인터페이스 VPC 엔드포인트와 함께 CloudWatch, CloudWatch Synthetics 및 CloudWatch Network Monitoring 사용 - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch Network Monitoring

인터페이스 VPC 엔드포인트와 함께 CloudWatch, CloudWatch Synthetics 및 CloudWatch Network Monitoring 사용

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스팅하는 경우 VPC, CloudWatch, CloudWatch Synthetics, CloudWatch Network Monitoring 기능 사이에서 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 이 서비스에서 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있습니다.

Amazon VPC란 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 때 사용할 수 있는 AWS 서비스입니다. VPC가 있으면 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등 네트워크 설정을 제어할 수 있습니다. VPC를 CloudWatch 서비스에 연결하려면 VPC에 대해 인터페이스 VPC 엔드포인트를 정의합니다. 엔드포인트는 인터넷 게이트웨이, 네트워크 주소 변환(NAT) 인스턴스 또는 VPN 연결 없이도 CloudWatch 및 지원되는 CloudWatch 서비스에 대한 신뢰할 수 있는 확장 가능한 연결을 제공합니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC란 무엇입니까? 섹션을 참조하세요.

인터페이스 VPC 엔드포인트는 프라이빗 IP 주소와 함께 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간 프라이빗 통신을 사용할 수 있는 AWS 기술인 AWS PrivateLink에 의해 구동됩니다. 자세한 내용은 New – AWS PrivateLink for AWS Services 블로그 게시물을 참조하세요.

다음은 Amazon VPC 사용자를 위한 단계들입니다. 자세한 내용은 Amazon VPC 사용 설명서의 시작하기를 참조하세요.

CloudWatch VPC 엔드포인트

현재 CloudWatch가 VPC 엔드포인트를 지원하는 AWS 리전은 다음과 같습니다.

  • 미국 동부(오하이오)

  • 미국 동부(버지니아 북부)

  • 미국 서부(캘리포니아 북부)

  • 미국 서부(오리건)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(오사카)

  • 아시아 태평양(서울)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)

  • 아시아 태평양(도쿄)

  • 캐나다(중부)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • 유럽(런던)

  • 유럽(파리)

  • 중동(UAE)

  • 남아메리카(상파울루)

  • AWS GovCloud(미국 동부)

  • AWS GovCloud(미국 서부)

CloudWatch VPC 엔드포인트 생성하기

VPC에서 CloudWatch를 사용하려면 CloudWatch용 인터페이스 VPC 엔드포인트를 생성해야 합니다. 선택할 서비스 이름은 com.amazonaws.region.monitoring입니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하세요.

CloudWatch의 설정을 변경할 필요는 없습니다. CloudWatch는 퍼블릭 엔드포인트 또는 프라이빗 인터페이스 VPC 엔드포인트 중에서 현재 사용 중인 엔드포인트를 사용해 다른 AWS 서비스를 호출합니다. 예를 들어 CloudWatch용 인터페이스 VPC 엔드포인트를 생성할 때 VPC에 있는 리소스에서 CloudWatch로 흐르는 지표가 이미 있는 경우 이러한 지표는 기본적으로 인터페이스 VPC 엔드포인트를 통해 흐르기 시작합니다.

CloudWatch VPC 엔드포인트 액세스 제어하기

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 생성할 때 정책을 연결하지 않으면 Amazon VPC는 서비스에 대한 전체 액세스를 허용하는 기본 정책을 자동으로 연결합니다. 엔드포인트 정책은 사용자 정책 또는 서비스별 정책을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

엔드포인트 정책은 JSON 형식으로 작성해야 합니다.

자세한 정보는 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

다음은 CloudWatch에 대한 엔드포인트 정책의 예입니다. 이 정책은 VPC를 통해 CloudWatch에 연결하는 사용자가 지표 데이터를 CloudWatch에 전송하도록 허용하며 다른 CloudWatch 작업을 수행하지 못하게 방지합니다.

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
CloudWatch에 대한 VPC 엔드포인트 정책을 편집하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. CloudWatch에 대한 엔드포인트를 아직 생성하지 않았다면 엔드포인트 생성을 선택하세요. com.amazonaws.region.monitoring을 선택한 다음 엔드포인트 생성을 선택합니다.

  4. com.amazonaws.region.monitoring을 선택한 다음 정책 탭을 선택합니다.

  5. 정책 편집을 선택하고 변경하세요.

CloudWatch Synthetics VPC 엔드포인트

현재 CloudWatch Synthetics가 VPC 엔드포인트를 지원하는 AWS 리전은 다음과 같습니다.

  • 미국 동부(오하이오)

  • 미국 동부(버지니아 북부)

  • 미국 서부(캘리포니아 북부)

  • 미국 서부(오리건)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(서울)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)

  • 아시아 태평양(도쿄)

  • 캐나다(중부)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • 유럽(런던)

  • 유럽(파리)

  • 남아메리카(상파울루)

CloudWatch Synthetics VPC 엔드포인트 생성하기

VPC에서 CloudWatch Synthetics를 사용하려면 CloudWatch Synthetics용 인터페이스 VPC 엔드포인트를 생성해야 합니다. 선택할 서비스 이름은 com.amazonaws.region.synthetics입니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하세요.

