使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點 - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch 網路監控

使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管 AWS 資源,則可以在 VPC、CloudWatch、CloudWatch Synthetics 與 CloudWatch 網路監控功能之間建立私有連線。可以利用這些連線,讓這些服務無需透過公共網際網路即可與 VPC 中的資源通訊。

Amazon VPC 是一項 AWS 服務,您可用來在自己定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連接到 CloudWatch 服務,需要為 VPC 定義介面 VPC 端點。端點提供可靠且可擴展的連線能力,可直接連接至 CloudWatch 及支援的 CloudWatch 服務,無需透過網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

VPC 端點界面是由 AWS PrivateLink 的 AWS 技術,讓私有通訊使用於彈性網路介面與 AWS 服務之間的私有 IP 地址。如需詳細資訊,請參閱以下部落格文章:最新 – AWS 服務的 AWS PrivateLink

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

CloudWatch VPC 端點

CloudWatch 目前在所有 AWS 區域中都支援 VPC 端點,包括僅支援 IPv6 及啟用雙堆疊的端點,包括 AWS GovCloud (US) 區域。如需端點 URL 的詳細資訊,請參閱 CloudWatch 端點和配額

建立 CloudWatch 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch,請為 CloudWatch 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.monitoring。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch 的設定。CloudWatch 呼叫其他使用公有端點或私有界面 VPC 端點的 AWS 服務。例如,如果您建立 CloudWatch 的界面 VPC 端點,而且您已經有指標從位於您 VPC 中的資源傳入 CloudWatch,這些指標則會依預設透過界面 VPC 端點開始傳入。

控制您對 CloudWatch VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是 CloudWatch 端點政策的範例。此政策可讓使用者透過 VPC 連接到 CloudWatch,來將指標資料傳送到 CloudWatch,而且會防止使用者執行其他 CloudWatch 動作。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
若要編輯 CloudWatch 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 CloudWatch 的端點,請選擇建立端點。選取 com.amazonaws.區域.monitoring,然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.區域.monitoring 端點,然後選擇 Policy (政策) 索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch Synthetics VPC 端點

CloudWatch Synthetics 目前在下列 AWS 區域支援 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (巴黎)

  • 南美洲 (聖保羅)

建立 CloudWatch Synthetics 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch Synthetics,請為 CloudWatch Synthetics 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.synthetics。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch Synthetics 的設定。CloudWatch Synthetics 使用公有端點或私有界面 VPC 端點 (視何者使用中) 與其他 AWS 服務進行通訊。例如,如果您為 CloudWatch Synthetics 建立一個界面 VPC 端點,而您已經有一個適用於 Amazon S3 的界面端點,則根據預設,CloudWatch Synthetics 會開始透過界面 VPC 端點與 Amazon S3 進行通訊。

控制您對 CloudWatch Synthetics VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策會影響由 VPC 私下管理的 canary。在私有子網路上執行的 canary 不需要它們。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下為 CloudWatch Synthetics 端點政策的範例。此政策可讓使用者透過 VPC 連線至 CloudWatch Synthetics,檢視 Canary 及其執行的相關資訊,但不能建立、修改或刪除 Canary。

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
編輯 CloudWatch Synthetics 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 CloudWatch Synthetics 的端點,請選擇建立端點。選取 com.amazonaws.區域.synthetics 然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.region.synthetics 端點,然後選擇政策索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch 網路監控功能 VPC 端點

CloudWatch 網路監控包含下列功能:Network Flow Monitor、Internet Monitor 和網絡合成監視器。這些功能各自支援在 AWS 區域中啟用網路監控功能的 VPC 端點。

若要檢視每個網路監控功能的支援區域清單,請參閱下列主題:

為 CloudWatch 網路監控功能建立 VPC 端點

若要開始將 CloudWatch 網路監控功能與 VPC 搭配使用,請為要使用的功能建立介面 VPC 端點。對於網路監控,可使用以下服務名稱:

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

不需要變更網路監控服務的設定。網路監控服務使用公有端點或私有介面 VPC 端點 (視何者使用中) 與其他 AWS 服務通訊。例如,如果您建立網路監控服務的介面 VPC 端點,而且您已經有指標從位於您 VPC 中的資源傳入服務,這些指標則會依預設透過介面 VPC 端點開始傳入。

控制對 CloudWatch 網路監控功能 VPC 端點的存取權

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

如果未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務,不限制對特定服務的存取。為加強安全性,可將政策附加至端點,以明確限制對該功能的存取權限。例如,對於 Internet Monitor,可以透過附加允許完整存取該功能的 AWS 受管政策 CloudWatchInternetMonitorFullAccess,來僅對 Internet Monitor 授與完整存取權限。或者,也可以進一步限制權限,僅允許執行該端點的特定操作。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是您可以為 Network Flow Monitor 建立的端點政策範例,用於限制針對端點的動作。此政策允許透過 VPC 向 Network Flow Monitor 發出的請求僅使用 Publish 動作,這可讓請求將指標發佈至 Network Flow Monitor 後端擷取。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

如果想要將特定 VPC 端點政策與網路監控功能的介面 VPC 端點搭配使用,請使用類似下列範例的步驟來新增適用於 Network Flow Monitor 的政策。

編輯 Network Flow Monitor 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 Internet Monitor 的端點,選擇建立端點

  4. 選取 com.amazonaws.region.networkflowmonitor,然後選擇建立端點

  5. 選取 com.amazonaws.region.networkflowmonitor 端點,然後選擇政策索引標籤。

  6. 選擇編輯政策,然後進行變更。