

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 CloudWatch、CloudWatch Synthetics 和 CloudWatch 網路監控搭配介面 VPC 端點
<a name="cloudwatch-and-interface-VPC"></a>

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源，您可以在 VPC、CloudWatch、CloudWatch Synthetics 和 CloudWatch Network Monitoring 功能之間建立私有連線。可以利用這些連線，讓這些服務無需透過公共網際網路即可與 VPC 中的資源通訊。

Amazon VPC 是一種 AWS 服務，可用來在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定，例如 IP 地址範圍、子網路、路由表和網路閘道。若要將 VPC 連接到 CloudWatch 服務，需要為 VPC 定義*介面 VPC 端點*。端點提供可靠且可擴展的連線能力，可直接連接至 CloudWatch 及支援的 CloudWatch 服務，無需透過網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[什麼是 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)。

介面 VPC 端點採用 AWS PrivateLink 技術，這項 AWS 技術可使用具有私有 IP 地址的彈性網路介面，在 AWS 服務之間進行私有通訊。如需詳細資訊，請參閱下列部落格文章：[New – AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/)

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[入門](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)。

## CloudWatch VPC 端點
<a name="cloudwatch-interface-VPC-availability"></a>

CloudWatch 目前在所有 AWS 區域中都支援 VPC 端點，包括IPv6-only 和啟用雙堆疊的端點，包括 AWS GovCloud (US) 區域。如需端點 URL 的詳細資訊，請參閱 [CloudWatch 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cw_region.html)。

### 建立 CloudWatch 的 VPC 端點
<a name="create-VPC-endpoint-for-CloudWatch"></a>

若要搭配 VPC 開始使用 CloudWatch，請為 CloudWatch 建立界面 VPC 端點。要選擇的服務名稱為 `com.amazonaws.region.monitoring`。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html)。

您不需要變更 CloudWatch 的設定。CloudWatch 會使用公有端點或私有介面 VPC 端點呼叫其他 AWS 服務，以使用中者為準。例如，如果您建立 CloudWatch 的界面 VPC 端點，而且您已經有指標從位於您 VPC 中的資源傳入 CloudWatch，這些指標則會依預設透過界面 VPC 端點開始傳入。

### 控制您對 CloudWatch VPC 端點的存取
<a name="CloudWatch-VPC-endpoint-policy"></a>

當您建立或修改端點時，VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策，Amazon VPC 會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下是 CloudWatch 端點政策的範例。此政策可讓使用者透過 VPC 連接到 CloudWatch，來將指標資料傳送到 CloudWatch，而且會防止使用者執行其他 CloudWatch 動作。

```
{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**若要編輯 CloudWatch 的 VPC 端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中選擇 **Endpoints (端點)**。

1. 如果尚未建立 CloudWatch 的端點，請選擇**建立端點**。選取 **com.amazonaws.*區域*.monitoring**，然後選擇 **Create endpoint (建立端點)**。

1. 選取 **com.amazonaws.*區域*.monitoring** 端點，然後選擇 **Policy (政策)** 索引標籤。

1. 選擇**編輯政策**，然後進行變更。

## CloudWatch Synthetics VPC 端點
<a name="cloudwatch-synthetics-interface-VPC"></a>

CloudWatch Synthetics 目前在下列 AWS 區域中支援 VPC 端點：
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 亞太地區 (香港)
+ Asia Pacific (Mumbai)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (東京)
+ 加拿大 (中部)
+ 歐洲 (法蘭克福)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ Europe (Paris)
+ 南美洲 (聖保羅)

### 建立 CloudWatch Synthetics 的 VPC 端點
<a name="create-VPC-endpoint-for-CloudWatch-Synthetics"></a>

若要搭配 VPC 開始使用 CloudWatch Synthetics，請為 CloudWatch Synthetics 建立界面 VPC 端點。要選擇的服務名稱為 `com.amazonaws.region.synthetics`。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html)。

您不需要變更 CloudWatch Synthetics 的設定。CloudWatch Synthetics 會使用公有端點或私有介面 VPC 端點與其他 AWS 服務通訊，以使用中者為準。例如，如果您為 CloudWatch Synthetics 建立一個界面 VPC 端點，而您已經有一個適用於 Amazon S3 的界面端點，則根據預設，CloudWatch Synthetics 會開始透過界面 VPC 端點與 Amazon S3 進行通訊。

### 控制您對 CloudWatch Synthetics VPC 端點的存取
<a name="CloudWatch-Synthetics-VPC-endpoint-policy"></a>

當您建立或修改端點時，VPC 端點政策是您連接至端點的 IAM 資源政策。如果您未在建立端點時連接政策，我們會以預設政策連接以允許完整存取服務。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

端點政策會影響由 VPC 私下管理的 canary。在私有子網路上執行的 canary 不需要它們。

端點政策必須以 JSON 格式撰寫。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下為 CloudWatch Synthetics 端點政策的範例。此政策可讓使用者透過 VPC 連線至 CloudWatch Synthetics，檢視 Canary 及其執行的相關資訊，但不能建立、修改或刪除 Canary。

