Buat IAM peran dan pengguna untuk digunakan dengan CloudWatch agen - Amazon CloudWatch
Mengizinkan CloudWatch agen menyetel kebijakan retensi log

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM peran dan pengguna untuk digunakan dengan CloudWatch agen

Akses ke AWS sumber daya memerlukan izin. Anda membuat IAM peran, IAM pengguna, atau keduanya untuk memberikan izin yang diperlukan CloudWatch agen untuk menulis metrik. CloudWatch Jika Anda akan menggunakan agen di EC2 instans Amazon, Anda harus membuat IAM peran. Jika Anda akan menggunakan agen di server lokal, Anda harus membuat IAM pengguna.

catatan

Kami baru-baru ini memodifikasi prosedur berikut dengan menggunakan CloudWatchAgentServerPolicy dan CloudWatchAgentAdminPolicy kebijakan yang dibuat oleh Amazon, alih-alih mengharuskan pelanggan untuk membuat sendiri kebijakan ini. Untuk menulis file ke dan mengunduh file dari Parameter Store, kebijakan yang dibuat oleh Amazon hanya mendukung file dengan nama yang dimulai dengan AmazonCloudWatch-. Jika Anda memiliki file konfigurasi CloudWatch agen dengan nama file yang tidak dimulaiAmazonCloudWatch-, kebijakan ini tidak dapat digunakan untuk menulis file ke Parameter Store atau mengunduhnya dari Parameter Store.

Jika Anda akan menjalankan CloudWatch agen di EC2 instans Amazon, gunakan langkah-langkah berikut untuk membuat IAM peran yang diperlukan. Peran ini memberikan izin untuk membaca informasi dari instance dan menuliskannya ke CloudWatch.

Untuk membuat IAM peran yang diperlukan untuk menjalankan CloudWatch agen pada EC2 instance

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Peran dan kemudian Buat peran.

  3. Pastikan bahwa AWS layanan dipilih di bawah jenis entitas Tepercaya.

  4. Untuk kasus Penggunaan, pilih EC2di bawah Kasus penggunaan umum,

  5. Pilih Selanjutnya.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. (Opsional) Jika agen mengirim jejak ke X-Ray, Anda juga perlu memberikan peran AWSXRayDaemonWriteAccesskebijakan tersebut. Untuk melakukan hal ini, Anda harus menemukan kebijakan tersebut dalam daftar dan kemudian pilih kotak centang yang ada di sebelahnya.

  8. Pilih Berikutnya.

  9. Di Nama peran, masukkan nama untuk peran, seperti CloudWatchAgentServerRole. Secara opsional, berikan deskripsi. Lalu, pilih Buat peran.

    Peran ini sekarang dibuat.

  10. (Opsional) Jika agen akan mengirim CloudWatch log ke Log dan Anda ingin agen dapat mengatur kebijakan retensi untuk grup log ini, Anda perlu menambahkan logs:PutRetentionPolicy izin ke peran tersebut. Untuk informasi selengkapnya, lihat Mengizinkan CloudWatch agen menyetel kebijakan retensi log.

Jika Anda akan menjalankan CloudWatch agen di server lokal, gunakan langkah-langkah berikut untuk membuat IAM pengguna yang diperlukan.

Awas

Skenario ini mengharuskan IAM pengguna dengan akses terprogram dan kredensi jangka panjang, yang menghadirkan risiko keamanan. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan. Kunci akses dapat diperbarui jika perlu. Untuk informasi selengkapnya, lihat Memperbarui kunci akses di Panduan IAM Pengguna.

Untuk membuat IAM pengguna yang diperlukan agar CloudWatch agen dapat berjalan di server lokal

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Pengguna dan kemudian Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Pilih Kunci akses - Akses terprogram dan pilih Berikutnya: Izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. (Opsional) Jika agen akan melacak ke X-Ray, Anda juga perlu memberikan peran AWSXRayDaemonWriteAccesskebijakan. Untuk melakukan hal ini, Anda harus menemukan kebijakan tersebut dalam daftar dan kemudian pilih kotak centang yang ada di sebelahnya.

  8. Pilih Berikutnya: Tanda.

  9. Secara opsional buat tag untuk IAM pengguna baru, lalu pilih Berikutnya:Tinjau.

  10. Konfirmasikan bahwa kebijakan yang benar telah dicantumkan, dan kemudian pilih Buat pengguna.

  11. Di samping nama pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup

Mengizinkan CloudWatch agen menyetel kebijakan retensi log

Anda dapat mengonfigurasi CloudWatch agen untuk menyetel kebijakan penyimpanan untuk grup log tempat ia mengirim peristiwa log. Jika Anda melakukan ini, Anda harus memberikan logs:PutRetentionPolicy kepada IAM peran atau pengguna yang digunakan agen. Agen menggunakan IAM peran untuk dijalankan di EC2 instans Amazon, dan menggunakan IAM pengguna untuk server lokal.

Untuk memberikan izin IAM peran CloudWatch agen untuk menetapkan kebijakan penyimpanan log

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Di kotak pencarian, Ketik awal nama IAM peran CloudWatch agen. Anda memilih nama ini ketika Anda membuat peran tersebut. Itu bisa diberi namaCloudWatchAgentServerRole.

    Ketika Anda melihat peran, pilih nama peran.

  4. Di tab Izin, pilih Tambahkan izin, Buat kebijakan tidak terpisah.

  5. Pilih JSONtab dan salin kebijakan berikut ke dalam kotak, ganti default JSON di kotak:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Pilih Tinjau kebijakan.

  7. Untuk Nama, masukkan CloudWatchAgentPutLogsRetention atau yang serupa, kemudian pilih Buat kebijakan.

Untuk memberikan izin kepada IAM pengguna CloudWatch agen untuk menetapkan kebijakan penyimpanan log

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi kiri, pilih Pengguna.

  3. Di kotak pencarian, Ketik awal nama IAM pengguna CloudWatch agen. Anda memilih nama ini ketika Anda membuat pengguna.

    Saat Anda melihat pengguna, pilih nama pengguna.

  4. Pada tab Izin, pilih Tambahkan kebijakan tak terpisahkan.

  5. Pilih JSONtab dan salin kebijakan berikut ke dalam kotak, ganti default JSON di kotak:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Pilih Tinjau kebijakan.

  7. Untuk Nama, masukkan CloudWatchAgentPutLogsRetention atau yang serupa, kemudian pilih Buat kebijakan.