Erstellen Sie IAM-Rollen und -Benutzer für die Verwendung mit dem Agenten CloudWatch - Amazon CloudWatch
Erstellen Sie IAM-Rollen zur Verwendung mit dem CloudWatch Agenten auf Amazon EC2 EC2-InstancesErstellen Sie IAM-Benutzer zur Verwendung mit dem CloudWatch Agenten auf lokalen Servern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie IAM-Rollen und -Benutzer für die Verwendung mit dem Agenten CloudWatch

Für den Zugriff auf AWS Ressourcen sind Berechtigungen erforderlich. Sie können IAM-Rollen und -Benutzer erstellen, die die Berechtigungen enthalten, die Sie für den CloudWatch Agenten zum Schreiben von Metriken CloudWatch und für die Kommunikation des CloudWatch Agenten mit Amazon EC2 und benötigen. AWS Systems Manager Sie verwenden IAM-Rollen auf der Amazon-EC2-Instance und IAM-Benutzer auf On-Premises-Servern.

Mit einer Rolle oder einem Benutzer kann der CloudWatch Agent auf einem Server installiert und Metriken an diesen gesendet werden. CloudWatch Die andere Rolle oder der andere Benutzer wird benötigt, um Ihre CloudWatch Agentenkonfiguration im Systems Manager Parameter Store zu speichern. Der Parameterspeicher ermöglicht es mehreren Servern, eine CloudWatch Agentenkonfiguration zu verwenden.

Die Möglichkeit zum Schreiben von Daten in Parameter Store ist eine umfassende und mächtige Berechtigung. Sie sollten sie nur dann verwenden, wenn es wirklich nötig ist. Zudem darf sie nicht mehreren Instances in Ihrer Bereitstellung zugewiesen werden. Wenn Sie Ihre CloudWatch Agentenkonfiguration im Parameter Store speichern, empfehlen wir Folgendes:

  • Richten Sie eine Instance ein, in der Sie diese Konfiguration ausführen.

  • Verwenden Sie die IAM-Rolle mit Berechtigungen zum Schreiben zu Parameter Store nur auf dieser Instance.

  • Verwenden Sie die IAM-Rolle mit Schreibberechtigungen in den Parameter Store nur, während Sie mit der CloudWatch Agentenkonfigurationsdatei arbeiten und diese speichern.

Anmerkung

Wir haben die folgenden Verfahren kürzlich geändert, indem die neuen, von Amazon erstellten Richtlinien CloudWatchAgentServerPolicy und CloudWatchAgentAdminPolicy verwendet werden, anstatt dass Kunden diese Richtlinien selbst erstellen müssen. Damit die Agent-Konfigurationsdatei mithilfe dieser Richtlinien in Parameter Store geschrieben und dann von Parameter Store heruntergeladen werden kann, muss die Agent-Konfigurationsdatei einen Namen haben, der mit AmazonCloudWatch- beginnt. Wenn Sie über eine CloudWatch Agentenkonfigurationsdatei mit einem Dateinamen verfügen, der nicht mit beginntAmazonCloudWatch-, können diese Richtlinien nicht verwendet werden, um die Datei in den Parameter Store zu schreiben oder die Datei aus dem Parameter Store herunterzuladen.

Erstellen Sie IAM-Rollen zur Verwendung mit dem CloudWatch Agenten auf Amazon EC2 EC2-Instances

Das erste Verfahren erstellt die IAM-Rolle, die Sie jeder Amazon EC2 EC2-Instance zuordnen müssen, auf der der CloudWatch Agent ausgeführt wird. Diese Rolle bietet Berechtigungen zum Lesen und Schreiben von Informationen aus der Instance. CloudWatch

Das zweite Verfahren erstellt die IAM-Rolle, die Sie der Amazon EC2 EC2-Instance zuordnen müssen, die zur Erstellung der CloudWatch Agenten-Konfigurationsdatei verwendet wird. Dieser Schritt ist notwendig, wenn Sie diese Datei in Systems Manager Parameter Store speichern möchten, damit andere Server sie verwenden können. Diese Rolle bietet neben den Berechtigungen zum Lesen und Schreiben von Informationen aus der Instance auch Berechtigungen zum Schreiben in den Parameter Store. CloudWatch Diese Rolle umfasst ausreichende Berechtigungen, um den CloudWatch Agenten auszuführen und in den Parameter Store zu schreiben.

Anmerkung

Parameter Store unterstützt Parameter in den Stufen „Standard“ und „Advanced“. Diese Parameterschichten haben nichts mit den Detailstufen Basic, Standard und Advanced zu tun, die in den vordefinierten Metriksätzen des CloudWatch Agenten verfügbar sind.

Um die IAM-Rolle zu erstellen, die für jeden Server zur Ausführung des CloudWatch Agenten erforderlich ist

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen.

  3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  4. Wählen Sie unter Häufige Anwendungsfälle die Option EC2 und dann Weiter: Berechtigungen.

  5. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  6. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben AmazonSSM ManagedInstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.

  7. Wählen Sie Weiter: Markierungen.

  8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  9. Geben Sie unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B. CloudWatchAgentServerRole, oder einen anderen von Ihnen bevorzugten Namen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

  11. Bestätigen Sie, dass CloudWatchAgentServerPolicyund optional AmazonSSM neben ManagedInstanceCore Richtlinien angezeigt wird.

