Amazon CloudWatch의 인프라 보안 - Amazon CloudWatch
네트워크 격리

Amazon CloudWatch의 인프라 보안

관리형 서비스인 Amazon CloudWatch는 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework인프라 보호를 참조하세요.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 CloudWatch에 액세스합니다. 고객은 다음을 지원해야 합니다.

  • Transport Layer Security(TLS) TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

  • DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군 Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 비밀 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)을 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

네트워크 격리

Virtual Private Cloud(VPC)는 Amazon Web Services 클라우드에서 논리적으로 격리된 자체 영역에 있는 가상 네트워크입니다. 서브넷은 VPC의 IP 주소 범위입니다. VPC의 서브넷에 다양한 AWS 리소스를 배포할 수 있습니다. 예를 들어 서브넷에 Amazon EC2 인스턴스, EMR 클러스터, DynamoDB 테이블을 배포할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

CloudWatch가 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있도록 하려면 AWS PrivateLink를 사용합니다. 자세한 내용은 인터페이스 VPC 엔드포인트와 함께 CloudWatch, CloudWatch Synthetics 및 CloudWatch Network Monitoring 사용 단원을 참조하십시오.

프라이빗 서브넷은 퍼블릭 인터넷에 대한 기본 경로가 없는 서브넷입니다. 프라이빗 서브넷에 AWS 리소스를 배포해도 Amazon CloudWatch가 리소스에서 기본 제공 지표를 수집하지 못하게 되지 않습니다.

프라이빗 서브넷에 AWS 리소스의 사용자 지정 지표를 게시해야 하는 경우 프록시 서버를 사용하여 게시할 수 있습니다. 프록시 서버는 이러한 HTTPS 요청을 CloudWatch의 퍼블릭 API 엔드포인트로 전달합니다.