As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando CloudWatch registros com endpoints VPC de interface
<a name="cloudwatch-logs-and-interface-VPC"></a>

Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e Logs. CloudWatch Você pode usar essa conexão para enviar registros para o CloudWatch Logs sem enviá-los pela Internet. CloudWatch O Logs é compatível com IPv4 VPC endpoints em todas as regiões e com IPv6 endpoints em todas as regiões.

O Amazon VPC é um AWS serviço que você pode usar para lançar AWS recursos em uma rede virtual que você define. Com a VPC, você tem controle sobre as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para conectar sua VPC ao CloudWatch Logs, você define uma interface *VPC* endpoint para Logs. CloudWatch Esse tipo de endpoint permite que você conecte a VPC aos serviços da AWS . O endpoint fornece conectividade confiável e escalável aos CloudWatch registros sem exigir um gateway de internet, instância de tradução de endereços de rede (NAT) ou conexão VPN. Para obter mais informações, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) no *Manual do usuário da Amazon VPC*.

 Os endpoints VPC da Interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com endereços IP privados. Para obter mais informações, consulte [Novo — AWS PrivateLink para AWS serviços](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).

As etapas a seguir são para usuários da Amazon VPC. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) no *Guia do usuário da Amazon VPC*.

## Disponibilidade
<a name="cloudwatch-logs-interface-VPC-availability"></a>

CloudWatch Atualmente, o Logs oferece suporte a VPC endpoints em todas as AWS regiões, incluindo as regiões. AWS GovCloud (US) 

## Criação de um VPC endpoint para registros CloudWatch
<a name="create-VPC-endpoint-for-CloudWatchLogs"></a>

Para começar a usar o CloudWatch Logs com sua VPC, crie uma interface VPC endpoint para Logs. CloudWatch O serviço a ser escolhido é **com.amazonaws. *Region*.registros**. Para se conectar a um endpoint FIPS, o serviço a ser escolhido é. `com.amazonaws.Region.logs-fips` Você não precisa alterar nenhuma configuração dos CloudWatch registros. Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) no *Guia do usuário da Amazon VPC*.

Alguns CloudWatch registros APIs, como StartLiveTail e GetLogObject, são hospedados em um endpoint e um endpoint VPC diferentes:. `stream-logs.Region.amazonaws.com` **Para criar uma interface VPC endpoint para eles APIs, o serviço a ser escolhido é com.amazonaws. *Region*.stream-logs**. Para se conectar a um endpoint FIPS, o serviço a ser escolhido é. `com.amazonaws.Region.stream-logs-fips` 



## Testando a conexão entre sua VPC e Logs CloudWatch
<a name="test-VPC-endpoint-for-CloudWatchLogs"></a>

Depois de criar o endpoint, você pode testar a conexão.

**Para testar a conexão entre sua VPC e seu CloudWatch endpoint de registros**

1. Conecte-se a uma instância do Amazon EC2 que reside na VPC. Para obter mais informações sobre a conexão, consulte [Conecte-se à sua instância do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) ou [Conexão com sua instância Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) na documentação do Amazon EC2.

1. Na instância, use o AWS CLI para criar uma entrada de registro em um dos seus grupos de registros existentes.

   Primeiro, crie um arquivo JSON com um evento de log. O timestamp deve ser especificado como o número de milissegundos após 1º de janeiro de 1970 00:00:00 UTC.

   ```
   [
     {
       "timestamp": 1533854071310,
       "message": "VPC Connection Test"
     }
   ]
   ```

   Em seguida, use o comando `put-log-events` para criar a entrada de log:

   ```
   aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
   ```

   Se a resposta ao comando incluir `nextSequenceToken`, o comando terá sido bem-sucedido e o VPC endpoint estará funcionando.

## Controle do acesso ao seu endpoint CloudWatch VPC do Logs
<a name="CloudWatchLogs-VPC-endpoint-policy"></a>

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint quando cria ou modifica o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos uma política padrão que permita o acesso total ao serviço. Uma política de endpoint não substitui as políticas do IAM nem as políticas específicas do serviço. É uma política separada para controlar o acesso do endpoint ao serviço especificado. 

Políticas de endpoint devem ser gravadas em formato JSON. 

Para obter mais informações, consulte [Controlar o acesso a serviços com VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Manual do usuário da Amazon VPC*.

Veja a seguir um exemplo de uma política de endpoint para CloudWatch Logs. Essa política permite que os usuários se conectem ao CloudWatch Logs por meio da VPC para criar fluxos de registros e enviar CloudWatch registros para o Logs, além de impedir que eles realizem outras CloudWatch ações do Logs.

```
{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**Para modificar a política de VPC endpoint para Logs CloudWatch**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints**.

1. Se você ainda não criou o endpoint para CloudWatch Logs, escolha **Create Endpoint**. Em seguida, selecione **com.amazonaws. *Region*.logs** e escolha **Criar endpoint**.

1. Selecione o **com.amazonaws. *Region*.logs** endpoint e escolha a guia **Política** na metade inferior da tela.

1. Selecione **Edit policy (Editar política)** e faça as alterações na política.

## Compatibilidade com chaves de contexto da VPC
<a name="Support-VPC-Context-Keys"></a>

CloudWatch O Logs oferece suporte às chaves de `aws:SourceVpce` contexto `aws:SourceVpc` e de contexto que podem limitar o acesso a VPCs endpoints de VPC específicos ou específicos. Essas chaves funcionam somente quando o usuário está usando VPC endpoints. Para obter mais informações, consulte [Chaves disponíveis para alguns serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) no *Manual do usuário do IAM*.