  12. Wählen Sie Rolle erstellen aus.

    Die Rolle wird jetzt erstellt.

In der folgenden Prozedur wird die IAM-Rolle erstellt, die auch in Parameter Store schreiben kann. Sie können diese Rolle verwenden, um die Agent-Konfigurationsdatei in Parameter Store zu speichern, sodass andere Server sie abrufen können.

Die Berechtigungen zum Schreiben in Parameter Store bieten umfassende Befugnisse. Diese Rolle darf nicht allen Ihren Servern zugewiesen werden. Sie darf nur von Administratoren verwendet werden. Nachdem Sie die Agentenkonfigurationsdatei erstellt und sie zu Parameter Store kopiert haben, sollten Sie diese Rolle von der Instance trennen und stattdessen CloudWatchAgentServerRole verwenden.

So erstellen Sie die IAM-Rolle für einen Administrator zum Schreiben in den Parameterspeicher

  1. Melden Sie sich bei der an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/ AWS Management Console .

  2. Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen.

  3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  4. Wählen Sie für Choose the service that will use this role (Wählen Sie den Service aus, der diese Rolle verwendet) die Option EC2 und danach Next: Permissions (Nächster Schritt: Berechtigungen) aus.

  5. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentAdminPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  6. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben AmazonSSM ManagedInstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.

  7. Wählen Sie Weiter: Markierungen.

  8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  9. Geben Sie unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B. CloudWatchAgentAdminRole, oder einen anderen von Ihnen bevorzugten Namen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

  11. Bestätigen Sie, dass CloudWatchAgentAdminPolicyund optional AmazonSSM neben ManagedInstanceCore Richtlinien angezeigt wird.

  12. Wählen Sie Rolle erstellen aus.

    Die Rolle wird jetzt erstellt.

Erstellen Sie IAM-Benutzer zur Verwendung mit dem CloudWatch Agenten auf lokalen Servern

Das erste Verfahren erstellt den IAM-Benutzer, den Sie zum Ausführen des Agenten benötigen. CloudWatch Dieser Benutzer erteilt Berechtigungen zum Senden von Daten an CloudWatch.

Das zweite Verfahren erstellt den IAM-Benutzer, den Sie beim Erstellen der CloudWatch Agent-Konfigurationsdatei verwenden können. Verwenden Sie dieses Verfahren, um in diese Datei in Systems Manager Parameter Store zu speichern, sodass andere Server sie verwenden können. Dieser Benutzer bietet zusätzlich zu den Berechtigungen zum Schreiben von Daten Berechtigungen zum Schreiben in den Parameter Store. CloudWatch

Anmerkung

Parameter Store unterstützt Parameter in den Stufen „Standard“ und „Advanced“. Diese Parameterschichten haben nichts mit den Detailebenen Basic, Standard und Advanced zu tun, die in den vordefinierten Metriksätzen von CloudWatch Agent verfügbar sind.

Um den IAM-Benutzer zu erstellen, in den der CloudWatch Agent Daten schreiben kann CloudWatch

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add User (Benutzer hinzufügen) aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an.

  4. Wählen Sie für Access type (Zugriffstyp) die Option Programmatic access (Programmgesteuerter Zugriff) und wählen Sie dann Next: Permissions (Nächster Schritt: Berechtigungen).

  5. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben AmazonSSM ManagedInstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. (Verwenden Sie bei Bedarf das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.)

  8. Wählen Sie Weiter: Markierungen.

  9. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  10. Bestätigen Sie, dass die richtigen Richtlinien aufgelistet werden, und klicken Sie auf Create user (Benutzer erstellen).

  11. Wählen Sie in der Zeile für den neuen Benutzer die Option Show (Anzeigen). Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.

In der folgenden Prozedur wird der IAM-Benutzer erstellt, der auch in Parameter Store schreiben kann. Sie müssen diesen IAM-Benutzer verwenden, wenn Sie vorhaben, die Agentenkonfigurationsdatei in Parameter Store zu speichern. Dieser IAM-Benutzer bietet Berechtigungen zum Schreiben in Parameter Store. Dieser Benutzer erteilt auch die Rechte zum Lesen und Schreiben von Informationen aus der Instanz CloudWatch. Die Berechtigungen zum Schreiben in Systems Manager Parameter Store bieten umfassende Befugnisse. Dieser IAM-Benutzer darf nicht allen Ihren Servern zugewiesen werden. Er darf nur von Administratoren verwendet werden. Verwenden Sie diesen IAM-Benutzer nur, wenn Sie die Agent-Konfigurationsdatei in Parameter Store speichern.

Um den IAM-Benutzer zu erstellen, müssen Sie die Konfigurationsdatei im Parameter Store speichern und Informationen an senden CloudWatch

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add User (Benutzer hinzufügen) aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an.

  4. Wählen Sie für Access type (Zugriffstyp) die Option Programmatic access (Programmgesteuerter Zugriff) und wählen Sie dann Next: Permissions (Nächster Schritt: Berechtigungen).

  5. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentAdminPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kontrollkästchen neben AmazonSSM ManagedInstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. (Verwenden Sie bei Bedarf das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.)

  8. Wählen Sie Weiter: Markierungen.

  9. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  10. Bestätigen Sie, dass die richtigen Richtlinien aufgelistet werden, und klicken Sie auf Create user (Benutzer erstellen).

  11. Wählen Sie in der Zeile für den neuen Benutzer die Option Show (Anzeigen). Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.