Instalación de CloudWatch agente mediante el Systems Manager Distributor y State Manager

Puede utilizar Systems Manager State Manager con Systems Manager Distributor para instalar y actualizar automáticamente el CloudWatch agente en servidores e instancias EC2. El distribuidor incluye elAmazonCloudWatchAgent AWSpaquete administrado que instala la versión del agente de CloudWatch más reciente.

Este enfoque de instalación tiene los requisitos previos siguientes:

• El agente de Systems Manager debe estar instalado y en ejecución en sus servidores o instancias EC2. El agente de Systems Manager está preinstalado en Amazon Linux, Amazon Linux 2 y algunas AMI. El agente también debe instalarse y configurarse en otras imágenes o máquinas virtuales y servidores locales.

• Un rol o credenciales de IAM que tienen el: obligatorio CloudWatch permisos de Systems Managerdebe estar asociado a la instancia EC2 o definido en el archivo de credenciales de un servidor local. Por ejemplo, puede crear un rol de IAM que incluya elAWSpolíticas administradas:AmazonSSMManagedInstanceCorepara Systems Manager yCloudWatchAgentServerPolicypara CloudWatch. Puede utilizar elssm-cloudwatch-instance-role.yaml AWS CloudFormationplantilla para implementar un rol de IAM y un perfil de instancia que incluye ambas políticas. Esta plantilla también se puede modificar para incluir otros permisos de IAM estándar para las instancias EC2. Para servidores locales o máquinas virtuales, debe configurar la CloudWatch agente de para utilizar elFunción de servicio de Systems Managerque se configuró para el servidor local. Para obtener más información acerca de este tema, consulte¿Cómo puedo configurar servidores locales que utilizan Systems Manager Agent y el sistema unificado? CloudWatch agente para usar solo credenciales temporales?en laAWSCentro de conocimiento.

La lista siguiente ofrece varias ventajas para utilizar el enfoque Distributor de Systems Manager y State Manager para instalar y mantener el CloudWatch agente:

• Instalación automatizada para varios sistemas operativos: no necesita escribir ni mantener un script para cada SO para descargar e instalar el agente de CloudWatch.

• Verificaciones automáticas de actualizaciones— State Manager comprueba de forma automática y periódica que cada instancia de EC2 tiene la versión más reciente de CloudWatch.

• Informes de cumplimiento— El panel de conformidad de Systems Manager muestra qué instancias de EC2 no han podido instalar correctamente el paquete Distributor.

• Instalación automatizada para instancias EC2 lanzadas recientemente— Las nuevas instancias EC2 que se lanzan en su cuenta reciben automáticamente el CloudWatch agente.

Sin embargo, también debe tener en cuenta las tres áreas siguientes antes de elegir este enfoque:

• Colisión con una asociación existente— Si otra asociación ya instala o configura el CloudWatch agente, entonces las dos asociaciones podrían interferir entre sí y provocar problemas. Al utilizar este enfoque, debe eliminar cualquier asociación existente que instale o actualice el agente y la configuración de CloudWatch.

• Actualización de archivos de configuración de agente personalizados— El distribuidor realiza una instalación mediante el archivo de configuración predeterminado. Si utiliza un archivo de configuración personalizado o varios CloudWatch archivos de configuración, debe actualizar la configuración después de la instalación.

• Configuración de varias regiones o cuentas múltiples— La asociación de gestores estatales debe configurarse en cada cuenta y región. Las cuentas nuevas en un entorno de varias cuentas deben actualizarse para incluir la asociación State Manager. Necesita centralizar o sincronizar el CloudWatch configuración para que varias cuentas y regiones puedan recuperar y aplicar los estándares requeridos.

Configurar State Manager y distribuidor para CloudWatch implementación y configuración de agentes

Puede usarConfiguración rápida de Systems Managerpara configurar rápidamente las funciones de Systems Manager, incluida la instalación y actualización automáticas del CloudWatch agente en sus instancias EC2. La configuración rápida implementa unAWS CloudFormationpila que implementa y configura los recursos de Systems Manager en función de sus elecciones.

