Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo dei CloudWatch log con endpoint VPC di interfaccia
<a name="cloudwatch-logs-and-interface-VPC"></a>

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e Logs. CloudWatch Puoi utilizzare questa connessione per inviare log a CloudWatch Logs senza inviarli tramite Internet. CloudWatch Logs supporta gli endpoint IPv4 VPC in tutte le regioni e IPv6 supporta gli endpoint in tutte le regioni.

Amazon VPC è un AWS servizio che puoi utilizzare per avviare AWS risorse in una rete virtuale definita dall'utente. Con un VPC;, detieni il controllo delle impostazioni della rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per connettere il tuo VPC ai CloudWatch log, definisci un endpoint *VPC* di interfaccia per Logs. CloudWatch Questo tipo di endpoint consente di collegare il VPC ai servizi AWS . L'endpoint fornisce una connettività affidabile e scalabile ai CloudWatch log senza richiedere un gateway Internet, un'istanza NAT (Network Address Translation) o una connessione VPN. Per ulteriori informazioni, consulta [Che cos'è Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) nella *Guida per l'utente di Amazon VPC*.

 Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che consente la comunicazione privata tra AWS i servizi utilizzando un'interfaccia di rete elastica con indirizzi IP privati. Per ulteriori informazioni, vedere [New — AWS PrivateLink for AWS Services](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).

Le fasi seguenti sono per gli utenti Amazon VPC. Per ulteriori informazioni, consulta l'argomento relativo alle [ nozioni di base](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) nella *Guida per l'utente di Amazon VPC*.

## Disponibilità
<a name="cloudwatch-logs-interface-VPC-availability"></a>

CloudWatch Logs attualmente supporta gli endpoint VPC in AWS tutte le regioni, incluse le regioni. AWS GovCloud (US) 

## Creazione di un endpoint VPC per i log CloudWatch
<a name="create-VPC-endpoint-for-CloudWatchLogs"></a>

Per iniziare a utilizzare CloudWatch Logs con il tuo VPC, crea un endpoint VPC di interfaccia per Logs. CloudWatch **Il servizio da scegliere è com.amazonaws. {{Region}}.registri.** Per connettersi con un endpoint FIPS, il servizio da scegliere è. `com.amazonaws.Region.logs-fips` Non è necessario modificare alcuna impostazione per CloudWatch i registri. Per ulteriori informazioni, consulta [ Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html) nella *Guida per l'utente di Amazon VPC*.

Alcuni CloudWatch log APIs, come StartLiveTail e GetLogObject, sono ospitati su un endpoint e un endpoint VPC diversi:. `stream-logs.Region.amazonaws.com` **Per creare un endpoint VPC di interfaccia per questi APIs, il servizio da scegliere è com.amazonaws. {{Region}}.stream-logs.** Per connettersi con un endpoint FIPS, il servizio da scegliere è. `com.amazonaws.Region.stream-logs-fips` 



## Verifica della connessione tra il tuo VPC e Logs CloudWatch
<a name="test-VPC-endpoint-for-CloudWatchLogs"></a>

Dopo aver creato l'endpoint, è possibile testare la connessione.

**Per testare la connessione tra il tuo VPC e l'endpoint Logs CloudWatch**

1. Connettiti a un'istanza Amazon EC2 che risiede nel tuo VPC. Per informazioni sulla connessione, consulta [Connessione all'istanza Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpce-interface.html#create-interface-endpoint.html) o [Connessione all'istanza Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html) nella documentazione Amazon EC2.

1. Dall'istanza, usa AWS CLI per creare una voce di registro in uno dei gruppi di log esistenti.

   Prima di tutto, creare un file JSON con un evento di log. Il timestamp deve essere specificato come numero di millisecondi dopo il 1° gennaio 1970 alle 00:00:00 UTC.

   ```
   [
     {
       "timestamp": 1533854071310,
       "message": "VPC Connection Test"
     }
   ]
   ```

   Quindi, utilizzare il comando `put-log-events` per creare la voce di log:

   ```
   aws logs put-log-events --log-group-name {{LogGroupName}} --log-stream-name {{LogStreamName}} --log-events file://{{JSONFileName}}
   ```

   Se la risposta al comando include `nextSequenceToken`, il comando è riuscito e l'endpoint VPC sta funzionando.

## Controllo dell'accesso all'endpoint VPC CloudWatch Logs
<a name="CloudWatchLogs-VPC-endpoint-policy"></a>

Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non colleghi una policy durante la creazione di un endpoint, viene collegata una policy predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy IAM o policy specifiche del servizio. Si tratta di una policy separata per controllare l'accesso dall'endpoint al servizio specificato. 

Le policy endpoint devono essere scritte in formato JSON. 

Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.

Di seguito è riportato un esempio di policy sugli endpoint per Logs. CloudWatch Questa policy consente agli utenti che si connettono ai CloudWatch log tramite il VPC di creare flussi di log e inviare log CloudWatch ai log, e impedisce loro di eseguire altre azioni di log. CloudWatch 

```
{
  "Statement": [
    {
      "Sid": "PutOnly",
      "Principal": "*",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

**Per modificare la policy degli endpoint VPC per Logs CloudWatch**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel pannello di navigazione, seleziona **Endpoint**.

1. **Se non hai ancora creato l'endpoint for CloudWatch Logs, scegli Crea endpoint.** **Quindi seleziona com.amazonaws. **{{Region}}**.logs e scegli Crea endpoint.**

1. **Seleziona com.amazonaws. {{Region}}.logs** endpoint e scegli la scheda **Policy** nella metà inferiore dello schermo.

1. Scegli **Edit Policy (Modifica policy)** e apporta le modifiche alla policy.

## Supporto delle chiavi di contesto VPC
<a name="Support-VPC-Context-Keys"></a>

CloudWatch Logs supporta `aws:SourceVpc` le chiavi di `aws:SourceVpce` contesto che possono limitare l'accesso a endpoint VPC specifici VPCs o specifici. Queste chiavi funzionano solo se l'utente utilizza endpoint VPC. Per ulteriori informazioni, consulta [Chiavi disponibili per alcuni servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-service-available) nella *Guida per l'utente di IAM*.