Buat IAM peran dan pengguna untuk digunakan dengan CloudWatch agen - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM peran dan pengguna untuk digunakan dengan CloudWatch agen

Akses ke AWS sumber daya memerlukan izin. Anda dapat membuat IAM peran dan pengguna yang menyertakan izin yang Anda perlukan bagi CloudWatch agen untuk menulis metrik CloudWatch dan agar CloudWatch agen dapat berkomunikasi dengan Amazon EC2 dan. AWS Systems Manager Anda menggunakan IAM peran di EC2 instans Amazon, dan Anda menggunakan IAM pengguna dengan server lokal.

Satu peran atau pengguna memungkinkan CloudWatch agen untuk diinstal pada server dan mengirim metrik ke CloudWatch. Peran atau pengguna lain diperlukan untuk menyimpan konfigurasi CloudWatch agen Anda di Systems Manager Parameter Store. Parameter Store memungkinkan beberapa server untuk menggunakan satu konfigurasi CloudWatch agen.

Kemampuan menulis ke Parameter Store adalah izin yang luas dan kuat. Anda harus menggunakannya hanya saat memerlukannya, dan tidak boleh dilampirkan ke beberapa instans dalam deployment Anda. Jika Anda menyimpan konfigurasi CloudWatch agen Anda di Parameter Store, kami merekomendasikan hal berikut:

  • Atur satu instans tempat Anda melakukan konfigurasi ini.

  • Gunakan IAM peran dengan izin untuk menulis ke Parameter Store hanya pada instance ini.

  • Gunakan IAM peran dengan izin untuk menulis ke Parameter Store hanya saat Anda bekerja dengan dan menyimpan file konfigurasi CloudWatch agen.

catatan

Kami baru-baru ini memodifikasi prosedur berikut dengan menggunakan kebijakan CloudWatchAgentServerPolicy dan kebijakan CloudWatchAgentAdminPolicy baru yang dibuat oleh Amazon, alih-alih mengharuskan pelanggan untuk membuat sendiri kebijakan ini. Untuk menggunakan kebijakan ini untuk menulis file konfigurasi agen ke Parameter Store lalu mengunduhnya dari Parameter Store, file konfigurasi agen Anda harus memiliki nama yang diawali dengan AmazonCloudWatch-. Jika Anda memiliki file konfigurasi CloudWatch agen dengan nama file yang tidak dimulaiAmazonCloudWatch-, kebijakan ini tidak dapat digunakan untuk menulis file ke Parameter Store atau untuk mengunduh file dari Parameter Store.

Buat IAM peran untuk digunakan dengan CloudWatch agen di EC2 instans Amazon

Prosedur pertama membuat IAM peran yang harus Anda lampirkan ke setiap EC2 instans Amazon yang menjalankan CloudWatch agen. Peran ini memberikan izin untuk membaca informasi dari instance dan menuliskannya ke CloudWatch.

Prosedur kedua membuat IAM peran yang harus Anda lampirkan ke EC2 instance Amazon yang digunakan untuk membuat file konfigurasi CloudWatch agen. Langkah ini diperlukan jika Anda akan menyimpan file ini di Systems Manager Parameter Store sehingga server-server yang lain dapat menggunakannya. Peran ini memberikan izin untuk menulis ke Parameter Store, selain izin untuk membaca informasi dari instance dan menulisnya. CloudWatch Peran ini mencakup izin yang cukup untuk menjalankan CloudWatch agen serta menulis ke Parameter Store.

catatan

Parameter Store mendukung parameter-parameter yang ada di tingkat Standar dan Tingkat Lanjut. Tingkatan parameter ini tidak terkait dengan tingkat detail Dasar, Standar, dan Lanjutan yang tersedia dengan set metrik CloudWatch Agen yang telah ditentukan sebelumnya.

Untuk membuat IAM peran yang diperlukan untuk setiap server untuk menjalankan CloudWatch agen
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Peran lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Kasus penggunaan umum, pilih EC2, lalu pilih Berikutnya: Izin.

  5. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  6. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah A mazonSSMManaged InstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.

  7. Pilih Berikutnya: Tag

  8. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  9. Untuk Nama peran, masukkan nama untuk peran baru Anda, seperti CloudWatchAgentServerRole atau nama lain yang Anda inginkan.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Konfirmasikan itu CloudWatchAgentServerPolicydan secara opsional A mazonSSMManaged InstanceCore muncul di sebelah Kebijakan.

