**发布时间:** 2025-09-11
**厂商:** AWS
**类型:** WHATSNEW
**原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudwatch-observability-access-manager-vpc-endpoints/
---
<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] Amazon CloudWatch Observability Access Manager 现已支持 VPC Endpoints
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
AWS 宣布其 **Amazon CloudWatch Observability Access Manager (OAM)** 服务现已支持 **VPC 端点 (VPC Endpoints)**。该功能的核心目标是通过将 OAM 的管理流量限制在 AWS 内部网络中,从而增强客户的安全态势,避免数据通过公共互联网传输。
该功能基于 **AWS PrivateLink** 技术实现。用户可以在其 **虚拟私有云 (VPC)** 中为 OAM 创建一个接口端点,此后所有对 OAM API 的调用(如创建和管理跨账户的可观测性链接)都将通过这个私有端点进行,流量完全在 AWS 的骨干网内路由。
**CloudWatch OAM** 本身是一个用于集中管理跨 AWS 账户可观测性数据的服务,它允许用户将多个“源账户”的指标、日志和追踪数据统一发送到一个“监控账户”,以实现对跨账户应用的统一监控。在此更新之前,管理 OAM 的 API 调用通常需要通过公共互联网端点,这对于有严格安全合规要求的客户是一个潜在风险。新功能的目标用户主要是那些在 AWS 上运行多账户环境、且对网络安全和数据隔离有高要求的企业,特别是金融、医疗、政府等受监管行业。
## 关键客户价值
- **增强安全态势与合规性**
- **业务价值:** 这是最核心的价值点。通过将 OAM 的管理流量完全限制在 AWS 私有网络内,极大地降低了配置信息在传输过程中被窃听或拦截的风险,满足了企业对“数据不暴露于公网”的严格安全与合规要求。
- **差异化优势:** **AWS PrivateLink** 是 AWS 网络安全产品组合中的一个关键差异化特性。它为服务提供了原生、简单的私有连接方式,无需依赖 **NAT 网关**、**VPN** 或 **Direct Connect** 来访问服务。相比其他云平台可能需要更复杂的网络配置来实现类似隔离,AWS 的方案集成度更高,配置更简便。
- **简化隔离环境中的运维管理**
- **业务价值:** 对于那些出于安全考虑而没有配置互联网出口(如 **Internet Gateway**)的 VPC,现在可以直接在 VPC 内部署运维工具来管理 OAM,无需为运维任务临时开放网络出口或设置复杂的代理服务器。这简化了网络架构,降低了运维复杂度和成本。
- **场景体现:** 在一个完全隔离的生产环境中,运维团队可以通过 VPC 内的 **EC2** 实例或 **Lambda** 函数直接调用 OAM API 来配置新的监控账户链接,整个过程无需任何公网访问。
- **提供精细化的访问控制**
- **业务价值:** 用户可以利用成熟的 VPC 安全工具对 OAM 的访问进行更精细的控制,实现网络层和身份层的双重安全防护。
- **实现机制:**
- **VPC 端点策略 (VPC Endpoint Policies):** 可用于限制哪些 IAM 主体(用户或角色)能够通过该端点访问 OAM API。
- **安全组 (Security Groups):** 可作为虚拟防火墙,控制 VPC 内哪些资源(如特定的 **EC2** 实例)可以访问该端点。
## 关键技术洞察
- **基于 AWS PrivateLink 的原生私有连接**
- **技术独特性:** 该功能的核心是 _基于 **AWS PrivateLink** 技术_。**PrivateLink** 允许在 VPC 和 AWS 服务之间建立单向、私有的连接。它通过在用户的 VPC 子网中创建一个拥有私有 IP 地址的 **弹性网络接口 (ENI)** 来实现,该 ENI 作为服务访问的入口。
- **工作原理:** 当 VPC 内的客户端向 OAM 的公共 DNS 名称发起请求时,VPC 的 DNS 解析器会将其解析为 **PrivateLink** 端点的私有 IP 地址。流量随后被直接路由到 AWS 网络内的 OAM 服务,全程不经过公网,确保了连接的低延迟和高可靠性。
- **原生支持 IPv4 和 IPv6 双栈**
- **技术创新点:** 功能发布即同时支持 IPv4 和 IPv6,表明 AWS 在新功能设计上充分考虑了网络地址演进的趋势。这使得在纯 IPv6 或双栈网络环境中的客户可以无缝集成,无需进行额外的网络地址转换(如 NAT64),简化了现代网络架构的部署和管理。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# Amazon CloudWatch Observability Access Manager 现已支持 VPC 端点
**原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudwatch-observability-access-manager-vpc-endpoints/](https://aws.amazon.com/about-aws/whats-new/2025/09/amazon-cloudwatch-observability-access-manager-vpc-endpoints/)
**发布时间:** 2025-09-11
**厂商:** AWS
**类型:** WHATSNEW
---
# Amazon CloudWatch Observability Access Manager 现已支持 VPC 端点
发布于: 2025年9月11日
AWS 宣布 Amazon CloudWatch Observability Access Manager (OAM) 支持 VPC 端点 (VPC endpoints)。CloudWatch OAM 使您能够以编程方式管理区域内的跨账户可观测性设置。新的 VPC 端点通过将您的 VPC 和 CloudWatch OAM 之间的流量保留在 AWS 网络内,无需通过公共互联网传输,从而增强您的安全状况。
您可以使用 Observability Access Manager 在源账户和监控账户之间创建和管理链接,从而监控和排查跨区域内多个账户的应用程序。借助新的 VPC 端点,您可以在 VPC 和 CloudWatch Observability Access Manager 之间建立安全、私密且可靠的连接。这使您即使在没有互联网访问权限的 VPC 中,也能在管理跨账户可观测性链接和接收器 (sinks) 的同时保持私有连接。该功能支持 IPv4 和 IPv6 地址,您可以使用 AWS PrivateLink 的内置安全控制措施 (例如安全组和 VPC 端点策略) 来帮助保护对可观测性资源的访问。
CloudWatch Observability Access Manager VPC 端点现已在所有 [AWS 商业区域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) 、AWS GovCloud (US) 区域和中国区域推出。
要开始使用 CloudWatch Observability Access Manager 的 VPC 端点,请参阅 [CloudWatch OAM 端点](https://docs.aws.amazon.com/general/latest/gr/cloudwatchoam.html) 获取支持的区域端点列表。要了解有关 AWS PrivateLink 的更多信息,请参阅 [通过 AWS PrivateLink 访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。
<!-- AI_TASK_END: AI全文翻译 -->