En la lista siguiente se proporcionan dos acciones importantes que realiza la configuración rápida para automatizar CloudWatch instalación y actualización del agente:

1. Creación de documentos personalizados de Systems Manager— La configuración rápida crea los siguientes documentos de Systems Manager para utilizarlos con State Manager. Los nombres de los documentos pueden variar, pero el contenido sigue siendo el mismo:

   • CreateAndAttachIAMToInstance— Crea elAmazonSSMRoleForInstancesQuickSetupperfil de rol e instancia si no existen y adjunta elAmazonSSMManagedInstanceCorepolítica de para el rol. Esto no incluye el requeridoCloudWatchAgentServerPolicyPolítica de IAM. Debe actualizar esta política y actualizar este documento de Systems Manager para incluir esta política tal y como se describe en la siguiente sección.

   • InstallAndManageCloudWatchDocument— Instala el CloudWatch agente con Distributor y configura cada instancia de EC2 una vez con un valor predeterminado CloudWatch configuración del agente mediante elAWS-ConfigureAWSPackageDocumento de Systems Manager.

   • UpdateCloudWatchDocument— Actualizar el CloudWatch agente mediante la instalación del último agente de CloudWatch mediante elAWS-ConfigureAWSPackageDocumento de Systems Manager. Actualizar o desinstalar el agente no elimina el existente CloudWatch archivos de configuración de la instancia EC2.

2. Crear asociaciones de State Manager— Las asociaciones de State Manager se crean y configuran para utilizar los documentos de Systems Manager creados personalizados. Los nombres de asociación de State Manager pueden variar, pero la configuración sigue siendo la misma:

   • ManageCloudWatchAgent— Ejecute laInstallAndManageCloudWatchDocumentDocumentar Systems Manager una vez para cada instancia de EC2.

   • UpdateCloudWatchAgent— Ejecute laUpdateCloudWatchDocumentDocumento de Systems Manager cada 30 días para cada instancia de EC2.

   • Ejecute laCreateAndAttachIAMToInstanceDocumentar Systems Manager una vez para cada instancia de EC2.

Debe aumentar y personalizar la configuración de configuración rápida completada para incluir permisos de CloudWatch y soporte personalizado CloudWatch configuraciones. En particular, elCreateAndAttachIAMToInstancey laInstallAndManageCloudWatchDocumentdeberá actualizarse el documento. Puede actualizar manualmente los documentos de Systems Manager creados por la configuración rápida. También puede utilizar el suyo propio CloudFormation para aprovisionar los mismos recursos con las actualizaciones necesarias, así como configurar e implementar otros recursos de Systems Manager y no utilizar la configuración rápida.

importante

La instalación rápida crea unAWS CloudFormationpila para implementar y configurar los recursos de Systems Manager en función de sus elecciones. Si actualiza las opciones de configuración rápida, es posible que tenga que volver a actualizar manualmente los documentos de Systems Manager.

En las siguientes secciones se describe cómo actualizar manualmente los recursos de Systems Manager creados por la instalación rápida, así como utilizar los suyos propios.AWS CloudFormationplantilla para realizar una configuración rápida actualizada. Le recomendamos que utilice el suyo propioAWS CloudFormationplantilla para evitar actualizar manualmente los recursos creados por la configuración rápida yAWS CloudFormation.

Utilice la configuración rápida de Systems Manager y actualice manualmente los recursos creados de Systems Manager

Los recursos de Systems Manager creados por el enfoque de configuración rápida deben actualizarse para incluir lo necesario CloudWatch permisos de agente y soporte múltiple CloudWatch archivos de configuración. En esta sección se describe cómo actualizar el rol de IAM y los documentos de Systems Manager para utilizar un bucket de S3 centralizado que contiene CloudWatch configuraciones a las que se puede acceder desde varias cuentas. Creación de un bucket de S3 para almacenar el CloudWatch Los archivos de configuración se describen en elAdministrar CloudWatch las configuracionessección de esta guía.