```
{
    "Statement": [
        {
            "Action": [
                "synthetics:DescribeCanaries",
                "synthetics:GetCanaryRuns"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
```

**編輯 CloudWatch Synthetics 的 VPC 端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中選擇 **Endpoints (端點)**。

1. 如果尚未建立 CloudWatch Synthetics 的端點，請選擇**建立端點**。選取 **com.amazonaws.*區域*.synthetics** 然後選擇 **Create endpoint (建立端點)**。

1. 選取 **com.amazonaws.*region*.synthetics** 端點，然後選擇**政策**索引標籤。

1. 選擇**編輯政策**，然後進行變更。

## CloudWatch 網路監控功能 VPC 端點
<a name="cloudwatch-network-monitoring-interface-VPC-availability"></a>

CloudWatch 網路監控包含下列功能：Network Flow Monitor、Internet Monitor 和網絡合成監視器。這些功能各自支援支援網路監控功能的 AWS 區域中的 VPC 端點。

若要檢視每個網路監控功能的支援區域清單，請參閱下列主題：
+ **Network Flow Monitor：** [AWS 區域 支援網路流量監控](CloudWatch-NetworkFlowMonitor-Regions.md)
+ **Internet Monitor：** [AWS 區域 支援網路監視器](CloudWatch-InternetMonitor.Regions.md)
+ **網絡合成監視器：** [AWS 區域 支援網路合成監視器](nw-monitor-regions.md)

### 為 CloudWatch 網路監控功能建立 VPC 端點
<a name="cloudwatch-network-monitoring-create-VPC-endpoint"></a>

若要開始將 CloudWatch 網路監控功能與 VPC 搭配使用，請為要使用的功能建立介面 VPC 端點。對於網路監控，可使用以下服務名稱：
+ `com.amazonaws.region.networkflowmonitor`
+ `com.amazonaws.region.networkflowmonitorreports`
+ `com.amazonaws.region.internetmonitor`
+ `com.amazonaws.region.internetmonitor-fips`
+ `com.amazonaws.region.networkmonitor`

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html)。

不需要變更網路監控服務的設定。網路監控服務會使用公有端點或私有介面 VPC 端點與其他 AWS 服務通訊，以使用中者為準。例如，如果您建立網路監控服務的介面 VPC 端點，而且您已經有指標從位於您 VPC 中的資源傳入服務，這些指標則會依預設透過介面 VPC 端點開始傳入。

### 控制對 CloudWatch 網路監控功能 VPC 端點的存取權
<a name="cloudwatch-network-monitoring-VPC-endpoint-policy"></a>

當您建立或修改端點時，VPC 端點政策是您連接至端點的 IAM 資源政策。端點政策不會覆寫或取代使用者政策或服務特定的政策。這個另行區分的政策會控制從端點到所指定之服務的存取。

如果未在建立端點時連接政策，Amazon VPC 會以預設政策連接以允許完整存取服務，不限制對特定服務的存取。為加強安全性，可將政策附加至端點，以明確限制對該功能的存取權限。例如，對於網路監視器，您可以連接可完整存取功能的 AWS 受管政策 [CloudWatchInternetMonitorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorFullAccess.html)，以允許僅網路監視器的完整存取。或者，也可以進一步限制權限，僅允許執行該端點的特定操作。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

以下是您可以為 Network Flow Monitor 建立的端點政策範例，用於限制針對端點的動作。此政策允許透過 VPC 向 Network Flow Monitor 發出的請求僅使用 `Publish` 動作，這可讓請求將指標發布至 Network Flow Monitor 後端擷取。

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "networkflowmonitor:Publish",
            "Resource": "*"
        }
    ]
}
```

如果想要將特定 VPC 端點政策與網路監控功能的介面 VPC 端點搭配使用，請使用類似下列範例的步驟來新增適用於 Network Flow Monitor 的政策。

**編輯 Network Flow Monitor 的 VPC 端點政策**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中選擇 **Endpoints (端點)**。

1. 如果尚未建立 Internet Monitor 的端點，選擇**建立端點**。

1. 選取 **com.amazonaws.*region*.networkflowmonitor**，然後選擇**建立端點**。

1. 選取 **com.amazonaws.*region*.networkflowmonitor** 端點，然後選擇**政策**索引標籤。

1. 選擇**編輯政策**，然後進行變更。