翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# インターフェイス VPC エンドポイントでの CloudWatch Logs の使用
<a name="cloudwatch-logs-and-interface-VPC"></a>

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、VPC と CloudWatch Logs の間にプライベート接続を確立できます。この接続を使用して、インターネットを経由して送信せずに CloudWatch Logs にログを送信できます。CloudWatch Logs は、すべてのリージョンで IPv4 VPC エンドポイントをサポートし、すべてのリージョンで IPv6 エンドポイントをサポートします。

Amazon VPC は、定義した仮想ネットワークで AWS リソースを起動するために使用できる AWS サービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を CloudWatch Logs に接続するには、CloudWatch Logs の*インターフェイス VPC エンドポイント*を定義します。このタイプのエンドポイントにより、VPC を AWS のサービスに接続できるようになります。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな CloudWatch Logs への接続を提供します。詳細については、「Amazon VPC ユーザーガイド**」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/)」を参照してください。

 インターフェイス VPC エンドポイントは、プライベート IP アドレスを持つ Elastic Network Interface を使用して AWS サービス間のプライベート通信を可能にする AWS テクノロジーである AWS PrivateLink を利用しています。詳細については、[「New – AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/)」を参照してください。

以下の手順は、Amazon VPC のユーザー向けです。詳細については、『Amazon VPC ユーザーガイド**』の「[開始方法](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)」を参照してください。

## 利用可能な状況
<a name="cloudwatch-logs-interface-VPC-availability"></a>

CloudWatch Logs は現在、 AWS リージョンを含むすべての AWS GovCloud (US) リージョンで VPC エンドポイントをサポートしています。

## CloudWatch Logs 用の VPC エンドポイントの作成
<a name="create-VPC-endpoint-for-CloudWatchLogs"></a>

VPC で CloudWatch Logs の使用を開始するには、CloudWatch Logs のインターフェイス VPC エンドポイントを作成します。選択するサービスは、[**com.amazonaws.*Region*.logs**] です。FIPS エンドポイントに接続する場合、選択するサービスは です`com.amazonaws.Region.logs-fips`。CloudWatch Logs のあらゆる設定を変更する必要はありません。詳細については、『Amazon VPC ユーザーガイド』**の「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html)」を参照してください。

StartLiveTail や GetLogObject などの一部の CloudWatch Logs APIs は、別のエンドポイントと VPC エンドポイント でホストされます`stream-logs.Region.amazonaws.com`。これらの APIs のインターフェイス VPC エンドポイントを作成するには、**com.amazonaws.*Region*.stream-logs** を選択します。FIPS エンドポイントに接続する場合、選択するサービスは です`com.amazonaws.Region.stream-logs-fips`。



## VPC と CloudWatch Logs との間の接続のテスト
<a name="test-VPC-endpoint-for-CloudWatchLogs"></a>

エンドポイントの作成が完了したら、接続をテストできます。

**VPC と CloudWatch Logs のエンドポイント間の接続をテストするには**

1. VPC にある Amazon EC2 インスタンスに接続します。接続の詳細については、Amazon EC2 ドキュメントの [Linux インスタンスへの接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html)または [Windows インスタンスへの接続](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)を参照してください。

1. インスタンスから、 を使用して AWS CLI 、既存のロググループの 1 つにログエントリを作成します。

   まず、ログイベントを持つ JSON ファイルを作成します。タイムスタンプは、1970 年 1 月 1 日 00:00:00 UTC からの経過ミリ秒数で指定する必要があります。

   ```
   [
     {
       "timestamp": 1533854071310,
       "message": "VPC Connection Test"
     }
   ]
   ```

   次に、`put-log-events` コマンドを使用してログエントリを作成します。

   ```
   aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
   ```

   コマンドに対する応答に `nextSequenceToken` が含まれていた場合、コマンドは成功しており VPC エンドポイントが機能しています。

## CloudWatch Logs の VPC エンドポイントへのアクセスの制御
<a name="CloudWatchLogs-VPC-endpoint-policy"></a>

VPC エンドポイントポリシーは、エンドポイントの作成時または変更時にエンドポイントに加える IAM リソースポリシーです。エンドポイントの作成時にポリシーをアタッチしない場合、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。エンドポイントポリシーは、IAM ポリシーやサービス固有のポリシーを上書き、または置き換えたりするものではありません。これは、評価項目から指定されたサービスへのアクセスを制御するための別のポリシーです。

評価項目のポリシーは、JSON形式で記載する必要があります。

詳細については、「*Amazon VPCユーザーガイド*」の「[VPC評価項目によるサービスのアクセス制御](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。

CloudWatch Logs のエンドポイントポリシーの例を次に示します。このポリシーでは、VPC を介して CloudWatch Logs に接続するユーザーはログストリームを作成してログを CloudWatch Logs に送信できますが、他の CloudWatch Logs アクションは実行できません。

```
{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**CloudWatch Logs の VPC エンドポイントポリシーを変更するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。

1. CloudWatch Logs のエンドポイントをまだ作成していない場合は、[**Create Endpoint (エンドポイントの作成)**] を選択します。次に、[**com.amazonaws.*Region*.logs**] を選択し、[**エンドポイントの作成**] を選択します。

1. [**com.amazonaws.*Region*.logs**] エンドポイントを選択し、画面の下部で [**ポリシー**] タブを選択します。

1. [**ポリシーの編集**] を選択してポリシーを変更します。

## VPC コンテキストキーのサポート
<a name="Support-VPC-Context-Keys"></a>

CloudWatch Logs では、特定の VPC または特定の VPC エンドポイントへのアクセスを制限できる `aws:SourceVpc` および `aws:SourceVpce` コンテキストキーをサポートしています。これらのキーは、ユーザーが VPC エンドポイントを使用している場合にのみ使用できます。詳細については、*「IAM ユーザーガイド」*の[「一部のサービスに使用可能なキー」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available)を参照してください。