Actualizar elCreateAndAttachIAMToInstanceDocumento de Systems Manager

Este documento de Systems Manager creado por Quick Setup comprueba si una instancia EC2 tiene adjunto un perfil de instancia de IAM existente. Si lo hace, adjunta elAmazonSSMManagedInstanceCorepolítica de la función existente. Esto protege las instancias EC2 existentes de que no se pierdan.AWSpermisos que se pueden asignar a través de perfiles de instancias existentes. Debe agregar un paso en este documento para adjuntar elCloudWatchAgentServerPolicyPolítica de IAM para instancias EC2 que ya tienen un perfil de instancia adjunto. El documento de Systems Manager también crea el rol de IAM si no existe y una instancia de EC2 no tiene un perfil de instancia adjunto a él. Debe actualizar esta sección del documento para incluir también elCloudWatchAgentServerPolicyPolítica de IAM.

Realice la revisión delCrear y adjuntar IAM a instancia.yamldocumento de ejemplo y compárelo con el documento creado por la instalación rápida. Edite el documento existente para incluir los pasos y cambios necesarios. En función de las opciones de configuración rápida, el documento creado por la Configuración rápida puede ser diferente del documento de ejemplo proporcionado, así que asegúrese de realizar los ajustes necesarios. El documento de ejemplo incluye la opción de configuración rápida para analizar las instancias en busca de parches que faltan diariamente y, por lo tanto, incluye una política para Systems Manager Patch Manager.

Actualizar elInstallAndManageCloudWatchDocumentDocumento de Systems Manager

Este documento de Systems Manager creado por Quick Setup instala el CloudWatch agente y lo configura con el valor predeterminado CloudWatch configuración del agente de. El valor de tiempo de espera predeterminado de CloudWatch configuración se alinea con el conjunto de métricas básico predefinido. Debe reemplazar el paso de configuración predeterminado y agregar pasos para descargar su CloudWatch archivos de configuración de su CloudWatch bucket de configuración de S3.

Realice la revisión delInstalación y administración de CloudWatchDocument.yamldocumento actualizado y compararlo con el documento creado por la instalación rápida. El documento creado por la Configuración rápida puede ser diferente, así que asegúrese de haber realizado los ajustes necesarios. Edite el documento existente para incluir los pasos y cambios necesarios.

UsarAWS CloudFormationen lugar de Configuración rápida

En lugar de utilizar la configuración rápida de, puede utilizarAWS CloudFormationpara configurar Systems Manager. Este enfoque le permite personalizar la configuración de Systems Manager de acuerdo a sus requisitos específicos. Este enfoque también evita las actualizaciones manuales de los recursos configurados de Systems Manager creados por la configuración rápida para admitir la personalización CloudWatch configuraciones.

La función Configuración rápida también utilizaAWS CloudFormationy crea unAWS CloudFormationconjunto de pilas para implementar y configurar los recursos de Systems Manager en función de sus elecciones. Antes de poder usarAWS CloudFormationconjuntos de pila, debe crear los roles de IAM utilizados porAWS CloudFormation StackSets para admitir implementaciones en varias cuentas o regiones. La configuración rápida crea las funciones que necesita para admitir implementaciones de varias regiones o cuentas conAWS CloudFormationStackSets. Debe completar los requisitos previos paraAWS CloudFormation StackSets si desea configurar e implementar recursos de Systems Manager en varias regiones o en varias cuentas desde una única cuenta y región. Para obtener más información acerca de este tema, consulteRequisitos previos para las operaciones con conjuntos de pilasen laAWS CloudFormation.

Consulte elConfiguración rápida de AWS - SSM Hostmgmt.yaml AWS CloudFormationplantilla para la configuración rápida personalizada.

Debe revisar los recursos y las capacidades delAWS CloudFormationplantilla y haga ajustes de acuerdo a sus necesidades. Debería controlar la versiónAWS CloudFormationplantilla que utiliza y prueba los cambios de forma incremental para confirmar el resultado requerido. Además, debe realizar revisiones de seguridad en la nube para determinar si se requieren ajustes de política en función de los requisitos de su organización.

