Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie IAM-Rollen und -Benutzer für die Verwendung mit dem Agenten CloudWatch
Für den Zugriff auf AWS Ressourcen sind Berechtigungen erforderlich. Sie erstellen eine IAM-Rolle, einen IAM-Benutzer oder beides, um Berechtigungen zu erteilen, für die der CloudWatch Agent Metriken schreiben muss. CloudWatch Wenn Sie den Agenten auf Amazon-EC2-Instances verwenden, müssen Sie eine IAM-Rolle erstellen. Wenn Sie den Agenten auf On-Premises-Servern verwenden, müssen Sie einen IAM-Benutzer erstellen.
Anmerkung
Wir haben die folgenden Verfahren kürzlich geändert, indem die neuen, von Amazon erstellten Richtlinien CloudWatchAgentServerPolicy und CloudWatchAgentAdminPolicy verwendet werden, anstatt dass Kunden diese Richtlinien selbst erstellen müssen. Die von Amazon erstellten Richtlinien unterstützen für das Schreiben von Dateien zu und das Herunterladen von Dateien von Parameter Store nur Dateien, deren Namen mit AmazonCloudWatch- beginnen. Wenn Sie über eine CloudWatch Agentenkonfigurationsdatei verfügen, deren Dateiname nicht mit beginntAmazonCloudWatch-, können diese Richtlinien nicht verwendet werden, um die Datei in den Parameter Store zu schreiben oder aus dem Parameter Store herunterzuladen.
Wenn Sie den CloudWatch Agenten auf Amazon EC2 EC2-Instances ausführen möchten, gehen Sie wie folgt vor, um die erforderliche IAM-Rolle zu erstellen. Diese Rolle bietet Berechtigungen zum Lesen und Schreiben von Informationen aus der Instance. CloudWatch
Um die IAM-Rolle zu erstellen, die für die Ausführung des CloudWatch Agenten auf EC2-Instances erforderlich ist
-
Wählen Sie links im Navigationsbereich Roles (Rollen) und dann Create Role (Rolle erstellen) aus.
Stellen Sie sicher, dass unter Trusted entity type (Typ der vertrauenswürdigen Entität auswählen der AWS -Service ausgewählt ist.
Wählen Sie für Anwendungsfall die Option EC2 unter Häufige Anwendungsfälle.
-
Wählen Sie Weiter aus.
-
Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.
(Optional) Wenn der Agent Traces an X-Ray sendet, müssen Sie der Rolle auch die AWSXRayDaemonWriteAccessRichtlinie geben. Suchen Sie dazu diese Richtlinie in der Liste und aktivieren Sie das Kontrollkästchen daneben.
-
Wählen Sie Weiter aus.
-
Geben Sie im Feld Rollenname einen Namen für die Rolle ein, z.
CloudWatchAgentServerRoleB. Geben Sie optional eine Beschreibung dafür ein. Wählen Sie dann Create Role.Die Rolle wird jetzt erstellt.
(Optional) Wenn der Agent Protokolle an Logs senden soll und Sie möchten, dass der Agent Aufbewahrungsrichtlinien für diese Protokollgruppen festlegen kann, müssen Sie der Rolle die
logs:PutRetentionPolicyentsprechende Berechtigung hinzufügen. CloudWatch Weitere Informationen finden Sie unter Erlauben Sie dem CloudWatch Agenten, eine Richtlinie zur Aufbewahrung von Protokollen festzulegen.
Wenn Sie den CloudWatch Agenten auf lokalen Servern ausführen möchten, gehen Sie wie folgt vor, um den erforderlichen IAM-Benutzer zu erstellen.
Warnung
Für dieses Szenario sind IAM-Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen erforderlich, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden. Die Zugriffsschlüssel können bei Bedarf aktualisiert werden. Weitere Informationen finden Sie unter Aktualisieren von Zugriffsschlüsseln im IAM-Benutzerhandbuch.
So erstellen Sie den IAM-Benutzer, der für die Ausführung des CloudWatch Agenten auf lokalen Servern erforderlich ist
-
Klicken Sie im Navigationsbereich links auf Benutzer und dann auf Benutzer hinzufügen.
-
Geben Sie den Benutzernamen für den neuen Benutzer an.
-
Wählen Sie Access key - Programmatic access (Zugriffsschlüssel – programmgesteuerter Zugriff) und Next: Permissions (Weiter: Berechtigungen) aus.
-
Wählen Sie Vorhandene Richtlinien direkt zuordnen.
-
Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.
(Optional) Wenn der Agent Traces zu X-Ray weiterleiten will, müssen Sie der Rolle auch die AWSXRayDaemonWriteAccessRichtlinie geben. Suchen Sie dazu diese Richtlinie in der Liste und aktivieren Sie das Kontrollkästchen daneben.
-
Wählen Sie Weiter: Markierungen.
Erstellen Sie optional Tags für den neuen IAM-Benutzer und wählen Sie dann Next: Review (Weiter: Prüfung) aus.
-
Prüfen Sie, ob die richtigen Richtlinie aufgelistet ist, und klicken Sie auf Benutzer erstellen.
-
Klicken Sie neben dem Namen des neuen Benutzers auf Show. Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.
Erlauben Sie dem CloudWatch Agenten, eine Richtlinie zur Aufbewahrung von Protokollen festzulegen
Sie können den CloudWatch Agenten so konfigurieren, dass er die Aufbewahrungsrichtlinie für Protokollgruppen festlegt, an die er Protokollereignisse sendet. Wenn Sie dies tun, müssen Sie der IAM-Rolle oder dem Benutzer, den der Agent verwendet, die Berechtigung logs:PutRetentionPolicy gewähren. Der Agent verwendet eine IAM-Rolle für die Ausführung auf Amazon-EC2-Instances und nutzt für On-Premises-Server einen IAM-Benutzer.
Um der IAM-Rolle des CloudWatch Agenten die Berechtigung zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen
Wählen Sie im linken Navigationsbereich Roles aus.
Geben Sie in das Suchfeld den Anfang des Namens der IAM-Rolle des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen der Rolle gewählt haben. Ein möglicher Name ist
CloudWatchAgentServerRole.Wenn Sie die Rolle sehen, wählen Sie den Namen der Rolle aus.
Wählen Sie auf der Registerkarte Berechtigungen die Optionen Berechtigungen hinzufügen und dann Create Inline Policy (Inline-Richtlinie erstellen) aus.
Wählen Sie die Registerkarte JSON aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }Wählen Sie Richtlinie prüfen.
Geben Sie für Name die Bezeichnung
CloudWatchAgentPutLogsRetentionoder etwas ähnliches ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.
Um dem IAM-Benutzer des CloudWatch Agenten die Erlaubnis zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen
Wählen Sie im linken Navigationsbereich Benutzer aus.
Geben Sie in das Suchfeld den Anfang des Namens des IAM-Benutzers des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen des Benutzers gewählt haben.
Wenn Sie den Benutzer sehen, wählen Sie den Namen des Benutzers aus.
Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Eingebundene Richtlinie hinzufügen).
Wählen Sie die Registerkarte JSON aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }Wählen Sie Richtlinie prüfen.
Geben Sie für Name die Bezeichnung
CloudWatchAgentPutLogsRetentionoder etwas ähnliches ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.
