搭配界面 VPC 端點使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch Network Monitoring - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch 網路監控

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配界面 VPC 端點使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch Network Monitoring

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC、CloudWatch、CloudWatch Synthetics 和 CloudWatch Network Monitoring 功能之間建立私有連線。您可以使用這些連線,讓這些服務與 VPC 中的資源通訊,而無需透過公有網際網路。

Amazon VPC 是一種 AWS 服務,可用來在定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連線至 CloudWatch 服務,您可以定義 VPC 的介面 VPC 端點。端點為 CloudWatch 和支援的 CloudWatch 服務提供可靠、可擴展的連線,而不需要網際網路閘道、網路地址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

介面 VPC 端點採用 AWS PrivateLink 技術,這項 AWS 技術可使用具有私有 IP 地址的彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱下列部落格文章:New – AWS PrivateLink for AWS Services

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

CloudWatch VPC 端點

CloudWatch 目前在下列 AWS 區域中支援 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 中東 (阿拉伯聯合大公國)

  • 南美洲 (聖保羅)

  • AWS GovCloud (美國東部)

  • AWS GovCloud (美國西部)

建立 CloudWatch 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch,請為 CloudWatch 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.monitoring。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch 的設定。CloudWatch 使用公有端點或私有介面 VPC 端點呼叫其他 AWS 服務,以使用中者為準。例如,如果您建立 CloudWatch 的界面 VPC 端點,而且您已經有指標從位於您 VPC 中的資源傳入 CloudWatch,這些指標則會依預設透過界面 VPC 端點開始傳入。

控制您對 CloudWatch VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是 CloudWatch 端點政策的範例。此政策可讓使用者透過 VPC 連接到 CloudWatch,來將指標資料傳送到 CloudWatch,而且會防止使用者執行其他 CloudWatch 動作。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
若要編輯 CloudWatch 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果您尚未建立 CloudWatch 的端點,請選擇建立端點。選取 com.amazonaws.區域.monitoring,然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.區域.monitoring 端點,然後選擇 Policy (政策) 索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch Synthetics VPC 端點

CloudWatch Synthetics 目前支援下列 AWS 區域的 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (香港)

  • Asia Pacific (Mumbai)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 南美洲 (聖保羅)

建立 CloudWatch Synthetics 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch Synthetics,請為 CloudWatch Synthetics 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.synthetics。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch Synthetics 的設定。CloudWatch Synthetics 會使用公有端點或私有介面 VPC 端點與其他 AWS 服務通訊,以使用中者為準。例如,如果您為 CloudWatch Synthetics 建立一個界面 VPC 端點,而您已經有一個適用於 Amazon S3 的界面端點,則根據預設,CloudWatch Synthetics 會開始透過界面 VPC 端點與 Amazon S3 進行通訊。

控制您對 CloudWatch Synthetics VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策會影響由 VPC 私下管理的 canary。在私有子網路上執行的 canary 不需要它們。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下為 CloudWatch Synthetics 端點政策的範例。此政策可讓使用者透過 VPC 連線至 CloudWatch Synthetics,檢視 Canary 及其執行的相關資訊,但不能建立、修改或刪除 Canary。

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
編輯 CloudWatch Synthetics 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果您尚未建立 CloudWatch Synthetics 的端點,請選擇建立端點。選取 com.amazonaws.區域.synthetics 然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.region.synthetics 端點,然後選擇政策索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch Network Monitoring 功能 VPC 端點

CloudWatch Network Monitoring 包含下列功能:Network Flow Monitor、Internet Monitor 和 Network Synthetic Monitor。這些功能每個都支援支援網路監控功能的 AWS 區域中的 VPC 端點。

若要查看每個網路監控功能的支援區域清單,請參閱下列主題:

為 CloudWatch Network Monitoring 功能建立 VPC 端點

若要開始將 CloudWatch Network Monitoring 功能與 VPC 搭配使用,請為您要使用的功能建立介面 VPC 端點。對於網路監控,可使用下列服務名稱:

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更網路監控服務的設定。網路監控服務會使用公有端點或私有界面 VPC 端點與其他 AWS 服務通訊,以使用中者為準。例如,如果您為網路監控服務建立界面 VPC 端點,且您已有指標從位於 VPC 上的資源流入服務,則根據預設,指標會開始流經界面 VPC 端點。

控制對 CloudWatch Network Monitoring 功能 VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

如果您在建立端點時未連接政策,Amazon VPC 會為您連接預設政策,以允許完整存取,且不會限制對特定服務的存取。為了提高安全性,您可以將政策連接至端點,以特別限制對 功能的存取。例如,對於網際網路監視器,您可以連接可完整存取功能的 AWS 受管政策 CloudWatchInternetMonitorFullAccess,以允許僅網際網路監視器的完整存取。或者,您可以進一步將許可限制為僅端點的特定動作。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是您可以為 Network Flow Monitor 建立的端點政策範例,以限制端點的動作。此政策允許透過 VPC 向 Network Flow Monitor 發出的請求僅使用 Publish動作,這可讓請求將指標發佈至 Network Flow Monitor 後端擷取。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

如果您想要將特定 VPC 端點政策與 Network Monitoring 功能的介面 VPC 端點搭配使用,請使用類似下列範例的步驟來新增 Network Flow Monitor 的政策。

編輯 Network Flow Monitor 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果您尚未建立網際網路監視器的端點,請選擇建立端點

  4. 選取 com.amazonaws.region.networkflowmonitor,然後選擇建立端點

  5. 選取 com.amazonaws.region.networkflowmonitor 端點,然後選擇政策索引標籤。

  6. 選擇編輯政策,然後進行變更。