Création de IAM rôles et d'utilisateurs à utiliser avec l' CloudWatch agent - Amazon CloudWatch
Créez IAM des rôles à utiliser avec l' CloudWatch agent sur les EC2 instances AmazonCréation d'IAMutilisateurs à utiliser avec l' CloudWatch agent sur des serveurs locaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de IAM rôles et d'utilisateurs à utiliser avec l' CloudWatch agent

L'accès aux AWS ressources nécessite des autorisations. Vous pouvez créer IAM des rôles et des utilisateurs qui incluent les autorisations dont vous avez besoin pour que l' CloudWatch agent rédige des métriques CloudWatch et pour que l' CloudWatch agent communique avec Amazon EC2 et AWS Systems Manager. Vous utilisez IAM des rôles sur les EC2 instances Amazon, et vous utilisez des IAM utilisateurs sur des serveurs locaux.

Un rôle ou un utilisateur permet d'installer l' CloudWatch agent sur un serveur et d'envoyer des métriques à CloudWatch. L'autre rôle ou utilisateur est nécessaire pour stocker la configuration de votre CloudWatch agent dans le magasin de paramètres de Systems Manager. Parameter Store permet à plusieurs serveurs d'utiliser une seule configuration d' CloudWatch agent.

La possibilité d'écrire dans le Parameter Store est une autorisation vaste et puissante. Elle ne doit être utilisée que lorsque vous en avez besoin, et ne doit pas être attachée à plusieurs instances dans votre déploiement. Si vous stockez la configuration de votre CloudWatch agent dans Parameter Store, nous vous recommandons ce qui suit :

  • Configurez une instance où vous effectuez cette configuration.

  • Utilisez le IAM rôle autorisé à écrire dans Parameter Store uniquement sur cette instance.

  • Utilisez le IAM rôle autorisé à écrire dans le Parameter Store uniquement lorsque vous travaillez avec le fichier de configuration de l' CloudWatch agent et que vous l'enregistrez.

Note

Nous avons récemment modifié les procédures suivantes à l'aide des nouvelles politiques CloudWatchAgentServerPolicy et CloudWatchAgentAdminPolicy créées par Amazon, plutôt que d'exiger des clients qu'ils créent ces stratégies eux-mêmes. Pour utiliser ces stratégies pour écrire le fichier de configuration de l'agent dans le Parameter Store puis le télécharger à partir du Parameter Store, le nom de votre fichier de configuration d'agent doit commencer par AmazonCloudWatch-. Si vous disposez d'un fichier de configuration d' CloudWatch agent dont le nom ne commence pas parAmazonCloudWatch-, ces règles ne peuvent pas être utilisées pour écrire le fichier dans Parameter Store ou pour télécharger le fichier depuis Parameter Store.

Créez IAM des rôles à utiliser avec l' CloudWatch agent sur les EC2 instances Amazon

La première procédure crée le IAM rôle que vous devez attribuer à chaque EC2 instance Amazon qui exécute l' CloudWatch agent. Ce rôle fournit des autorisations pour lire les informations de l'instance et les y écrire CloudWatch.

La deuxième procédure crée le IAM rôle que vous devez associer à l'EC2instance Amazon utilisée pour créer le fichier de configuration de l' CloudWatch agent. Cette étape est nécessaire si vous prévoyez de stocker ce fichier dans le Parameter Store du Systems Manager afin que d'autres serveurs puissent l'utiliser. Ce rôle fournit des autorisations pour écrire dans Parameter Store, en plus des autorisations pour lire les informations de l'instance et les y écrire CloudWatch. Ce rôle inclut des autorisations suffisantes pour exécuter l' CloudWatch agent ainsi que pour écrire dans Parameter Store.

Note

Le Parameter Store prend en charge les paramètres des niveaux Standard et Avancé. Ces niveaux de paramètres ne sont pas liés aux niveaux de détail de base, standard et avancé disponibles avec les ensembles de mesures prédéfinis par l' CloudWatch agent.

Pour créer le IAM rôle nécessaire à chaque serveur pour exécuter l' CloudWatch agent

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  4. Immédiatement sous Cas d'utilisation courants, sélectionnez EC2, puis cliquez sur Suivant : Autorisations.

  5. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  6. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté de mazonSSMManaged InstanceCore A. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la politique. Cette politique n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.

  7. Sélectionnez Suivant : Étiquettes.

  8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  9. Pour Role name (Nom du rôle), entrez un nom pour votre nouveau rôle, par exemple CloudWatchAgentServerRole ou autre, en fonction de vos préférences.

  10. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  11. Confirmez-le CloudWatchAgentServerPolicyet, le cas échéant, la mazonSSMManaged InstanceCore lettre A apparaît à côté de Politiques.

  12. Choisissez Create role (Créer un rôle).

    Le rôle est maintenant créé.