Debería implementar elAWS CloudFormationapilar en una única cuenta de prueba y región, y realizar los casos de prueba necesarios para personalizar y confirmar el resultado deseado. A continuación, puede graduar la implementación en varias regiones en una sola cuenta y, a continuación, en varias cuentas y varias regiones.

Configuración rápida personalizada en una única cuenta y región conAWS CloudFormationpila

Si solo utiliza una cuenta y una región, puede implementar el ejemplo completo comoAWS CloudFormationpila en lugar de unaAWS CloudFormationconjunto de pilas. Sin embargo, si es posible, le recomendamos que utilice el enfoque de conjuntos de pilas multirregión y varias cuentas, aunque solo use una sola cuenta y una región. Uso deAWS CloudFormation StackSets facilita la ampliación a cuentas y regiones adicionales en el future.

Siga los pasos a continuación para implementar elConfiguración rápida de AWS - SSM Hostmgmt.yaml AWS CloudFormationplantilla comoAWS CloudFormationpila en una sola cuenta y región:

1. Descargue la plantilla y compruebe su sistema de control de versiones preferido (por ejemplo,AWS CodeCommit).

2. Personalizar el valor predeterminadoAWS CloudFormationvalores de parámetros basados en los requisitos de su organización.

3. Personalizar los programas de asociaciones de State Manager.

4. Personalizar el documento de Systems Manager con elInstallAndManageCloudWatchDocumentID lógico. Confirme que los prefijos de bucket de S3 se alinean con los prefijos del bucket de S3 que contiene su CloudWatch Configuración de .

5. Recupere y registre el nombre de recurso de Amazon (ARN) del bucket de S3 que contiene su CloudWatch configuraciones. Para obtener más información acerca de este tema, consulte laAdministrar CloudWatch las configuracionessección de esta guía. Una muestracloudwatch-config-s3-bucket.yaml AWS CloudFormationestá disponible una plantilla que incluye una política de bucket para proporcionar acceso de lectura aAWS Organizationscuentas.

6. Implementación de la configuración rápida personalizadaAWS CloudFormationplantilla en la misma cuenta que su bucket de S3:

   • Para el registroCloudWatchConfigBucketARNintroduzca el ARN del bucket de S3.

   • Realice ajustes en las opciones de parámetros en función de las capacidades que desee habilitar para Systems Manager.

7. Implemente una instancia EC2 de prueba con y sin un rol de IAM para confirmar que la instancia EC2 funciona con CloudWatch.

• Aplicar elAttachIAMToInstanceAsociación de State Manager. Se trata de un runbook de Systems Manager que está configurado para ejecutarse de acuerdo con una programación. Las asociaciones de State Manager que utilizan runbooks no se aplican automáticamente a las nuevas instancias de EC2 y se pueden configurar para que se ejecuten de forma programada. Para obtener más información, consulteEjecución de automatizaciones con desencadenadores mediante el State Manageren la documentación de Systems Manager.

• Confirme que la instancia EC2 tiene adjunta la función de IAM requerida.

• Confirme que el agente de Systems Manager funciona correctamente confirmando que la instancia EC2 está visible en Systems Manager.

• Confirme que el CloudWatch agente funciona correctamente mediante la visualización CloudWatch registros y métricas basados en el CloudWatch configuraciones de su bucket de S3.

Configuración rápida personalizada en varias regiones y varias cuentas conAWS CloudFormationConjuntos de pilas

Si utiliza varias cuentas y regiones, puede implementar laConfiguración rápida de AWS - SSM Hostmgmt.yaml AWS CloudFormationplantilla como conjunto de pila. Debe completar elAWS CloudFormationRequisitos previos de StackSetantes de usar conjuntos de pila. Los requisitos varían según si va a implementar conjuntos de pila conautoadministradooservicio administradoPermisos de.

