Crea ruoli e utenti IAM da utilizzare con l' CloudWatch agente - Amazon CloudWatch
Crea ruoli IAM da utilizzare con l' CloudWatch agente sulle EC2 istanze AmazonCrea utenti IAM da utilizzare con l' CloudWatch agente su server locali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea ruoli e utenti IAM da utilizzare con l' CloudWatch agente

L'accesso alle AWS risorse richiede autorizzazioni. Puoi creare ruoli e utenti IAM che includono le autorizzazioni necessarie all' CloudWatch agente per scrivere metriche CloudWatch e all' CloudWatch agente per comunicare con Amazon EC2 e. AWS Systems Manager Utilizzi ruoli IAM su EC2 istanze Amazon e utilizzi utenti IAM con server locali.

Un ruolo o un utente consente l'installazione dell' CloudWatch agente su un server e l'invio dei parametri a. CloudWatch L'altro ruolo o utente è necessario per archiviare la configurazione CloudWatch dell'agente in Systems Manager Parameter Store. Parameter Store consente a più server di utilizzare la configurazione di un solo CloudWatch agente.

La possibilità di scrivere in Parameter Store è un'autorizzazione estesa e potente. È consigliabile utilizzarla solo quando necessaria. Inoltre, non dovrebbe essere collegata a più istanze della distribuzione. Se memorizzi la configurazione CloudWatch dell'agente in Parameter Store, ti consigliamo quanto segue:

  • Impostare un'istanza in cui si esegue questa configurazione.

  • Utilizzare il ruolo IAM con le autorizzazioni di scrittura in Parameter Store solo su questa istanza.

  • Utilizza il ruolo IAM con le autorizzazioni per scrivere su Parameter Store solo mentre lavori e salvi il file di configurazione dell' CloudWatch agente.

Nota

Abbiamo recentemente modificato le seguenti procedure utilizzando le nuove policy CloudWatchAgentServerPolicy e CloudWatchAgentAdminPolicy di Amazon, anziché richiedere ai clienti di creare tali policy. Per utilizzare queste policy per scrivere il file di configurazione dell'agente e quindi scaricarlo da Parameter Store, il file di configurazione dell'agente deve avere un nome che inizia con AmazonCloudWatch-. Se disponi di un file di configurazione CloudWatch dell'agente con un nome di file che non inizia conAmazonCloudWatch-, queste policy non possono essere utilizzate per scrivere il file su Parameter Store o per scaricare il file da Parameter Store.

Crea ruoli IAM da utilizzare con l' CloudWatch agente sulle EC2 istanze Amazon

La prima procedura crea il ruolo IAM da collegare a ogni EC2 istanza Amazon che esegue l' CloudWatch agente. Questo ruolo fornisce le autorizzazioni per leggere le informazioni dall'istanza e scriverle su CloudWatch.

La seconda procedura crea il ruolo IAM da allegare all' EC2istanza Amazon utilizzata per creare il file di configurazione dell' CloudWatch agente. Questa operazione è necessaria se si intende archiviare questo file in Systems Manager Parameter Store in modo che altri server possano utilizzarlo. Questo ruolo fornisce le autorizzazioni per la scrittura su Parameter Store, oltre alle autorizzazioni per leggere le informazioni dall'istanza e scriverle. CloudWatch Questo ruolo include le autorizzazioni sufficienti per eseguire l' CloudWatch agente e per scrivere su Parameter Store.

Nota

Parameter Store supporta i parametri nei livelli Standard e Advanced. Questi livelli di parametri non sono correlati ai livelli di dettaglio Basic, Standard e Advanced disponibili con i set di metriche predefiniti dell' CloudWatch agente.

Per creare il ruolo IAM necessario a ciascun server per eseguire l'agente CloudWatch

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli, quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Immediatamente in Casi d'uso comuni, scegli EC2, quindi scegli Avanti: Autorizzazioni.

  5. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  6. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, seleziona la casella accanto ad Amazon SSMManaged InstanceCore. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  9. Per Role name (Nome ruolo), inserire un nome per il nuovo ruolo, ad esempio CloudWatchAgentServerRole o un altro nome che preferisci.

  10. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  11. Confermalo CloudWatchAgentServerPolicye, facoltativamente, Amazon SSMManaged InstanceCore verrà visualizzato accanto a Policies.

  12. Scegliere Crea ruolo.

    Il ruolo è ora creato.

La procedura seguente crea il ruolo IAM che può anche scrivere in Parameter Store. Puoi usare questo ruolo per archiviare il file di configurazione dell'agente in Parameter Store in modo possa essere recuperato da altri server.