La procédure suivante crée le IAM rôle qui peut également écrire dans Parameter Store. Vous pouvez utiliser ce rôle pour stocker le fichier de configuration de l'agent dans le Parameter Store afin que d'autres serveurs puissent le récupérer.

Les autorisations d'écriture dans le Parameter Store offrent un accès étendu. Ce rôle ne doit pas être attaché à tous vos serveurs et seuls les administrateurs doivent l'utiliser. Une fois le fichier de configuration d'agent créé et copié dans le Parameter Store, vous devez détacher ce rôle de l'instance et utiliser CloudWatchAgentServerRole à la place.

Pour créer le IAM rôle permettant à un administrateur d'écrire dans Parameter Store

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  4. Immédiatement sous Choisissez le service qui utilisera ce rôle, choisissez EC2, puis cliquez sur Suivant : Autorisations.

  5. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentAdminPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  6. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté de mazonSSMManaged InstanceCore A. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la politique. Cette politique n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.

  7. Sélectionnez Suivant : Étiquettes.

  8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  9. Pour Role name (Nom du rôle), entrez un nom pour votre nouveau rôle, par exemple CloudWatchAgentAdminRole ou autre, en fonction de vos préférences.

  10. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  11. Confirmez-le CloudWatchAgentAdminPolicyet, le cas échéant, la mazonSSMManaged InstanceCore lettre A apparaît à côté de Politiques.

  12. Choisissez Create role (Créer un rôle).

    Le rôle est maintenant créé.

Création d'IAMutilisateurs à utiliser avec l' CloudWatch agent sur des serveurs locaux

La première procédure crée l'IAMutilisateur dont vous avez besoin pour exécuter l' CloudWatch agent. Cet utilisateur fournit les autorisations nécessaires pour envoyer des données à CloudWatch.

La seconde procédure crée l'IAMutilisateur que vous pouvez utiliser lors de la création du fichier de configuration de l' CloudWatchagent. Utilisez cette procédure pour stocker ce fichier dans le Parameter Store du Systems Manager afin que d'autres serveurs puissent l'utiliser. Cet utilisateur fournit les autorisations d'écriture dans Parameter Store, en plus des autorisations d'écriture de données CloudWatch.

Note

Le Parameter Store prend en charge les paramètres des niveaux Standard et Avancé. Ces niveaux de paramètres ne sont pas liés aux niveaux de détail de base, standard et avancé disponibles avec les ensembles de mesures prédéfinis par l' CloudWatch agent.

Pour créer l'IAMutilisateur nécessaire à l' CloudWatch agent pour écrire des données dans CloudWatch

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Saisissez le nom d'utilisateur du nouvel utilisateur.

  4. Pour Access type (Type d'accès), choisissez Programmatic access (Accès programmatique), puis Next: Permissions (Suivant : Autorisations).

  5. Pour Set permissions (Définir les autorisations), sélectionnez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté de mazonSSMManaged InstanceCore A. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la stratégie. Cette stratégie n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.)

  8. Sélectionnez Suivant : Étiquettes.

  9. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  10. Confirmez que les stratégies affichées sont correctes et sélectionnez Create user (Créer un utilisateur).

  11. Sur la ligne correspondant au nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).

La procédure suivante crée l'IAMutilisateur qui peut également écrire dans Parameter Store. Si vous souhaitez stocker le fichier de configuration de l'agent dans Parameter Store afin que d'autres serveurs puissent l'utiliser, vous devez utiliser cet IAM utilisateur. Cet IAM utilisateur fournit les autorisations nécessaires pour écrire dans Parameter Store. Cet utilisateur fournit également les autorisations nécessaires pour lire les informations de l'instance et les y écrire CloudWatch. Les autorisations d'écriture dans le Parameter Store du Systems Manager offrent un accès étendu. Cet IAM utilisateur ne doit pas être connecté à tous vos serveurs et seuls les administrateurs doivent l'utiliser. Vous ne devez utiliser cet IAM utilisateur que lorsque vous stockez le fichier de configuration de l'agent dans Parameter Store.

Pour créer l'IAMutilisateur nécessaire pour stocker le fichier de configuration dans Parameter Store et envoyer les informations à CloudWatch

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Saisissez le nom d'utilisateur du nouvel utilisateur.

  4. Pour Access type (Type d'accès), choisissez Programmatic access (Accès programmatique), puis Next: Permissions (Suivant : Autorisations).

  5. Pour Set permissions (Définir les autorisations), sélectionnez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentAdminPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté de mazonSSMManaged InstanceCore A. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la stratégie. Cette stratégie n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.)

  8. Sélectionnez Suivant : Étiquettes.

  9. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  10. Confirmez que les stratégies affichées sont correctes et sélectionnez Create user (Créer un utilisateur).

  11. Sur la ligne correspondant au nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).