Le recomendamos que implemente conjuntos de pilas con permisos administrados por servicios para que las nuevas cuentas reciban automáticamente la configuración rápida personalizada. Debe implementar un conjunto de pilas administrados por servicio desde elAWS Organizationscuenta de administración o cuenta de administrador delegada. Debe implementar el conjunto de pilas desde una cuenta centralizada utilizada para la automatización que tiene privilegios de administrador delegados, en lugar de laAWS Organizationscuenta de administración. También le recomendamos que pruebe la implementación del conjunto de pilas dirigiéndose a una unidad organizativa (OU) de prueba con un número único o pequeño de cuentas en una región.

1. Complete los pasos 1 a 5 desde elConfiguración rápida personalizada en una única cuenta y región conAWS CloudFormationpilasección de esta guía.

2. Inicie sesión en elAWS Management Console, abra elAWS CloudFormationconsolador y eligeCrear StackSet:

   • ElegirTemplate is ready (La plantilla está lista)yUpload a template file (Cargar un archivo de plantilla). Cargar elAWS CloudFormationplantilla que ha personalizado según sus necesidades.

   • Especifique los detalles del conjunto de pilas:

     • Introduzca un nombre de conjunto de pila, por ejemplo,StackSet-SSM-QuickSetup.

     • Realice ajustes en las opciones de parámetros en función de las capacidades que desee habilitar para Systems Manager.

     • Para el registroCloudWatchConfigBucketARN, escriba el ARN de su CloudWatch bucket de la configuración de S3.

     • Especifique las opciones del conjunto de pilas y elija si utilizará permisos administrados por servicios conAWS Organizationso permisos autoadministrados.

       • Si elige permisos autogestionados, introduzca laFunción de administración de AWS Cloud Formation StacksetyFunción de ejecución de AWS Cloud Formation StacksetDetalles del rol de IAM. El rol de administrador debe existir en la cuenta y el rol de ejecución debe existir en cada cuenta de destino

     • Paraservicio administradopermisos conAWS Organizations, le recomendamos que primero lo implemente en una unidad organizativa de prueba en lugar de en toda la organización.

       • Elija si desea habilitar las implementaciones automáticas. Le recomendamos que elijaEnabled (Habilitado). Para el comportamiento de eliminación de cuentas, la configuración recomendada esEliminar pilas.

     • Paraautoadministradopermisos, introduzca laAWSID de cuenta de las cuentas que desea configurar. Debe repetir este proceso para cada nueva cuenta si utiliza permisos autogestionados.

     • Introduzca las regiones en las que va a utilizar CloudWatch y Systems Manager.

     • Para confirmar que la implementación se ha realizado correctamente, consulte el estado en elOperaciones yInstancias de pilapestaña para el conjunto de pilas.

     • Pruebe que Systems Manager y CloudWatch funcionan correctamente en las cuentas implementadas siguiendo el paso 7 de laConfiguración rápida personalizada en una única cuenta y región conAWS CloudFormationpilasección de esta guía.

Consideraciones para configurar servidores en las instalaciones

La CloudWatch agente para servidores y máquinas virtuales locales se instala y configura mediante un enfoque similar al de las instancias EC2. Sin embargo, en la siguiente tabla se proporcionan consideraciones que debe evaluar al instalar y configurar el CloudWatch agente en servidores locales y máquinas virtuales.

