Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan CloudWatch Log dengan titik akhir VPC antarmuka
Jika Anda menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk meng-host AWS sumber daya Anda, Anda dapat membuat koneksi pribadi antara VPC dan Log Anda. CloudWatch Anda dapat menggunakan koneksi ini untuk mengirim CloudWatch log ke Log tanpa mengirimnya melalui internet. CloudWatch Log mendukung titik akhir IPv4 VPC di semua Wilayah, dan mendukung IPv6 titik akhir di semua Wilayah.
Amazon VPC adalah AWS layanan yang dapat Anda gunakan untuk meluncurkan AWS sumber daya di jaringan virtual yang Anda tentukan. Dengan VPC, Anda memiliki kendali terhadap pengaturan jaringan, seperti rentang alamat IP, subnet, tabel rute, dan pintu masuk jaringan. Untuk menghubungkan VPC Anda ke CloudWatch Log, Anda menentukan titik akhir *VPC antarmuka* untuk Log. CloudWatch Jenis titik akhir ini memungkinkan Anda untuk menghubungkan VPC Anda ke layanan AWS . Endpoint menyediakan konektivitas yang andal dan dapat diskalakan ke CloudWatch Log tanpa memerlukan gateway internet, instance terjemahan alamat jaringan (NAT), atau koneksi VPN. Untuk informasi selengkapnya, lihat [Apa yang dimaksud dengan Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/) dalam *Panduan Pengguna Amazon VPC*.
Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antara AWS layanan menggunakan antarmuka jaringan elastis dengan alamat IP pribadi. Untuk informasi selengkapnya, lihat [Baru — AWS PrivateLink untuk AWS Layanan](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Langkah-langkah berikut ditujukan untuk para pengguna Amazon VPC. Untuk informasi selengkapnya, silakan lihat [Getting Started](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) di *Panduan Pengguna Amazon VPC*.
## Ketersediaan
CloudWatch Log saat ini mendukung titik akhir VPC di semua AWS Wilayah, termasuk Wilayah. AWS GovCloud (US)
## Membuat titik akhir VPC untuk Log CloudWatch
Untuk mulai menggunakan CloudWatch Log dengan VPC Anda, buat antarmuka VPC endpoint untuk Log. CloudWatch Layanan yang harus dipilih adalah **com.amazonaws. *Region*.log**. Untuk terhubung dengan titik akhir FIPS, layanan yang harus dipilih adalah. `com.amazonaws.Region.logs-fips` Anda tidak perlu mengubah pengaturan apa pun untuk CloudWatch Log. Untuk informasi selengkapnya, silakan lihat [Membuat sebuah Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) dalam *Panduan Pengguna Amazon VPC*.
Beberapa CloudWatch Log APIs, seperti StartLiveTail dan GetLogObject, dihosting di bawah titik akhir dan titik akhir VPC yang berbeda:. `stream-logs.Region.amazonaws.com` **Untuk membuat titik akhir VPC antarmuka untuk ini APIs, layanan yang harus dipilih adalah com.amazonaws. *Region*.stream-log**. Untuk terhubung dengan titik akhir FIPS, layanan yang harus dipilih adalah. `com.amazonaws.Region.stream-logs-fips`
## Menguji koneksi antara VPC dan Log CloudWatch
Setelah Anda membuat titik akhir, Anda dapat menguji koneksi.
**Untuk menguji koneksi antara VPC dan titik akhir Log CloudWatch**
1. Connect ke instans Amazon EC2 yang berada di VPC Anda. Untuk informasi tentang menghubungkan, lihat [Hubungkan ke Instans Linux Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) atau [Connect ke Instans Windows Anda](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)dalam dokumentasi Amazon EC2.
1. Dari contoh, gunakan AWS CLI untuk membuat entri log di salah satu grup log yang ada.
Pertama, buat file JSON dengan log acara. Stempel waktu harus ditetapkan sebagai angka dalam milidetik setelah 1 Jan 1970 00:00:00 UTC.
```
[
{
"timestamp": 1533854071310,
"message": "VPC Connection Test"
}
]
```
Kemudian, gunakan perintah `put-log-events` untuk membuat entri log:
```
aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
```
Jika respons terhadap perintah termasuk `nextSequenceToken`, perintah telah berhasil dan VPC endpoint Anda bekerja.
## Mengontrol akses ke titik akhir VPC CloudWatch Log
Kebijakan titik akhir VPC adalah kebijakan sumber daya IAM yang Anda lampirkan ke titik akhir ketika membuat atau mengubah titik akhir. Jika Anda tidak melampirkan kebijakan ketika membuat titik akhir, kami melampirkan kebijakan default untuk Anda sehingga memungkinkan akses penuh ke layanan. Kebijakan endpoint tidak mengesampingkan atau mengganti kebijakan IAM atau kebijakan khusus layanan. Ini adalah kebijakan terpisah untuk mengendalikan akses dari titik akhir ke layanan tertentu.
Kebijakan titik akhir harus ditulis dalam format JSON.
Untuk informasi selengkapnya, silakan lihat [Mengendalikan Akses ke Layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
Berikut ini adalah contoh kebijakan endpoint untuk CloudWatch Log. Kebijakan ini memungkinkan pengguna yang terhubung ke CloudWatch Log melalui VPC untuk membuat aliran log dan mengirim CloudWatch log ke Log, serta mencegah mereka melakukan tindakan Log lainnya CloudWatch .
```
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Untuk mengubah kebijakan titik akhir VPC untuk Log CloudWatch**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir**.
1. Jika Anda belum membuat endpoint untuk CloudWatch Log, pilih **Create Endpoint**. Kemudian pilih **com.amazonaws. *Region*.logs** dan pilih **Create endpoint**.
1. Pilih **com.amazonaws. *Region*.logs** endpoint, dan pilih tab **Policy** di bagian bawah layar.
1. Pilih **Edit Kebijakan** dan buat perubahan pada kebijakan.
## Support untuk kunci konteks VPC
CloudWatch Log mendukung `aws:SourceVpc` dan kunci `aws:SourceVpce` konteks yang dapat membatasi akses ke titik akhir VPC tertentu VPCs atau spesifik. Kunci ini bekerja hanya ketika pengguna menggunakan VPC endpoint. Untuk informasi selengkapnya, lihat [Kunci yang Tersedia untuk Beberapa Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) di *Panduan Pengguna IAM*.