CloudWatch préférence d'identification de l'agent

Cette section décrit la chaîne de fournisseurs d'informations d'identification que l' CloudWatch agent utilise pour obtenir des informations d'identification lorsqu'il communique avec d'autres AWS services et API. La commande est la suivante. Les préférences répertoriées aux numéros deux à cinq de la liste suivante suivent le même ordre de préférence que celui défini dans le AWS SDK. Pour plus d'informations, consultez la section Spécification des informations d'identification dans la documentation du SDK.

1. Fichiers de configuration et d'informations d'identification partagés tels que définis dans le common-config.toml fichier de l' CloudWatch agent. Pour plus d’informations, consultez (Facultatif) Modifiez la Configuration commune pour les informations de proxy ou de région.

2. AWS Variables d'environnement du SDK

   Important

   Sous Linux, si vous exécutez l' CloudWatch agent à l'aide du amazon-cloudwatch-agent-ctl script, celui-ci démarre l'agent en tant que systemd service. Dans ce cas, les variables d'environnement telles que HOMEAWS_ACCESS_KEY_ID, et ne AWS_SECRET_ACCESS_KEY sont pas accessibles par l'agent.

3. Fichiers de configuration et d'informations d'identification partagés trouvés dans $HOME/%USERPROFILE%

   Note

   L' CloudWatch agent $HOME recherche .aws/credentials Linux et macOS et %USERPROFILE% recherche Windows. Contrairement au AWS SDK, l' CloudWatch agent ne dispose pas de méthodes de secours pour déterminer le répertoire de base si les variables d'environnement sont inaccessibles. Cette différence de comportement vise à maintenir la rétrocompatibilité avec les implémentations antérieures du AWS SDK.

   En outre, contrairement aux informations d'identification partagées présentes danscommon-config.toml, si les informations d'identification partagées AWS dérivées du SDK expirent et font l'objet d'une rotation, les informations d'identification renouvelées ne sont pas automatiquement récupérées par l' CloudWatch agent et nécessitent un redémarrage de l'agent pour ce faire.

4. AWS Identity and Access Management Rôle pour les tâches en présence d'une application utilisant une définition de tâche Amazon Elastic Container Service ou une opération d' RunTask API.

5. Un profil d'instance IAM attaché à une instance Amazon EC2

Il est recommandé de spécifier les informations d'identification dans l'ordre suivant lorsque vous utilisez l' CloudWatch agent.

1. Utilisez des rôles IAM pour les tâches si votre application utilise une définition de tâche Amazon Elastic Container Service ou une opération d' RunTask API.

2. Utilisez les rôles IAM si votre application s'exécute sur une instance Amazon EC2.

3. Utilisez le common-config.toml fichier CloudWatch d'agent pour spécifier le fichier d'informations d'identification. Ce fichier d'informations d'identification est le même que celui utilisé par les autres AWS SDK et le AWS CLI. Si vous utilisez déjà un fichier d'informations d'identification partagé, vous pouvez également l'utiliser à cette fin. Si vous les fournissez à l'aide du common-config.toml fichier de l' CloudWatch agent, vous vous assurez que l'agent consommera les informations d'identification modifiées lorsqu'elles expireront et seront remplacées sans que vous ayez à redémarrer l'agent.

4. Utilisez des variables d'environnement. La définition de variables d'environnement est utile si vous effectuez des travaux de développement sur un ordinateur autre qu'une instance Amazon EC2.

Note

Si vous envoyez des données télémétriques à un autre compte comme expliqué dans la sectionEnvoi de métriques, de journaux et de traces à un autre compte, l' CloudWatch agent utilise la chaîne de fournisseurs d'informations d'identification décrite dans cette section pour obtenir l'ensemble initial d'informations d'identification. Il utilise ensuite ces informations d'identification lorsqu'il assume le rôle IAM spécifié role_arn dans le fichier de configuration de l' CloudWatch agent.