Apunte la CloudWatch agente con las mismas credenciales temporales utilizadas para Systems Manager.	Cuando configura Systems Manager en un entorno híbrido que incluye servidores locales, puede activar Systems Manager con un rol de IAM. Debe utilizar el rol creado para las instancias EC2 que incluye elCloudWatchAgentServerPolicyyAmazonSSMManagedInstanceCorepolíticas. Esto hace que el agente de Systems Manager recupere y escriba credenciales temporales en un archivo de credenciales local. Puedes apuntar tu CloudWatch configuración del agente en el mismo archivo. Puede utilizar el proceso desdeConfigurar servidores locales que utilizan el agente de Systems Manager y el agente de CloudWatch unificado para utilizar solo credenciales temporalesen laAWSCentro de conocimiento. También puede automatizar este proceso definiendo un runbook de Systems Manager Automation y una asociación de State Manager independientes, y segmentando las instancias locales con etiquetas. Al crear unActivación de Systems Managerpara las instancias locales, debe incluir una etiqueta que identifique las instancias como instancias locales.
Considere utilizar cuentas y regiones que tengan VPN oAWS Direct Connectacceso a yAWSPrivateLink.	Puede usarAWS Direct ConnectoAWS Virtual Private Network(AWS VPN) para establecer conexiones privadas entre las redes locales y su nube virtual privada (VPC).AWS PrivateLink establece una conexión privada a CloudWatch Registros con un punto de enlace de la VPC de tipo interfaz. Este enfoque resulta útil si tiene restricciones que impiden que los datos se envíen a través de Internet pública a un endpoint de servicio público.
Todas las métricas deben incluirse en el CloudWatch archivo de configuración.	Amazon EC2 incluye métricas estándar (por ejemplo, utilización de CPU) pero estas métricas deben definirse para las instancias locales. Puede utilizar un archivo de configuración de plataforma independiente para definir estas métricas para los servidores locales y, a continuación, agregar la configuración al estándar CloudWatch configuración de métricas para la plataforma.

Consideraciones para instancias EC2 efímeras

Las instancias EC2 son temporales, oefímero, si Amazon EC2 Auto Scaling, Amazon EMR,Instancias de spot de Amazon EC2, o bienAWS Batch. Las instancias EC2 efímeras pueden provocar un gran número de CloudWatch transmisiones en un grupo de registros común sin información adicional sobre su origen en tiempo de ejecución.

Si utiliza instancias EC2 efímeras, considere la posibilidad de agregar información contextual dinámica adicional en el grupo de registros y los nombres de las secuencias de registros. Por ejemplo, puede incluir el ID de solicitud de instancia de spot, el nombre del clúster de Amazon EMR o el nombre del grupo de Auto Scaling. Esta información puede variar para las instancias EC2 recién lanzadas y es posible que tenga que recuperarla y configurarla en tiempo de ejecución. Para hacerlo, escriba un CloudWatch archivo de configuración del agente al arrancar y reiniciar el agente para incluir el archivo de configuración actualizado. Esto permite la entrega de registros y métricas a CloudWatch mediante información dinámica en tiempo de ejecución.

También debes asegurarte de que las métricas y los registros se envían mediante el CloudWatch agente antes de que finalicen las instancias EC2 efímeras. La CloudWatch agente incluye unflush_intervalparámetro que se puede configurar para definir el intervalo de tiempo para vaciar búferes de registro y métricas. Puede reducir este valor en función de su carga de trabajo y detener el CloudWatch y forzar el vaciado de los búferes antes de que finalice la instancia EC2.

Uso de una solución automatizada para implementar el CloudWatch agente

Si utiliza una solución de automatización (por ejemplo, Ansible o Chef), puede aprovecharla para instalar y actualizar automáticamente el CloudWatch agente. Si utiliza este enfoque, debe evaluar las siguientes consideraciones:

• Valide que la automatización cubra los sistemas operativos y las versiones del SO compatibles. Si el script de automatización no es compatible con todos los sistemas operativos de su organización, debe definir soluciones alternativas para los sistemas operativos no compatibles.

• Valide que la solución de automatización compruebe periódicamente las actualizaciones y actualizaciones de los agentes de CloudWatch. Su solución de automatización debería comprobar periódicamente si hay actualizaciones en el CloudWatch o desinstale y vuelva a instalar regularmente el agente. Puede utilizar un programador o una funcionalidad de solución de automatización para comprobar y actualizar periódicamente el agente.

• Valide que puede confirmar la instalación del agente y el cumplimiento de la configuración. La solución de automatización debería permitirle determinar cuándo un sistema no tiene instalado el agente o cuándo el agente no funciona. Puede implementar una notificación o alarma en la solución de automatización para que se realice un seguimiento de las instalaciones y configuraciones fallidas.