  12. Pilih Buat peran.

    Peran ini sekarang dibuat.

Prosedur berikut menciptakan IAM peran yang juga dapat menulis ke Parameter Store. Anda dapat menggunakan peran ini untuk menyimpan file konfigurasi agen di Parameter Store sehingga server lain dapat mengambilnya.

Izin untuk menulis ke Parameter Store memberikan akses luas. Peran ini seharusnya tidak dilampirkan ke semua server Anda, dan hanya administrator yang boleh menggunakannya. Setelah Anda membuat file konfigurasi agen dan menyalinnya ke Parameter Store, Anda harus melepaskan peran ini dari instans dan sebaliknya menggunakan CloudWatchAgentServerRole.

Untuk membuat IAM peran bagi administrator untuk menulis ke Parameter Store
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Peran lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Pilih layanan yang akan menggunakan peran ini, pilih EC2, lalu pilih Berikutnya: Izin.

  5. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentAdminPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  6. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah A mazonSSMManaged InstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.

  7. Pilih Berikutnya: Tag

  8. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  9. Untuk Nama peran, masukkan nama untuk peran baru Anda, seperti CloudWatchAgentAdminRole atau nama lain yang Anda inginkan.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Konfirmasikan itu CloudWatchAgentAdminPolicydan secara opsional A mazonSSMManaged InstanceCore muncul di sebelah Kebijakan.

  12. Pilih Buat peran.

    Peran ini sekarang dibuat.

Membuat IAM pengguna untuk digunakan dengan CloudWatch agen di server lokal

Prosedur pertama menciptakan IAM pengguna yang Anda butuhkan untuk menjalankan CloudWatch agen. Pengguna ini memberikan izin untuk mengirim data ke CloudWatch.

Prosedur kedua menciptakan IAM pengguna yang dapat Anda gunakan saat membuat file konfigurasi CloudWatch agen. Gunakan prosedur ini untuk menyimpan file ini di Systems Manager Parameter Store sehingga server lain dapat menggunakannya. Pengguna ini memberikan izin untuk menulis ke Toko Parameter, selain izin untuk menulis data ke CloudWatch.

catatan

Parameter Store mendukung parameter-parameter yang ada di tingkat Standar dan Tingkat Lanjut. Tingkatan parameter ini tidak terkait dengan tingkat detail Dasar, Standar, dan Lanjutan yang tersedia dengan set metrik CloudWatch Agen yang telah ditentukan sebelumnya.

Untuk membuat IAM pengguna yang diperlukan bagi CloudWatch agen untuk menulis data CloudWatch
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Pengguna, lalu pilih Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Untuk Jenis akses, pilih Akses terprogram, lalu pilih Berikutnya: Izin.

  5. Untuk Atur izin, pilih Lampirkan kebijakan yang ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah A mazonSSMManaged InstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. (Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.)

  8. Pilih Selanjutnya: Tanda.

  9. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  10. Konfirmasikan bahwa kebijakan yang benar dicantumkan, lalu pilih Buat pengguna.

  11. Di baris untuk pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup

Prosedur berikut menciptakan IAM pengguna yang juga dapat menulis ke Parameter Store. Jika Anda akan menyimpan file konfigurasi agen di Parameter Store sehingga server lain dapat menggunakannya, Anda harus menggunakan IAM pengguna ini. IAMPengguna ini memberikan izin untuk menulis ke Parameter Store. Pengguna ini juga memberikan izin untuk membaca informasi dari instance dan menuliskannya ke CloudWatch. Izin untuk menulis ke Systems Manager Parameter Store menyediakan akses luas. IAMPengguna ini tidak boleh dilampirkan ke semua server Anda, dan hanya administrator yang harus menggunakannya. Anda harus menggunakan IAM pengguna ini hanya ketika Anda menyimpan file konfigurasi agen di Parameter Store.

Untuk membuat IAM pengguna yang diperlukan untuk menyimpan file konfigurasi di Parameter Store dan mengirim informasi ke CloudWatch
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Pengguna, lalu pilih Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Untuk Jenis akses, pilih Akses terprogram, lalu pilih Berikutnya: Izin.

  5. Untuk Atur izin, pilih Lampirkan kebijakan yang ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentAdminPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak centang di sebelah A mazonSSMManaged InstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. (Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.)

  8. Pilih Selanjutnya: Tanda.

  9. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  10. Konfirmasikan bahwa kebijakan yang benar dicantumkan, lalu pilih Buat pengguna.

  11. Di baris untuk pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup