# Amazon CloudWatch 中的基础设施安全性
<a name="infrastructure-security"></a>

作为一项托管式服务，Amazon CloudWatch 受 Amazon 全球网络安全保护。有关 Amazon 安全服务以及 Amazon 如何保护基础设施的信息，请参阅 [Amazon 云安全性](https://www.amazonaws.cn/security/)。要按照基础设施安全最佳实践设计您的 Amazon 环境，请参阅《安全性支柱 Amazon Well‐Architected Framework》**中的[基础设施保护](https://docs.amazonaws.cn/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 Amazon 发布的 API 调用，来通过网络访问 CloudWatch。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密（PFS）的密码套件，例如 DHE（临时 Diffie-Hellman）或 ECDHE（临时椭圆曲线 Diffie-Hellman）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

## 网络隔离
<a name="network-isolation"></a>

Virtual Private Cloud (VPC) 是 Amazon Web Services 云内您自己的逻辑隔离区域中的虚拟网络。子网是 VPC 中的 IP 地址范围。您可以在 VPC 的子网中部署各种 Amazon 资源。例如，可以在子网中部署 Amazon EC2 实例、EMR 集群和 DynamoDB 表。有关更多信息，请参阅 [Amazon VPC 用户指南](https://docs.amazonaws.cn/vpc/latest/userguide/)。

要使 CloudWatch 能够在不访问公有 Internet 的情况下与 VPC 中的资源进行通信，请使用 Amazon PrivateLink。有关更多信息，请参阅 [将 CloudWatch、CloudWatch Synthetics 和 CloudWatch 网络监控与接口 VPC 端点结合使用](cloudwatch-and-interface-VPC.md)。

私有子网是不具有到公共 Internet 的默认路由的子网。在私有子网中部署 Amazon 资源不会阻止 Amazon CloudWatch 从资源中收集内置指标。

如果您需要在私有子网发布来自 Amazon 资源的自定义指标，则可使用代理服务器执行此操作。代理服务器会将这些 HTTPS 请求转发到 CloudWatch 的公有 API 端点。