Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des CloudWatch journaux avec les points de terminaison VPC de l'interface
Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et Logs. CloudWatch Vous pouvez utiliser cette connexion pour envoyer des CloudWatch journaux à Logs sans les envoyer via Internet. CloudWatch Logs prend en charge les points de terminaison IPv4 VPC dans toutes les régions et prend en charge les IPv6 points de terminaison dans toutes les régions.
Amazon VPC est un AWS service que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d’adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC aux CloudWatch journaux, vous devez définir un point de terminaison *VPC d'interface* pour les journaux. CloudWatch Ce type de point de terminaison vous permet de connecter votre VPC à des services AWS . Le point de terminaison fournit une connectivité fiable et évolutive aux CloudWatch journaux sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, consultez [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/) dans le *Guide de l'utilisateur Amazon VPC*.
Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, voir [Nouveau — AWS PrivateLink pour les AWS services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Les étapes suivantes s'adressent aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez [Démarrez](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) dans le *Amazon VPC Guide de l'utilisateur*.
## Disponibilité
CloudWatch Logs prend actuellement en charge les points de terminaison VPC dans toutes les AWS régions, y compris les régions. AWS GovCloud (US)
## Création d'un point de terminaison VPC pour les journaux CloudWatch
Pour commencer à utiliser CloudWatch les journaux avec votre VPC, créez un point de terminaison VPC d'interface pour les journaux. CloudWatch Le service à choisir est **com.amazonaws. *Region*.journaux**. Pour vous connecter à un point de terminaison FIPS, le service à choisir est`com.amazonaws.Region.logs-fips`. Il n'est pas nécessaire de modifier les paramètres des CloudWatch journaux. Pour plus d'informations, consultez [Création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) dans le *Amazon VPC Guide de l'utilisateur*.
Certains CloudWatch journaux APIs, tels que StartLiveTail et GetLogObject, sont hébergés sous un point de terminaison et un point de terminaison VPC différents :. `stream-logs.Region.amazonaws.com` **Pour créer un point de terminaison VPC d'interface pour ceux-ci APIs, le service à choisir est com.amazonaws. *Region*.stream-logs**. Pour vous connecter à un point de terminaison FIPS, le service à choisir est`com.amazonaws.Region.stream-logs-fips`.
## Test de la connexion entre votre VPC et Logs CloudWatch
Une fois que vous avez créé le point de terminaison, vous pouvez tester la connexion.
**Pour tester la connexion entre votre VPC et votre CloudWatch point de terminaison Logs**
1. Connectez-vous à une instance Amazon EC2 qui se trouve dans votre VPC. Pour plus d'informations sur la connexion, consultez [Connexion à votre instance Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) ou [Connexion à votre instance Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) dans la documentation Amazon EC2.
1. À partir de l'instance, utilisez le AWS CLI pour créer une entrée de journal dans l'un de vos groupes de journaux existants.
Commencez par créer un fichier JSON avec un événement de journal. L'horodatage doit être spécifié en nombre de millisecondes après le 1er janvier 1970 00:00:00 UTC.
```
[
{
"timestamp": 1533854071310,
"message": "VPC Connection Test"
}
]
```
Utilisez ensuite la commande `put-log-events` pour créer une entrée de journal :
```
aws logs put-log-events --log-group-name LogGroupName --log-stream-name LogStreamName --log-events file://JSONFileName
```
Si la réponse à la commande inclut `nextSequenceToken`, cela signifie que la commande a réussi et que votre point de terminaison d'un VPC fonctionne.
## Contrôle de l'accès à votre point de CloudWatch terminaison Logs VPC
Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous ne définissez pas de politique lorsque vous créez un point de terminaison, nous définissons une politique par défaut pour vous, qui autorise un accès total au service. Une politique de point de terminaison n'annule pas et ne remplace pas les politiques IAM ou les politiques spécifiques aux services. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié.
Les politiques de point de terminaison doivent être écrites au format JSON.
Pour en savoir plus, consultez [Contrôle de l'accès aux services avec des points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *guide de l'utilisateur Amazon VPC*.
Voici un exemple de politique de point de terminaison pour CloudWatch Logs. Cette politique permet aux utilisateurs qui se connectent aux CloudWatch journaux via le VPC de créer des flux de journaux et d'envoyer des journaux aux CloudWatch journaux, et les empêche d'effectuer d'autres actions liées CloudWatch aux journaux.
```
{
"Statement": [
{
"Sid": "PutOnly",
"Principal": "*",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Pour modifier la politique de point de terminaison VPC pour les journaux CloudWatch**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Points de terminaison**.
1. Si vous n'avez pas encore créé le point de terminaison pour CloudWatch Logs, choisissez **Create Endpoint**. Sélectionnez ensuite **com.amazonaws. *Region*.logs** et choisissez **Create endpoint**.
1. Sélectionnez **com.amazonaws. *Region*.logs** endpoint, et choisissez l'onglet **Policy** dans la partie inférieure de l'écran.
1. Choisissez **Modifier la politique**, puis apportez les modifications souhaitées à la politique.
## Prise en charge des clés de contexte de VPC
CloudWatch Les journaux prennent en charge les clés de `aws:SourceVpce` contexte `aws:SourceVpc` et qui peuvent limiter l'accès à des points de terminaison VPC spécifiques VPCs ou spécifiques. Ces clés fonctionnent uniquement lorsque l'utilisateur utilise des points de terminaison d'un VPC. Pour plus d'informations, consultez [Clés disponibles pour certains services](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) dans le *Guide de l'utilisateur IAM*.