Le autorizzazioni per la scrittura in Parameter Store concedono un ampio accesso. Questo ruolo non deve essere collegato a tutti i server e deve essere utilizzato solo dagli amministratori. Una volta creato il file di configurazione dell'agente e copiato in Parameter Store, devi scollegare questo ruolo dall'istanza e utilizzare invece CloudWatchAgentServerRole.

Per creare il ruolo IAM per un amministratore per scrivere in Parameter Store

  1. Accedi e apri la console IAM all' AWS Management Console indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, scegli Ruoli, quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Immediatamente in Scegli il servizio che utilizzerà questo ruolo, scegli EC2, quindi scegli Avanti: Autorizzazioni.

  5. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentAdminPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  6. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, seleziona la casella accanto ad Amazon SSMManaged InstanceCore. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  9. Per Role name (Nome ruolo), inserire un nome per il nuovo ruolo, ad esempio CloudWatchAgentAdminRole o un altro nome che preferisci.

  10. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  11. Confermalo CloudWatchAgentAdminPolicye, facoltativamente, Amazon SSMManaged InstanceCore verrà visualizzato accanto a Policies.

  12. Scegliere Crea ruolo.

    Il ruolo è ora creato.

Crea utenti IAM da utilizzare con l' CloudWatch agente su server locali

La prima procedura crea l'utente IAM necessario per eseguire l' CloudWatch agente. Questo utente fornisce le autorizzazioni per l'invio di dati a CloudWatch.

La seconda procedura crea l'utente IAM che puoi utilizzare per creare il file di configurazione dell' CloudWatchagente. Utilizzare questa procedura per archiviare il file in Systems Manager Parameter Store in modo che possa essere utilizzato da altri server. Questo utente fornisce le autorizzazioni di scrittura su Parameter Store, oltre alle autorizzazioni per scrivere dati. CloudWatch

Nota

Parameter Store supporta i parametri nei livelli Standard e Advanced. Questi livelli di parametri non sono correlati ai livelli di dettaglio Basic, Standard e Advanced disponibili con i set di metriche predefiniti dell' CloudWatch agente.

Per creare l'utente IAM necessario all' CloudWatch agente per scrivere i dati CloudWatch

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Users (Utenti), quindi scegli Add user (Aggiungi utente).

  3. Immetti il nome del nuovo utente.

  4. Per Access type (Tipo di accesso), seleziona Programmatic access (Accesso programmatico), quindi scegli Next: Permissions (Successivo: autorizzazioni).

  5. Per Set permissions (Imposta autorizzazioni), scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, seleziona la casella accanto ad Amazon SSMManaged InstanceCore. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. (Se necessario, usa la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.)

  8. Scegli Successivo: Tag.

  9. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  10. Verificare che siano elencate le policy corrette, quindi scegli Create user (Crea utente).

  11. Nella riga per il nuovo utente, scegli Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.

La procedura seguente crea l'utente IAM che può anche scrivere in Parameter Store. Se intendi archiviare il file di configurazione dell'agente in Parameter Store in modo che possa essere utilizzato da altri server, devi usare questo utente IAM. Questo utente IAM fornisce le autorizzazioni per la scrittura in Parameter Store. Questo ruolo fornisce inoltre le autorizzazioni per la lettura di informazioni dall'istanza e per la loro scrittura in CloudWatch. Le autorizzazioni per la scrittura in Systems Manager Parameter Store concedono un ampio accesso. Questo utente IAM non deve essere collegato a tutti i server e deve essere utilizzato solo dagli amministratori. Devi utilizzare questo utente IAM solo quando archivi il file di configurazione dell'agente in Parameter Store.

Per creare l'utente IAM è necessario archiviare il file di configurazione in Parameter Store e inviare informazioni a CloudWatch

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Users (Utenti), quindi scegli Add user (Aggiungi utente).

  3. Immetti il nome del nuovo utente.

  4. Per Access type (Tipo di accesso), seleziona Programmatic access (Accesso programmatico), quindi scegli Next: Permissions (Successivo: autorizzazioni).

  5. Per Set permissions (Imposta autorizzazioni), scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentAdminPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, seleziona la casella di controllo accanto ad Amazon SSMManaged InstanceCore. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. (Se necessario, usa la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.)

  8. Scegli Successivo: Tag.

  9. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  10. Verificare che siano elencate le policy corrette, quindi scegli Create user (Crea utente).

  11. Nella riga per il nuovo utente, scegli Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.