Utilizzo di CloudWatch, CloudWatch Synthetics e CloudWatch Network Monitoring con endpoint VPC di interfaccia
Se usi Amazon Virtual Private Cloud (Amazon VPC) per l'hosting delle tue risorse AWS, puoi stabilire una connessione tra il VPC e le funzionalità CloudWatch, CloudWatch Synthetics e CloudWatch Network Monitoring. Puoi utilizzare queste connessioni per permettere ai servizi di comunicare con le risorse nel VPC senza accedere alla rete Internet pubblica.
Amazon VPC è un servizio AWS che puoi utilizzare per avviare risorse AWS in una rete virtuale da te definita. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il VPC ai servizi CloudWatch, devi definire un endpoint VPC di interfaccia per il VPC. L'endpoint offre connettività scalabile e affidabile a CloudWatch e ai servizi CloudWatch supportati senza richiedere un gateway Internet, un'istanza Network Address Translation (NAT) o una connessione VPN. Per ulteriori informazioni, consulta Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.
Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una tecnologia AWS che permette la comunicazione privata tra servizi AWS che utilizzano un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, consulta il post del blog New – AWS PrivateLink for AWS Services
Le fasi seguenti sono per gli utenti Amazon VPC. Per ulteriori informazioni, consulta l'argomento relativo alle nozioni di base nella Guida per l'utente di Amazon VPC.
Endpoint VPC CloudWatch
CloudWatch attualmente supporta gli endpoint VPC, inclusi gli endpoint compatibili solo con IPv6 e dual stack, in tutte le Regioni AWS, incluse le Regioni AWS GovCloud (Stati Uniti). Per ulteriori informazioni sugli URL degli endpoint, consulta CloudWatch endpoints and quotas.
Creazione di un endpoint VPC per CloudWatch
Per iniziare a usare con il VPC, crea un endpoint VPC dell'interfaccia per CloudWatch. Il nome del servizio da scegliere è com.amazonaws.. Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.region.monitoring
Non è necessario cambiare le impostazioni per CloudWatch. CloudWatch chiama altri servizi AWS utilizzando endpoint VPC di interfacce pubbliche o private, a seconda di quali siano in uso. Ad esempio, se crei un endpoint VPC di interfaccia per CloudWatch, e hai già parametri che vengono trasmessi a CloudWatch da risorse che si trovano nel VPC, questi parametri iniziano a passare attraverso l'endpoint VPC di interfaccia per impostazione predefinita.
Controllo dell'accesso all'endpoint VPC di CloudWatch
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, Amazon VPC collega una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Le policy endpoint devono essere scritte in formato JSON.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di una policy endpoint per CloudWatch. Questa policy consente agli utenti di connettersi a CloudWatch tramite il VPC per inviare i dati dei parametri a CloudWatch e impedisce di eseguire altre operazioni CloudWatch.
{ "Statement": [ { "Sid": "PutOnly", "Principal": "*", "Action": [ "cloudwatch:PutMetricData" ], "Effect": "Allow", "Resource": "*" } ] }
Per modificare la policy endpoint VPC per CloudWatch
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Se non hai ancora creato l'endpoint per CloudWatch, scegli Crea endpoint. Seleziona quindi com.amazonaws.
region.monitoring e scegli Create endpoint (Crea endpoint).Seleziona l'endpoint com.amazonaws.
region.monitoring quindi scegli la scheda Policy (Policy).-
Scegli Modifica policy, quindi apporta le modifiche.
Endpoint VPC di CloudWatch Synthetics
CloudWatch Synthetics attualmente supporta endpoint VPC nelle seguenti regioni AWS:
Stati Uniti orientali (Ohio)
Stati Uniti orientali (Virginia settentrionale)
Stati Uniti occidentali (California settentrionale)
US West (Oregon)
Asia Pacifico (Hong Kong)
Asia Pacifico (Mumbai)
Asia Pacifico (Seoul)
Asia Pacifico (Singapore)
Asia Pacifico (Sydney)
Asia Pacifico (Tokyo)
Canada (Centrale)
Europa (Francoforte)
Europa (Irlanda)
Europe (London)
Europa (Parigi)
Sud America (San Paolo)
Creazione di un endpoint VPC per CloudWatch Synthetics
Per iniziare a utilizzare CloudWatch Synthetics con il VPC, creare un endpoint VPC di interfaccia per CloudWatch Synthetics. Il nome del servizio da scegliere è com.amazonaws.. Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.region.synthetics
Non è necessario cambiare le impostazioni per CloudWatch Synthetics. CloudWatch Synthetics chiama altri servizi AWS utilizzando endpoint VPC di interfacce pubbliche o private, a seconda di quali siano in uso. Ad esempio, se si crea un endpoint VPC di interfaccia per CloudWatch Synthetics e si dispone già di un endpoint dell'interfaccia per Amazon S3, CloudWatch Synthetics inizia a comunicare con Amazon S3 tramite l'endpoint VPC dell'interfaccia per impostazione predefinita.
Controllo dell'accesso all'endpoint VPC del tuo CloudWatch Synthetics
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Le policy degli endpoint influiscono sulle canary gestite privatamente da VPC. Non sono necessarie per canary che funzionano su sottoreti private.
Le policy endpoint devono essere scritte in formato JSON.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di una policy endpoint per CloudWatch Synthetics. Questa policy consente agli utenti che si connettono a CloudWatch Synthetics tramite il VPC di visualizzare informazioni sui canary e sulle loro esecuzioni, ma non di creare, modificare o eliminare canary.
{ "Statement": [ { "Action": [ "synthetics:DescribeCanaries", "synthetics:GetCanaryRuns" ], "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
Per modificare la policy di endpoint VPC per CloudWatch Synthetics
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Se non hai ancora creato l'endpoint per CloudWatch Synthetics, scegli Crea endpoint. Seleziona com.amazonaws.
region.synthetics, quindi scegli Crea endpoint.Seleziona l'endpoint com.amazonaws.
region.synthetics, quindi scegli la scheda Policy.-
Scegli Modifica policy, quindi apporta le modifiche.
Funzionalità di CloudWatch Network Monitoring che supportano gli endpoint VPC
CloudWatch Network Monitoring include le seguenti funzionalità: Network Flow Monitor, Monitor Internet e Network Synthetic Monitor. Ciascuna di queste funzionalità supporta gli endpoint VPC nelle Regioni AWS in cui è supportata la funzionalità Network Monitoring.
Per visualizzare un elenco delle Regioni supportate per ciascuna funzionalità Network Monitoring, consulta i seguenti argomenti:
Network Flow Monitor: Regioni AWS supportate per Network Flow Monitor
Monitor Internet: Regioni AWS supportate per Monitor Internet
Network Synthetic Monitor: Regioni AWS supportate per Network Synthetic Monitor
Creazione di un endpoint VPC per una funzionalità di CloudWatch Network Monitoring
Per iniziare a utilizzare le funzionalità di CloudWatch Network Monitoring con il VPC, occorre creare un endpoint VPC di interfaccia per la funzionalità che si desidera utilizzare. Per Network Monitoring sono disponibili i seguenti nomi di servizio:
com.amazonaws.region.networkflowmonitorcom.amazonaws.region.networkflowmonitorreportscom.amazonaws.region.internetmonitorcom.amazonaws.region.internetmonitor-fipscom.amazonaws.region.networkmonitor
Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.
Non è necessario cambiare le impostazioni per i servizi di Network Monitoring. I servizi Network Monitoring comunicano con gli altri servizi AWS utilizzando endpoint VPC di interfacce pubbliche o private, a seconda di quali siano in uso. Ad esempio, se crei un endpoint VPC di interfaccia per un servizio Network Monitoring e hai già metriche che vengono trasmesse al servizio da risorse che si trovano nel VPC, queste metriche iniziano a passare attraverso l'endpoint VPC di interfaccia per impostazione predefinita.
Controllo dell'accesso all'endpoint VPC della funzionalità di CloudWatch Network Monitoring
Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Una policy endpoint non esclude né sostituisce policy dell'utente o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato.
Se non colleghi una policy durante la creazione di un endpoint, Amazon VPC collega una policy predefinita che consente l'accesso completo e non limita l'accesso a un servizio specifico. Per maggiore sicurezza, puoi collegare una policy all'endpoint per limitare in modo specifico l'accesso alla funzionalità. Ad esempio, per Monitor Internet, è possibile consentire l'accesso completo solo a Monitor Internet collegando la policy gestita da AWS che consente l'accesso completo alla funzionalità, CloudWatchInternetMonitorFullAccess. In alternativa, puoi limitare ulteriormente le autorizzazioni solo a operazioni specifiche per l'endpoint.
Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.
Di seguito è riportato un esempio di una policy endpoint che è possibile creare per Network Flow Monitor per limitare le operazioni per l'endpoint. Questa policy consente alle richieste a Network Flow Monitor tramite il VPC di utilizzare solo l'operazione Publish, che consente alle richieste di pubblicare metriche nell'importazione del backend di Network Flow Monitor.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "networkflowmonitor:Publish", "Resource": "*" } ] }
Se desideri utilizzare una policy specifica per gli endpoint VPC con un endpoint VPC di interfaccia per una funzionalità di Network Monitoring, utilizza passaggi simili al seguente esempio per aggiungere una policy per Network Flow Monitor.
Per modificare una policy di endpoint VPC per Network Flow Monitor
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Se non hai ancora creato l'endpoint per Monitor Internet, scegli Crea endpoint.
Seleziona quindi com.amazonaws.
region.networkflowmonitor e scegli Crea endpoint.Seleziona l'endpoint com.amazonaws.
region.networkflowmonitor, quindi scegli la scheda Policy.-
Scegli Modifica policy, quindi apporta le modifiche.
