Création de rôles et d'utilisateurs IAM à utiliser avec l'agent CloudWatch

L'accès aux AWS ressources nécessite des autorisations. Vous créez un rôle IAM, un utilisateur IAM, ou les deux pour accorder les autorisations dont l' CloudWatch agent a besoin pour écrire des métriques. CloudWatch Si vous allez utiliser l'agent sur des instances Amazon EC2, vous devez créer un rôle IAM. Si vous allez utiliser l'agent sur des serveurs sur site, vous devez créer un utilisateur IAM.

Note

Nous avons récemment modifié les procédures suivantes à l'aide des nouvelles politiques CloudWatchAgentServerPolicy et CloudWatchAgentAdminPolicy créées par Amazon, plutôt que d'exiger des clients qu'ils créent ces stratégies eux-mêmes. Pour écrire des fichiers et télécharger des fichiers depuis le Parameter Store, les stratégies créées par Amazon prennent en charge uniquement les fichiers dont le nom commence par AmazonCloudWatch-. Si vous disposez d'un fichier de configuration d' CloudWatch agent dont le nom ne commence pas parAmazonCloudWatch-, ces règles ne peuvent pas être utilisées pour écrire le fichier dans Parameter Store ou le télécharger depuis Parameter Store.

Si vous comptez exécuter l' CloudWatch agent sur des instances Amazon EC2, suivez les étapes ci-dessous pour créer le rôle IAM nécessaire. Ce rôle fournit des autorisations pour lire les informations de l'instance et les y écrire CloudWatch.

Pour créer le rôle IAM nécessaire pour exécuter l' CloudWatch agent sur les instances EC2

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation gauche, choisissez Roles (Rôles), puis Create role (Créer un rôle).

3. Vérifiez que AWS service (Service ) est sélectionné sous Trusted entity type (Type d'entité de confiance).

4. Pour Use case (Un cas d'utilisation), choisissez EC2 sous Common use cases (Cas d'utilisation courants),

5. Choisissez Suivant.

6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

7. (Facultatif) Si l'agent envoie des traces à X-Ray, vous devez également attribuer la AWSXRayDaemonWriteAccesspolitique au rôle. Pour ce faire, recherchez cette politique dans la liste et cochez la case à côté.

8. Choisissez Suivant.

9. Dans Nom du rôle, entrez le nom du rôle, tel que CloudWatchAgentServerRole. Vous pouvez également lui donner une description. Puis choisissez Create role (Créer un rôle).

   Le rôle est maintenant créé.

10. (Facultatif) Si l'agent doit envoyer des CloudWatch journaux à Logs et que vous souhaitez qu'il soit en mesure de définir des politiques de conservation pour ces groupes de journaux, vous devez ajouter l'logs:PutRetentionPolicyautorisation au rôle. Pour plus d’informations, consultez Autoriser l' CloudWatch agent à définir une politique de conservation des journaux.

Si vous comptez exécuter l' CloudWatch agent sur des serveurs locaux, suivez les étapes ci-dessous pour créer l'utilisateur IAM nécessaire.

Avertissement

Ce scénario nécessite que les utilisateurs IAM disposent d'un accès programmatique et d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces utilisateurs lorsqu'ils ne sont plus nécessaires. Les clés d'accès peuvent être mises à jour si nécessaire. Pour plus d'informations, consultez la section Mise à jour des clés d'accès dans le guide de l'utilisateur IAM.

Pour créer l'utilisateur IAM nécessaire à l'exécution de l' CloudWatch agent sur des serveurs locaux

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation de gauche, sélectionnez Users (Utilisateurs), puis Add users (Ajouter des utilisateurs).

3. Saisissez le nom d'utilisateur du nouvel utilisateur.

4. Sélectionnez Access key - Programmatic access (Clé d'accès - Accès programmatique), puis choisissez Next: Permissions (Suivant : Autorisations).

5. Choisissez Attach existing policies directly (Attacher directement les politiques existantes).

6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

7. (Facultatif) Si l'agent doit effectuer un suivi jusqu'à X-Ray, vous devez également attribuer la AWSXRayDaemonWriteAccesspolitique au rôle. Pour ce faire, recherchez cette politique dans la liste et cochez la case à côté.

8. Choisissez Suivant : Balises.

9. Vous pouvez éventuellement créer des identifications pour le nouvel utilisateur IAM, puis choisissez Next: Review (Suivant : Vérification).

10. Confirmez que la politique affichée est correcte et sélectionnez Create user (Créer un utilisateur).

11. En regard du nom du nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).

Autoriser l' CloudWatch agent à définir une politique de conservation des journaux

Vous pouvez configurer l' CloudWatch agent pour définir la politique de rétention pour les groupes de journaux auxquels il envoie des événements de journal. Si vous faites cela, vous devez accorder logs:PutRetentionPolicy au rôle IAM ou à l'utilisateur que l'agent utilise. L'agent utilise un rôle IAM pour s'exécuter sur des instances Amazon EC2 et utilise un utilisateur IAM pour les serveurs sur site.

Pour accorder au rôle IAM de l' CloudWatch agent l'autorisation de définir des politiques de conservation des journaux

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation de gauche, choisissez Rôles.

3. Dans le champ de recherche, tapez le début du nom du rôle IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé le rôle. Il pourrait être nommé CloudWatchAgentServerRole.

   Lorsque vous voyez le rôle, choisissez le nom du rôle.

4. Sous l'onglet Permissions (Autorisations), sélectionnez Add permissions (Ajouter des autorisations), Create inline policy (Créer une politique en ligne).

5. Cliquez sur l'onglet JSON et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }

6. Choisissez Examiner une politique.

7. Pour Name (Nom), saisissez CloudWatchAgentPutLogsRetention ou un nom similaire, et choisissez Create Policy (Créer une politique).

Pour autoriser l'utilisateur IAM de l' CloudWatch agent à définir des politiques de conservation des journaux

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation de gauche, choisissez Utilisateurs.

3. Dans le champ de recherche, tapez le début du nom de l'utilisateur IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé l'utilisateur.

   Lorsque vous voyez l'utilisateur, choisissez le nom de l'utilisateur.

4. Sous l'onglet Permissions (Autorisations), choisissez Add inline policy (Ajouter une politique en ligne).

5. Cliquez sur l'onglet JSON et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }

6. Choisissez Examiner une politique.

7. Pour Name (Nom), saisissez CloudWatchAgentPutLogsRetention ou un nom similaire, et choisissez Create Policy (Créer une politique).