CloudWatch Synthetics의 설정을 변경할 필요는 없습니다. CloudWatch Synthetics는 퍼블릭 엔드포인트 또는 프라이빗 인터페이스 VPC 엔드포인트 중에서 현재 사용 중인 엔드포인트를 사용해 다른 AWS 서비스와 통신합니다. 예를 들어 CloudWatch Synthetics용 인터페이스 VPC 엔드포인트를 생성할 때 Amazon S3용 인터페이스 엔드포인트가 이미 있는 경우 CloudWatch Synthetics는 기본적으로 인터페이스 VPC 엔드포인트를 통해 Amazon S3와 통신을 시작합니다.

CloudWatch Synthetics VPC 엔드포인트 액세스 제어하기

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가됩니다. 엔드포인트 정책은 사용자 정책 또는 서비스별 정책을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

엔드포인트 정책은 VPC에서 비공개로 관리되는 canary에 영향을 줍니다. 프라이빗 서브넷에서 실행되는 canary에는 엔드포인트 정책이 필요하지 않습니다.

엔드포인트 정책은 JSON 형식으로 작성해야 합니다.

자세한 정보는 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

다음은 CloudWatch Synthetics에 대한 엔드포인트 정책의 예입니다. 이 정책을 사용하면 VPC를 통해 CloudWatch Synthetics에 연결하는 사용자가 canary 및 해당 실행에 관한 정보를 볼 수 있지만 canary를 생성, 수정 또는 삭제할 수는 없습니다.

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
CloudWatch Synthetics에 대한 VPC 엔드포인트 정책을 편집하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. CloudWatch Synthetics에 대한 엔드포인트를 아직 생성하지 않았다면 엔드포인트 생성을 선택하세요. com.amazonaws.region.synthetics를 선택한 다음 엔드포인트 생성을 선택합니다.

  4. com.amazonaws.region.synthetics 엔드포인트를 선택하고 정책 탭을 선택하세요.

  5. 정책 편집을 선택하고 변경하세요.

CloudWatch Network Monitoring 기능 VPC 엔드포인트

CloudWatch Network Monitoring에는 Network Flow Monitor, Internet Monitor, Network Synthetic Monitor 기능이 포함되어 있습니다. 이러한 기능은 각각 Network Monitoring 기능이 지원되는 AWS 리전에서 VPC 엔드포인트를 지원합니다.

각 Network Monitoring 기능에 대해 지원되는 리전 목록을 보려면 다음 주제를 참조하세요.

CloudWatch Network Monitoring 기능에 대한 VPC 엔드포인트 생성

VPC에서 CloudWatch Network Monitoring 기능을 사용하기 시작하려면 사용하려는 기능에 대한 인터페이스 VPC 엔드포인트를 생성합니다. Network Monitoring의 경우 다음 서비스 이름을 사용할 수 있습니다.

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하세요.

Network Monitoring 서비스의 설정은 변경하지 않아도 됩니다. Network Monitoring 서비스는 퍼블릭 엔드포인트 또는 프라이빗 인터페이스 VPC 엔드포인트 중에서 현재 사용 중인 엔드포인트를 통해 다른 AWS 서비스와 통신합니다. 예를 들어 Network Monitoring 서비스에 대한 인터페이스 VPC 엔드포인트를 생성할 때 VPC에 위치한 리소스에서 서비스로 전달되는 지표가 이미 있는 경우 이 지표는 기본적으로 인터페이스 VPC 엔드포인트를 통해 전달되기 시작합니다.

CloudWatch Network Monitoring 기능 VPC 엔드포인트에 대한 액세스 제어

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트 정책은 사용자 정책 또는 서비스별 정책을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

엔드포인트를 생성할 때 정책을 연결하지 않으면 Amazon VPC는 특정 서비스에 대한 액세스를 제한하지 않고 전체 액세스를 허용하는 기본 정책을 연결합니다. 추가 보안을 위해 엔드포인트에 정책을 연결하여 기능에 대한 액세스를 한정적으로 제한할 수 있습니다. 예를 들어 Internet Monitor의 경우 기능에 대한 전체 액세스를 허용하는 AWS 관리형 정책인 CloudWatchInternetMonitorFullAccess를 연결하여 Internet Monitor로만 제한된 전체 액세스를 허용할 수 있습니다. 또는 엔드포인트에 대한 특정 작업으로만 권한을 추가적으로 제한할 수 있습니다.

자세한 정보는 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

다음은 엔드포인트에 대한 작업을 제한하기 위해 Network Flow Monitor에 대해 생성할 수 있는 엔드포인트 정책의 예제입니다. 이 정책을 사용하면 VPC를 통해 Network Flow Monitor에 대한 요청에서 Publish 작업만 사용할 수 있습니다. 그러면 요청은 Network Flow Monitor 백엔드 수집에 지표를 게시할 수 있습니다.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

Network Monitoring 기능에 대한 인터페이스 VPC 엔드포인트와 함께 특정 VPC 엔드포인트 정책을 사용하려면 다음 예제와 유사한 단계를 사용하여 Network Flow Monitor에 대한 정책을 추가합니다.

Network Flow Monitor에 대한 VPC 엔드포인트 정책을 편집하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. Internet Monitor에 대한 엔드포인트를 아직 생성하지 않았다면 엔드포인트 생성을 선택하세요.

  4. com.amazonaws.region.networkflowmonitor를 선택하고 엔드포인트 생성을 선택하세요.

  5. com.amazonaws.region.networkflowmonitor를 선택하고 정책 탭을 선택하세요.

  6. 정책 편집을 선택하고 변경하세요.