Voraussetzungen - Amazon CloudWatch
IAM-Rollen und Benutzer für den Agenten CloudWatch Netzwerkanforderungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie den CloudWatch Agenten zum ersten Mal installieren.

IAM-Rollen und Benutzer für den Agenten CloudWatch

Für den Zugriff auf AWS Ressourcen sind Berechtigungen erforderlich. Sie erstellen eine IAM-Rolle, einen IAM-Benutzer oder beides, um Berechtigungen zu erteilen, für die der CloudWatch Agent Metriken schreiben muss. CloudWatch

Eine IAM-Rolle für EC2 Amazon-Instances erstellen

Wenn Sie den CloudWatch Agenten auf EC2 Amazon-Instances ausführen möchten, erstellen Sie eine IAM-Rolle mit den erforderlichen Berechtigungen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen und anschließend Rolle erstellen aus.

  3. Stellen Sie sicher, dass unter Trusted entity type (Typ der vertrauenswürdigen Entität auswählen der AWS -Service ausgewählt ist.

  4. Wählen Sie EC2unter Allgemeine Anwendungsfälle die Option Anwendungsfall aus.

  5. Wählen Sie Weiter aus.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Wählen Sie Weiter aus.

  8. Geben Sie im Feld Rollenname einen Namen für die Rolle ein, z. CloudWatchAgentServerRole B. Geben Sie optional eine Beschreibung dafür ein. Wählen Sie dann Create Role.

(Optional) Wenn der Agent Protokolle an Logs senden soll und Sie möchten, dass der Agent Aufbewahrungsrichtlinien für diese Protokollgruppen festlegen kann, müssen Sie der Rolle die logs:PutRetentionPolicy entsprechende Berechtigung hinzufügen. CloudWatch

Erstellen Sie einen IAM-Benutzer für lokale Server

Wenn Sie den CloudWatch Agenten auf lokalen Servern ausführen möchten, erstellen Sie einen IAM-Benutzer mit den erforderlichen Berechtigungen.

Anmerkung

Für dieses Szenario sind IAM-Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen erforderlich, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Benutzer und dann Benutzer hinzufügen aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an.

  4. Wählen Sie Access key - Programmatic access (Zugriffsschlüssel – programmgesteuerter Zugriff) und Next: Permissions (Weiter: Berechtigungen) aus.

  5. Wählen Sie Vorhandene Richtlinien direkt zuordnen.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Wählen Sie Weiter: Tags aus.

  8. Erstellen Sie optional Tags für das neue IAM und wählen Sie dann Weiter: Überprüfen aus.

  9. Prüfen Sie, ob die richtigen Richtlinie aufgelistet ist, und klicken Sie auf Benutzer erstellen.

  10. Klicken Sie neben dem Namen des neuen Benutzers auf Show. Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.

Einer Amazon-Instance eine IAM-Rolle zuordnen EC2

Damit der CloudWatch Agent Daten von einer EC2 Amazon-Instance senden kann, müssen Sie die von Ihnen erstellte IAM-Rolle an die Instance anhängen.

Weitere Informationen zum Anhängen einer IAM-Rolle an eine Instance finden Sie unter Anhängen einer IAM-Rolle an eine Instance im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Erlauben Sie dem CloudWatch Agenten, eine Richtlinie zur Aufbewahrung von Protokollen festzulegen

Sie können den CloudWatch Agenten so konfigurieren, dass er die Aufbewahrungsrichtlinie für Protokollgruppen festlegt, an die er Protokollereignisse sendet. Wenn Sie dies tun, müssen Sie der IAM-Rolle oder dem Benutzer, den der Agent verwendet, die Berechtigung logs:PutRetentionPolicy gewähren. Der Agent verwendet eine IAM-Rolle, um auf EC2 Amazon-Instances ausgeführt zu werden, und verwendet einen IAM-Benutzer für lokale Server.

Um der IAM-Rolle des CloudWatch Agenten die Erlaubnis zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Geben Sie in das Suchfeld den Anfang des Namens der IAM-Rolle des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen der Rolle gewählt haben. Ein möglicher Name ist CloudWatchAgentServerRole.

    Wenn Sie die Rolle sehen, wählen Sie den Namen der Rolle aus.

  4. Wählen Sie auf der Registerkarte Berechtigungen die Optionen Berechtigungen hinzufügen und dann Create Inline Policy (Inline-Richtlinie erstellen) aus.

  5. Wählen Sie die Registerkarte JSON aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Wählen Sie Richtlinie prüfen.

  7. Geben Sie für Name die Bezeichnung CloudWatchAgentPutLogsRetention oder etwas ähnliches ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Um dem IAM-Benutzer des CloudWatch Agenten die Erlaubnis zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im linken Navigationsbereich Benutzer aus.

  3. Geben Sie in das Suchfeld den Anfang des Namens des IAM-Benutzers des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen des Benutzers gewählt haben.

    Wenn Sie den Benutzer sehen, wählen Sie den Namen des Benutzers aus.

  4. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Add inline policy (Eingebundene Richtlinie hinzufügen).

  5. Wählen Sie die Registerkarte JSON aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Wählen Sie Richtlinie prüfen.

  7. Geben Sie für Name die Bezeichnung CloudWatchAgentPutLogsRetention oder etwas ähnliches ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Netzwerkanforderungen

Anmerkung

Wenn sich der Server in einem öffentlichen Subnetz befindet, stellen Sie sicher, dass Zugriff auf ein Internet-Gateway besteht. Wenn sich der Server in einem privaten Subnetz befindet, erfolgt der Zugriff über die NAT-Gateways oder den VPC-Endpunkt. Weitere Informationen zu NAT-Gateways finden Sie unter. https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

Ihre EC2 Amazon-Instances müssen über ausgehenden Internetzugang verfügen, um Daten an CloudWatch oder CloudWatch Logs senden zu können. Weitere Informationen zur Konfiguration des Internetzugangs finden Sie unter Internet-Gateways im Amazon VPC-Benutzerhandbuch.

Verwenden eines VPC-Endpunkts

Wenn Sie eine VPC verwenden und einen CloudWatch Agenten ohne öffentlichen Internetzugang verwenden möchten, können Sie VPC-Endpunkte für CloudWatch und Logs konfigurieren. CloudWatch

Folgende auf Ihrem Proxy zu konfigurierende Endpunkte und Ports sind möglich:

  • Wenn Sie den Agenten zum Sammeln von Metriken verwenden, müssen Sie die CloudWatch Endpunkte für die entsprechenden Regionen zur Zulassungsliste hinzufügen. Diese Endpunkte sind unter CloudWatchAmazon-Endpunkte und Kontingente aufgeführt.

  • Wenn Sie den Agenten zum Sammeln von Protokollen verwenden, müssen Sie die CloudWatch Logs-Endpunkte für die entsprechenden Regionen zur Zulassungsliste hinzufügen. Diese Endpunkte sind in Amazon CloudWatch Logs Endpoints and Quotas aufgeführt.

  • Wenn Sie den Agenten mit dem Systems Manager installieren oder die Konfigurationsdatei mit Parameter Store speichern, müssen Sie die Systems-Manager-Endpunkte für die entsprechenden Regionen zur Allow-Liste hinzufügen. Diese Endpunkte sind in AWS Systems Manager Endpoints and Quotas aufgeführt.