Prerequisiti - Amazon CloudWatch
Ruoli e utenti IAM per l'agente CloudWatch Requisiti di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Assicurati che i seguenti prerequisiti siano soddisfatti prima di installare l'agente per la prima volta. CloudWatch

Ruoli e utenti IAM per l'agente CloudWatch

L'accesso alle AWS risorse richiede autorizzazioni. Crei un ruolo IAM, un utente IAM o entrambi per concedere le autorizzazioni su cui l' CloudWatch agente deve scrivere le metriche. CloudWatch

Crea un ruolo IAM per le EC2 istanze Amazon

Se intendi eseguire l' CloudWatch agente su EC2 istanze Amazon, crea un ruolo IAM con le autorizzazioni necessarie.

  1. Accedi alla console di AWS gestione e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, scegli Ruoli e poi Crea ruolo.

  3. Assicurati di aver selezionato AWS service (Servizio) in Trusted entity type (Tipo di entità attendibile).

  4. Per Caso d'uso, scegli EC2in Casi d'uso comuni.

  5. Scegli Next (Successivo).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Scegli Next (Successivo).

  8. In Nome ruolo, inserisci un nome per il ruolo, ad esempioCloudWatchAgentServerRole. Se desiderato, fornire una descrizione. Quindi seleziona Create role (Crea ruolo).

(Facoltativo) Se l'agente intende inviare log a CloudWatch Logs e desideri che sia in grado di impostare le politiche di conservazione per questi gruppi di log, devi aggiungere l'logs:PutRetentionPolicyautorizzazione al ruolo.

Crea un utente IAM per i server locali

Se intendi eseguire l' CloudWatch agente su server locali, crea un utente IAM con le autorizzazioni necessarie.

Nota

Questo scenario richiede agli utenti IAM accesso programmatico e credenziali a lungo termine, il che presenta un rischio per la sicurezza. Per ridurre questo rischio, si consiglia di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari.

  1. Accedi alla console di AWS gestione e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel pannello di navigazione, scegli Utenti, quindi Aggiungi utenti.

  3. Immetti il nome del nuovo utente.

  4. Seleziona Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e scegli Next: Permissions (Successivo: Autorizzazioni).

  5. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Scegli Successivo: Tag.

  8. Facoltativamente, crea tag per il nuovo IAM, quindi scegli Avanti: revisione.

  9. Conferma che sia elencata la policy corretta, quindi scegli Create user (Crea utente).

  10. Accanto al nome del nuovo utente, seleziona Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.

Associare un ruolo IAM a un'istanza Amazon EC2

Per consentire all' CloudWatch agente di inviare dati da un' EC2 istanza Amazon, devi collegare il ruolo IAM che hai creato all'istanza.

Per ulteriori informazioni sull'associazione di un ruolo IAM a un'istanza, consulta Attaching an IAM Role to an Instance nella Amazon Elastic Compute Cloud User Guide.

Consentire all' CloudWatch agente di impostare una politica di conservazione dei log

È possibile configurare l' CloudWatch agente per impostare la politica di conservazione per i gruppi di log a cui invia gli eventi di registro. Se esegui questa operazione, devi concedere l'autorizzazione logs:PutRetentionPolicy al ruolo o all'utente IAM utilizzato dall'agente. L'agente utilizza un ruolo IAM per l'esecuzione su EC2 istanze Amazon e utilizza un utente IAM per i server locali.

Per concedere al ruolo IAM dell' CloudWatch agente l'autorizzazione a impostare le politiche di conservazione dei log

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella casella di ricerca, digita l'inizio del nome del ruolo IAM dell' CloudWatch agente. Hai scelto questo nome al momento della creazione del ruolo. Potrebbe essere denominato CloudWatchAgentServerRole.

    Quando viene visualizzato il nome del ruolo in questione, sceglilo.

  4. Nella scheda Permissions (Autorizzazioni), scegli Add permissions (Aggiungi autorizzazioni), Create inline policy (Crea policy in linea).

  5. Scegli la scheda JSON e copia la seguente policy nella casella, sostituendo il JSON predefinito:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Scegli Verifica policy.

  7. Nel campo Name (Nome), inserisci CloudWatchAgentPutLogsRetention o un nome simile e scegli Create policy (Crea policy).

Per concedere all'utente IAM dell' CloudWatch agente l'autorizzazione a impostare le politiche di conservazione dei log

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Users (Utenti).

  3. Nella casella di ricerca, digita l'inizio del nome dell'utente IAM dell' CloudWatch agente. Hai scelto questo nome al momento della creazione dell'utente.

    Quando vedi l'utente, scegli il suo nome.

  4. Nella scheda Permissions (Autorizzazioni) scegli Add inline policy (Aggiungi policy inline).

  5. Scegli la scheda JSON e copia la seguente policy nella casella, sostituendo il JSON predefinito:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Scegli Verifica policy.

  7. Nel campo Name (Nome), inserisci CloudWatchAgentPutLogsRetention o un nome simile e scegli Create policy (Crea policy).

Requisiti di rete

Nota

Quando il server si trova in una sottorete pubblica, assicuratevi che vi sia accesso a un gateway Internet. Quando il server si trova in una sottorete privata, l'accesso avviene tramite i gateway NAT o l'endpoint VPC. Per ulteriori informazioni sui gateway NAT, vedere. https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

Le tue EC2 istanze Amazon devono disporre dell'accesso a Internet in uscita per inviare dati ai nostri log CloudWatch . CloudWatch Per ulteriori informazioni su come configurare l'accesso a Internet, consulta Internet Gateways nella Amazon VPC User Guide.

Utilizzo di endpoint VPC

Se utilizzi un VPC e desideri utilizzare un CloudWatch agente senza accesso pubblico a Internet, puoi configurare gli endpoint VPC per e Logs. CloudWatch CloudWatch

Gli endpoint e le porte per configurare il proxy sono i seguenti:

  • Se utilizzi l'agente per raccogliere metriche, devi aggiungere gli CloudWatch endpoint per le regioni appropriate all'elenco delle aree consentite. Questi endpoint sono elencati negli CloudWatchendpoint e nelle quote di Amazon.

  • Se utilizzi l'agente per raccogliere i log, devi aggiungere gli endpoint Logs per le regioni CloudWatch appropriate all'elenco delle regioni consentite. Questi endpoint sono elencati negli endpoint e nelle quote di Amazon CloudWatch Logs.

  • Se stai utilizzando System Manager per installare l'agente o Parameter Store per archiviare il file di configurazione, devi aggiungere gli endpoint Systems Manager per le regioni appropriate all'elenco consentiti. Questi endpoint sono elencati negli endpoint e nelle quote di AWS Systems Manager.