **Full access** (Accès complet) pour autoriser toutes les opérations de tous les principaux sur toutes les ressources via le point de terminaison d’un VPC.

1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.

1. Choisissez **Créer un point de terminaison**. Le statut initial est **Pending** (En attente). Avant de passer à l'étape suivante, attendez que le statut soit **Disponible**. Cette opération peut prendre quelques minutes.

## Étape 5 : Test du point de terminaison d’un VPC
<a name="test-vpc-endpoint"></a>

Vérifiez que le point de terminaison VPC envoie des demandes depuis votre instance à. CloudWatch

**Pour tester le point de terminaison d’un VPC**  
Exécutez la commande suivante sur votre instance. Pour l’option `--region`, spécifiez la région dans laquelle vous avez créé le point de terminaison d’un VPC.

```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```

Si vous obtenez une réponse, même une réponse avec des résultats vides, vous êtes connecté à CloudWatch l'utilisation de AWS PrivateLink.

Si un `UnauthorizedOperation` message d'erreur s'affiche, assurez-vous que l'instance possède un rôle IAM autorisant l'accès à CloudWatch.

Si le délai de la demande expire, vérifiez les points suivants :
+ Le groupe de sécurité du point de terminaison autorise le trafic à CloudWatch.
+ L'option `--region` indique la région dans laquelle vous avez créé le point de terminaison d’un VPC.

## Étape 6 : Nettoyage
<a name="clean-up"></a>

Si vous n'avez plus besoin de l'hôte bastion et de l'instance que vous avez créés pour ce didacticiel, vous pouvez y mettre fin.

**Pour résilier les instances**

1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez les deux instances de test, choisissez **Instance state**) (État de l'instance, **Terminate instance** (Résilier l'instance).

1. Lorsque vous êtes invité à confirmer, choisissez **Terminate (Mettre fin)**.

Si vous n'avez plus besoin d'un point de terminaison d’un VPC, vous pouvez le supprimer.

**Pour supprimer le point de terminaison d’un VPC**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Points de terminaison**.

1. Sélectionnez le point de terminaison d’un VPC.

1. Choisissez **Actions**, **Delete VPC endpoints** (Supprimer le point de terminaison d’un VPC).

1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.