Cree roles y usuarios de IAM para usarlos con el agente de CloudWatch - Amazon CloudWatch
Cree roles de IAM para utilizarlos con el agente de CloudWatch en instancias de Amazon EC2Cree usuarios de IAM para utilizarlos con el agente de CloudWatch en servidores en las instalaciones

Cree roles y usuarios de IAM para usarlos con el agente de CloudWatch

Para obtener acceso a los recursos de AWS se necesitan permisos. Puede crear roles y usuarios de IAM que incluyan los permisos necesarios para que el agente de CloudWatch registre métricas en CloudWatch y para que se comunique con Amazon EC2 y AWS Systems Manager. Los roles de IAM se utilizan en las instancias de Amazon EC2 y los usuarios de IAM en los servidores en las instalaciones.

Un rol o un usuario permite que el agente de CloudWatch se instale en un servidor y envíe métricas a CloudWatch. El otro rol o usuario es necesario para almacenar la configuración del agente de CloudWatch en el almacén de parámetros de Systems Manager. El almacén de parámetros permite que varios servidores usen una configuración del agente de CloudWatch.

La posibilidad de hacer registros en el almacén de parámetros es un permiso amplio y poderoso. Solo debe utilizarse cuando sea necesario y no debería asociarse a varias instancias de la implementación. Si almacena la configuración del agente de CloudWatch en el almacén de parámetros, se recomienda lo siguiente:

  • Configure la instancia en la que realizará esta configuración.

  • Utilice el rol de IAM con permisos para hacer registros en el almacén de parámetros únicamente en esta instancia.

  • Utilice el rol de IAM con permisos para hacer registros en el almacén de parámetros únicamente mientras esté trabajando y guardando el archivo de configuración del agente de CloudWatch.

nota

Recientemente, modificamos los siguientes procedimientos con las nuevas políticas CloudWatchAgentServerPolicy y CloudWatchAgentAdminPolicy creadas por Amazon en lugar de pedir a los clientes que creen estas políticas ellos mismos. Para utilizar estas políticas para registrar el archivo de configuración del agente en el almacén de parámetros y luego descargarlo desde allí, el archivo de configuración del agente debe tener un nombre que empiece con AmazonCloudWatch-. Si tiene un archivo de configuración del agente de CloudWatch cuyo nombre no comience con AmazonCloudWatch-, estas políticas no se pueden utilizar para registrar el archivo en el almacén de parámetros ni para descargarlo de allí.

Cree roles de IAM para utilizarlos con el agente de CloudWatch en instancias de Amazon EC2

El primer procedimiento crea el rol de IAM que debe adjuntar a cada instancia de Amazon EC2 que ejecuta el agente de CloudWatch. Este rol proporciona permisos para leer la información de la instancia y registrarla en CloudWatch.

El segundo procedimiento crea el rol de IAM que debe adjuntar a la instancia de Amazon EC2 que se ha usado para crear el archivo de configuración del agente de CloudWatch. Este paso es necesario si va a almacenar este archivo en el almacén de parámetros de Systems Manager para que otros servidores puedan utilizarlo. Este rol proporciona permisos para registrarlos en el almacén de parámetros, además de los permisos para leer la información de la instancia y registrarla en CloudWatch. Este rol incluye los permisos suficientes para ejecutar el agente de CloudWatch, así como para realizar escrituras en el almacén de parámetros.

nota

El almacén de parámetros admite parámetros en los niveles estándar y avanzado. Estos niveles de parámetros no están relacionados con los niveles de detalles básico, estándar y avanzado disponibles con los conjuntos de métricas predefinidos del agente de CloudWatch.

Para crear el rol de IAM necesario para que cada servidor ejecute el agente de CloudWatch

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y, a continuación, seleccione Crear rol.

  3. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS.

  4. Seguido a Common use cases (Casos de uso comunes), elija EC2, y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  6. Para utilizar Systems Manager para instalar o configurar el agente de CloudWatch, seleccione la casilla situada junto a AmazonSSMManagedInstanceCore. Esta política administrada por AWS permite que una instancia utilice la funcionalidad básica del servicio Systems Manager. Si es necesario, utilice el cuadro de búsqueda para encontrar la política. Esta política no es necesaria si inicia y configura el agente solo a través de la línea de comandos.

  7. Elija Next: Tags (Siguiente: Etiquetas).

  8. (Opcional) Añada uno o varios pares de clave de etiqueta-valor para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  9. En Role name (Nombre del rol), escriba un nombre para el rol nuevo (por ejemplo, CloudWatchAgentServerRole o el nombre que prefiera).

  10. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  11. Compruebe que CloudWatchAgentServerPolicy y, de forma opcional, AmazonSSMManagedInstanceCore aparecen junto a Policies (Políticas).

  12. Seleccione Crear rol.

    Se crea el rol.

El siguiente procedimiento crea el rol de IAM que también puede realizar escrituras en el almacén de parámetros. Se puede utilizar este rol para almacenar el archivo de configuración del agente en el almacén de parámetros para que otros servidores pueden recuperarlo.

Los permisos para realizar escrituras en el almacén de parámetros proporcionan un acceso amplio. Este rol no debería asociarse a todos los servidores y solo los administradores deben utilizarlo. Cuando termine de crear el archivo de configuración del agente y lo copie en el almacén de parámetros, debe desconectar este rol de la instancia y utilizar CloudWatchAgentServerRole en su lugar.

Para crear el rol de IAM para que un administrador realice escrituras en el almacén de parámetros

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y, a continuación, seleccione Crear rol.

