Я пытаюсь изолировать свой экземпляр от Интернета — я делаю это, настраивая группы безопасности. Теперь у меня проблема, что мои журналы не могут быть отправлены в CloudWatch, поэтому я хочу разрешить исходящий трафик на logs.us-west-2.amazonaws.com, но я не знаю, как это сделать. Этот вопрос похож на этот - идея была чтобы добавить CloudWatch IP в исходящие правила. Это решение, на мой взгляд, не идеально — мы делаем ставку на один IP. Есть ли лучшее решение этой проблемы? Я думал о добавлении правил для aws-ip-ranges но не нашел там сервис CloudWatch. Может быть, кто-то из вас знает, какой диапазон у CloudWatch?
AWS VPC — разрешить исходящий трафик в AWS cloudwatch
Ответы (1)
Для частного общения с журналами CloudWatch (CW) лучше всего использовать Конечные точки интерфейса VPC для журналов CW.
Таким образом, весь трафик между вашим экземпляром и журналами CW не использует Интернет и происходит в частной сети AWS.
Если вы хотите запретить весь интернет-трафик из вашего экземпляра, поместите его в частную подсеть без таблиц маршрутизации к шлюзу NAT. Доступ к журналам CW будет осуществляться через конечную точку частного интерфейса.
person
Marcin
schedule
14.01.2021
