WhaTap ForwarderにVPCを設定する
本文書はVPC環境でWhaTap Forwarderを使用するための追加設定について説明します。 まず、WhaTap Forwarderをインストールしてください。 詳しい内容は、次の文書を参照してください。
WhaTap Forwarderは、AWS Cloudwatch LogGroupとS3に書き込まれたAWS Logを収集します。 インストールは、AWS Lambda Functionで行います。 AWS Lambdaは、基本的にVPC(Virtual Private Cloud)では起動しません。 ただし、次の追加設定によりWhaTap ForwarderをVPC環境から起動することができます。
Lambda実行権限の修正
-
AWS Lambda FunctionコンソールでWhaTap Forwarderを選択してください。
-
ConfigurationタブのPermissionsメニューからExecution roleを確認してから選択を行い、AWS IAMコンソールに移動してください。
-
IAMコンソールPermissionsタブのPermissions policiesメニューに移動してください。
-
ポリシー一覧からforwarderpolicyを選択して、ポリシー編集画面に移動してください。
-
JSONタブを選択し、次のポリシーをコピーして貼り付けてください。 このポリシーは、ENI を作成、定義、および削除します。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:{AWS REGION}:{AWS ACCOUNT ID}:log-group:/aws/lambda/*",
"Effect": "Allow"
},
"Action": [
"s3:Get*",
"s3:List*",
"s3-object-lambda:Get*",
"s3-object-lambda:List*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
VPC設定
-
AWS Lambda FunctionコンソールでWhaTap Forwarderを選択してください。
-
ConfigurationタブのVPCメニューからEditボタンを選択して、VPC編集画面に移動してください。
-
次を参照してVPCとSubnets及びSecurity groups指定後、Saveボタンを選択して保存してください。
ノートSubnets
-
NAT GatewayのPublic IPを使用して、IGW経由でインターネットに接続してください。
-
IGW経由でインターネットに接続するためにはPublic IPが必要です。 Lambdaの_ENI_にPublic IPを割り当てることができません。
-
Private Subnet インターネットGatewayに直接ルーティングされるのではなく、NAT Gatewayにルーティングされるサブネットを選択する必要があります。
-
Private SubnetおよびPublic SubnetのWhaTap Forwarder
ノートSecurity groups
- アウトバウンドが開いているセキュリティグループが必要です。
-