前提条件 - Amazon CloudWatch
CloudWatch エージェント用の IAM ロールとユーザーネットワークの要件

前提条件

CloudWatch エージェントを初めてインストールする場合は、事前に以下の前提条件が満たされていることを確認してください。

CloudWatch エージェント用の IAM ロールとユーザー

AWS リソースにアクセスするには、アクセス権限が必要です。IAM ロール、IAM ユーザー、またはその両方を作成して、CloudWatch エージェントが CloudWatch にメトリクスを書き込むために必要なアクセス許可を付与します。

Amazon EC2 インスタンス用の IAM ロールを作成する

Amazon EC2 インスタンスで CloudWatch エージェントを実行する場合は、IAM ロールを作成して必要なアクセス許可を付与します。

  1. https://console.aws.amazon.com/iam/ で AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。

  2. ナビゲーションペインで、[ロール][ロールを作成] の順に選択します。

  3. [信頼されたエンティティタイプ] で、[AWS のサービス] が選択されていることを確認します。

  4. [ユースケース][一般的なユースケース] で、[EC2] を選択します。

  5. [次へ] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. [次へ] を選択します。

  8. [Role name] (ロール名) に、このロールの名前 (CloudWatchAgentServerRole など) を入力します。必要に応じて説明を入力します。続いて、[Create role] を選択します。

(オプション) エージェントが CloudWatch Logs にログを送信する予定であり、エージェントがこれらのロググループの保持ポリシーを設定できるようにする場合は、ロールに logs:PutRetentionPolicy 許可を追加する必要があります。

オンプレミスサーバー用に IAM ユーザーを作成する

オンプレミスサーバーで CloudWatch エージェントを実行する場合は、IAM ユーザーを作成して必要なアクセス許可を付与します。

注記

このシナリオでは、プログラムによるアクセスと長期的な認証情報を持つ IAM ユーザーが必要です。これはセキュリティ上のリスクをもたらします。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーを削除することをお勧めします。

  1. https://console.aws.amazon.com/iam/ で AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。

  2. ナビゲーションペインで、[ユーザー][ユーザーを追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Access key - Programmatic access] (アクセスキー - プログラムによるアクセス)、[Next: Permissions] (次へ: 許可) の順に選択します。

  5. [Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. [Next: Tags] (次へ: タグ) を選択します。

  8. 必要に応じて、新しい IAM のタグを作成し、[次へ: 確認] を選択します。

  9. 適切なポリシーがリストされていることを確認し、[Create user] (ユーザーを作成) を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[閉じる] を選択してください。

Amazon EC2 インスタンスに IAM ロールをアタッチする

CloudWatch エージェントで、Amazon EC2 インスタンスのデータを送信できるようにするには、作成した IAM ロールをインスタンスにアタッチする必要があります。

IAM ロールのアタッチの詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスへの IAM ロールのアタッチ」を参照してください。

CloudWatch エージェントによるログの保持ポリシーの設定を許可

CloudWatch エージェントを構成して、ログイベントの送信先となるロググループ用の保持ポリシーを設定できます。これを実行する場合は、エージェントが使用する IAM ロールまたはユーザに logs:PutRetentionPolicy を付与する必要があります。エージェントは IAM ロールを使用して Amazon EC2 インスタンスで実行し、オンプレミスのサーバーに IAM ユーザーを使用します。

CloudWatch エージェントの IAM ロールにログの保持ポリシーを設定するための許可を付与するには

  1. AWS Management Console にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

  2. 左のナビゲーションペインで、[ロール] を選択してください。

  3. 検索ボックスで、CloudWatch エージェントの IAM ロールの名前の先頭を入力します。この名前は、ロールの作成時に選択されました。CloudWatchAgentServerRole という名前が付けられる場合があります。

    ロールが表示されたら、ロールの名前を選択します。

  4. [Permissions] (許可) タブで、[Add permissions] (許可の追加)、[Create inline policy] (インラインポリシーの作成) をクリックします。

  5. [JSON] タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. [ポリシーの確認] を選択します。

  7. [Name] (名前) で、CloudWatchAgentPutLogsRetention などと入力し、[Create policy] (ポリシーを作成) を選択します。

CloudWatch エージェントの IAM ユーザーにログ保持ポリシーを設定するための許可を付与するには

  1. AWS Management Console にサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。

  2. 左のナビゲーションペインで、[ユーザー] を選択します。

  3. 検索ボックスで、CloudWatch エージェントの IAM ユーザーの名前の先頭を入力します。この名前は、ユーザーの作成時に選択されました。

    ユーザーが表示されたら、ユーザーの名前を選択します。

  4. [アクセス許可] タブで [インラインポリシーの追加] を選択します。

  5. [JSON] タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. [ポリシーの確認] を選択します。

  7. [Name] (名前) で、CloudWatchAgentPutLogsRetention などと入力し、[Create policy] (ポリシーを作成) を選択します。

ネットワークの要件

注記

サーバーがパブリックサブネット内にあるときは、インターネットゲートウェイにアクセスできることを確認してください。サーバーがプライベートサブネット内にあるときは、NAT ゲートウェイまたは VPC エンドポイントを介してアクセスされます。詳細については、「https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html」を参照してください。

CloudWatch または CloudWatch Logs にデータを送信するには、Amazon EC2 インスタンスにアウトバウンドインターネットアクセスが必要です。インターネットアクセスの詳しい設定方法については、「Amazon VPC ユーザーガイド」の「インターネットゲートウェイ」を参照してください。

VPC エンドポイントの使用

VPC を使用しているときに、パブリックインターネットからアクセスすることなく CloudWatch エージェントを使用できるようにする場合は、CloudWatch および CloudWatch Logs 用に VPC エンドポイントを設定できます。

プロキシで設定するエンドポイントとポートは、次のとおりです。

  • エージェントを使用してメトリクスを収集する場合は、適切なリージョンの CloudWatch エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「Amazon CloudWatch エンドポイントとクォータ」に記載されています。

  • エージェントを使用してログを収集する場合は、適切なリージョンの CloudWatch Logs エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「Amazon CloudWatch Logs エンドポイントとクォータ」に記載されています。

  • Systems Manager を使用してエージェントをインストールするか、Parameter Store を使用して設定ファイルを保存する場合は、適切なリージョンの Systems Manager エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「AWS Systems Manager エンドポイントとクォータ」に記載されています。