  3. En Seleccionar tipo de entidad de confianza, seleccione Servicio de AWS.

  4. Justo debajo de Choose the service that will use this role (Elegir el servicio que utilizará este rol), elija EC2 y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentAdminPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  6. Para utilizar Systems Manager para instalar o configurar el agente de CloudWatch, seleccione la casilla situada junto a AmazonSSMManagedInstanceCore. Esta política administrada por AWS permite que una instancia utilice la funcionalidad básica del servicio Systems Manager. Si es necesario, utilice el cuadro de búsqueda para encontrar la política. Esta política no es necesaria si inicia y configura el agente solo a través de la línea de comandos.

  7. Elija Next: Tags (Siguiente: Etiquetas).

  8. (Opcional) Añada uno o varios pares de clave de etiqueta-valor para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  9. En Role name (Nombre del rol), escriba un nombre para el rol nuevo (por ejemplo, CloudWatchAgentAdminRole o el nombre que prefiera).

  10. (Opcional) En Role description (Descripción del rol), escriba una descripción.

  11. Compruebe que CloudWatchAgentAdminPolicy y, de forma opcional, AmazonSSMManagedInstanceCore aparecen junto a Policies (Políticas).

  12. Seleccione Crear rol.

    Se crea el rol.

Cree usuarios de IAM para utilizarlos con el agente de CloudWatch en servidores en las instalaciones

El primer procedimiento crea el usuario de IAM que se necesita para ejecutar el agente de CloudWatch. Este usuario proporciona los permisos para enviar datos a CloudWatch.

El segundo procedimiento crea el usuario de IAM que se puede utilizar al crear el archivo de configuración del agente de CloudWatch. Utilice este procedimiento para almacenar este archivo en el almacén de parámetros de Systems Manager para que otros servidores pueden utilizarlo. Este usuario proporciona los permisos para realizar escrituras en el almacén de parámetros, además de permisos para registrar datos en CloudWatch.

nota

El almacén de parámetros admite parámetros en los niveles estándar y avanzado. Estos niveles de parámetros no están relacionados con los niveles de detalles básico, estándar y avanzado que están disponibles con los conjuntos de métricas predefinidos del agente de CloudWatch .

Para crear el usuario de IAM necesario para que el agente de CloudWatch registre datos en CloudWatch

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Users y luego elija la opción Add user.

  3. Escriba el nombre de usuario del nuevo usuario.

  4. En Access type (Tipo de acceso), elija Programmatic access (Acceso mediante programación) y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la página Set permissions (Establecer permisos), elija Attach existing policies directly (Asociar directamente las políticas existentes).

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. Para utilizar Systems Manager para instalar o configurar el agente de CloudWatch, seleccione la casilla situada junto a AmazonSSMManagedInstanceCore. Esta política administrada por AWS permite que una instancia utilice la funcionalidad básica del servicio Systems Manager. (De ser necesario, utilice el cuadro de búsqueda para hallar la política. La política no es necesaria si inicia y configura el agente solo a través de la línea de comandos).

  8. Elija Next: Tags (Siguiente: Etiquetas).

  9. (Opcional) Añada uno o varios pares de clave de etiqueta-valor para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  10. Compruebe que se muestran las políticas correctas y, a continuación, elija Create user (Crear usuario).

  11. En la fila del usuario nuevo, elija Show (Mostrar). Copie la clave de acceso y la clave secreta en un archivo para que pueda usarlas al instalar el agente. Elija Close.

El siguiente procedimiento crea el usuario de IAM que también puede realizar escrituras en el almacén de parámetros. Si va a almacenar el archivo de configuración del agente en el almacén de parámetros para que otros servidores pueden utilizarlo, necesita utilizar este usuario de IAM. Este usuario de IAM proporciona permisos para realizar escrituras en el almacén de parámetros. Este usuario también proporciona permisos para leer la información de la instancia y registrarla en CloudWatch. Los permisos para realizar escrituras en el almacén de parámetros de Systems Manager proporcionan un acceso amplio. Este usuario de IAM no debería adjuntarse a todos los servidores y solo los administradores deberían utilizarlo. Debería utilizar este usuario de IAM solo cuando vaya a almacenar el archivo de configuración del agente en el almacén de parámetros.

Para crear el usuario de IAM necesario para almacenar el archivo de configuración en el almacén de parámetros y enviar información a CloudWatch

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Users y luego elija la opción Add user.

  3. Escriba el nombre de usuario del nuevo usuario.

  4. En Access type (Tipo de acceso), elija Programmatic access (Acceso mediante programación) y, a continuación, elija Next: Permissions (Siguiente: Permisos).

  5. En la página Set permissions (Establecer permisos), elija Attach existing policies directly (Asociar directamente las políticas existentes).

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentAdminPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. Para utilizar Systems Manager con el fin de instalar o configurar el agente de CloudWatch, seleccione la casilla de verificación situada junto a AmazonSSMManagedInstanceCore. Esta política administrada por AWS permite que una instancia utilice la funcionalidad básica del servicio Systems Manager. (De ser necesario, utilice el cuadro de búsqueda para hallar la política. La política no es necesaria si inicia y configura el agente solo a través de la línea de comandos).

  8. Elija Next: Tags (Siguiente: Etiquetas).

  9. (Opcional) Añada uno o varios pares de clave de etiqueta-valor para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Next: Review (Siguiente: Revisar).

  10. Compruebe que se muestran las políticas correctas y, a continuación, elija Create user (Crear usuario).

  11. En la fila del usuario nuevo, elija Show (Mostrar). Copie la clave de acceso y la clave secreta en un archivo para que pueda usarlas al instalar el agente. Elija Close.