使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點 - Amazon CloudWatch
CloudWatchCloudWatch SyntheticsCloudWatch 網路監控

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC、CloudWatch、CloudWatch Synthetics 和 CloudWatch Network Monitoring 功能之間建立私有連線。可以利用這些連線,讓這些服務無需透過公共網際網路即可與 VPC 中的資源通訊。

Amazon VPC 是一種 AWS 服務,可用來在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連接到 CloudWatch 服務,需要為 VPC 定義介面 VPC 端點。端點提供可靠且可擴展的連線能力,可直接連接至 CloudWatch 及支援的 CloudWatch 服務,無需透過網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

介面 VPC 端點採用 AWS PrivateLink 技術,這項 AWS 技術可使用具有私有 IP 地址的彈性網路介面,在 AWS 服務之間進行私有通訊。如需詳細資訊,請參閱下列部落格文章:New – AWS PrivateLink for AWS Services

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

CloudWatch VPC 端點

CloudWatch 目前在所有 AWS 區域中都支援 VPC 端點,包括IPv6-only 和啟用雙堆疊的端點,包括 AWS GovCloud (US) 區域。如需端點 URL 的詳細資訊,請參閱 CloudWatch 端點和配額

建立 CloudWatch 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch,請為 CloudWatch 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.monitoring。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch 的設定。CloudWatch 會使用公有端點或私有介面 VPC 端點呼叫其他 AWS 服務,以使用中者為準。例如,如果您建立 CloudWatch 的界面 VPC 端點,而且您已經有指標從位於您 VPC 中的資源傳入 CloudWatch,這些指標則會依預設透過界面 VPC 端點開始傳入。

控制您對 CloudWatch VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是 CloudWatch 端點政策的範例。此政策可讓使用者透過 VPC 連接到 CloudWatch,來將指標資料傳送到 CloudWatch,而且會防止使用者執行其他 CloudWatch 動作。

{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
若要編輯 CloudWatch 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 CloudWatch 的端點,請選擇建立端點。選取 com.amazonaws.區域.monitoring,然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.區域.monitoring 端點,然後選擇 Policy (政策) 索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch Synthetics VPC 端點

CloudWatch Synthetics 目前在下列 AWS 區域中支援 VPC 端點:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太地區 (香港)

  • Asia Pacific (Mumbai)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太地區 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 南美洲 (聖保羅)

建立 CloudWatch Synthetics 的 VPC 端點

若要搭配 VPC 開始使用 CloudWatch Synthetics,請為 CloudWatch Synthetics 建立界面 VPC 端點。要選擇的服務名稱為 com.amazonaws.region.synthetics。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

您不需要變更 CloudWatch Synthetics 的設定。CloudWatch Synthetics 會使用公有端點或私有介面 VPC 端點與其他 AWS 服務通訊,以使用中者為準。例如,如果您為 CloudWatch Synthetics 建立一個界面 VPC 端點,而您已經有一個適用於 Amazon S3 的界面端點,則根據預設,CloudWatch Synthetics 會開始透過界面 VPC 端點與 Amazon S3 進行通訊。

控制您對 CloudWatch Synthetics VPC 端點的存取

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策,我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策會影響由 VPC 私下管理的 canary。在私有子網路上執行的 canary 不需要它們。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下為 CloudWatch Synthetics 端點政策的範例。此政策可讓使用者透過 VPC 連線至 CloudWatch Synthetics,檢視 Canary 及其執行的相關資訊,但不能建立、修改或刪除 Canary。

{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
編輯 CloudWatch Synthetics 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 CloudWatch Synthetics 的端點,請選擇建立端點。選取 com.amazonaws.區域.synthetics 然後選擇 Create endpoint (建立端點)

  4. 選取 com.amazonaws.region.synthetics 端點,然後選擇政策索引標籤。

  5. 選擇編輯政策,然後進行變更。

CloudWatch 網路監控功能 VPC 端點

CloudWatch 網路監控包含下列功能:Network Flow Monitor、Internet Monitor 和網絡合成監視器。這些功能各自支援支援網路監控功能的 AWS 區域中的 VPC 端點。

若要檢視每個網路監控功能的支援區域清單,請參閱下列主題:

為 CloudWatch 網路監控功能建立 VPC 端點

若要開始將 CloudWatch 網路監控功能與 VPC 搭配使用,請為要使用的功能建立介面 VPC 端點。對於網路監控,可使用以下服務名稱:

  • com.amazonaws.region.networkflowmonitor

  • com.amazonaws.region.networkflowmonitorreports

  • com.amazonaws.region.internetmonitor

  • com.amazonaws.region.internetmonitor-fips

  • com.amazonaws.region.networkmonitor

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點

不需要變更網路監控服務的設定。網路監控服務會使用公有端點或私有介面 VPC 端點與其他 AWS 服務通訊,以使用中者為準。例如,如果您建立網路監控服務的介面 VPC 端點,而且您已經有指標從位於您 VPC 中的資源傳入服務,這些指標則會依預設透過介面 VPC 端點開始傳入。

控制對 CloudWatch 網路監控功能 VPC 端點的存取權

當您建立或修改端點時,VPC 端點政策是您連接至端點的 IAM 資源政策。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

如果未在建立端點時連接政策,Amazon VPC 會以預設政策連接以允許完整存取服務,不限制對特定服務的存取。為加強安全性,可將政策附加至端點,以明確限制對該功能的存取權限。例如,對於網路監視器,您可以連接可完整存取功能的 AWS 受管政策 CloudWatchInternetMonitorFullAccess,以允許僅網路監視器的完整存取。或者,也可以進一步限制權限,僅允許執行該端點的特定操作。

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

以下是您可以為 Network Flow Monitor 建立的端點政策範例,用於限制針對端點的動作。此政策允許透過 VPC 向 Network Flow Monitor 發出的請求僅使用 Publish 動作,這可讓請求將指標發布至 Network Flow Monitor 後端擷取。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}

如果想要將特定 VPC 端點政策與網路監控功能的介面 VPC 端點搭配使用,請使用類似下列範例的步驟來新增適用於 Network Flow Monitor 的政策。

編輯 Network Flow Monitor 的 VPC 端點政策

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中選擇 Endpoints (端點)

  3. 如果尚未建立 Internet Monitor 的端點,選擇建立端點

  4. 選取 com.amazonaws.region.networkflowmonitor,然後選擇建立端點

  5. 選取 com.amazonaws.region.networkflowmonitor 端點,然後選擇政策索引標籤。

  6. 選擇編輯政策,然後進行變更。