CloudWatch エージェントで使用する IAM ロールとユーザーを作成する - Amazon CloudWatch

CloudWatch エージェントで使用する IAM ロールとユーザーを作成する

AWS リソースにアクセスするには、アクセス権限が必要です。IAM ロール、IAM ユーザー、またはその両方を作成して、CloudWatch エージェントが CloudWatch にメトリクスを書き込むために必要なアクセス許可を付与します。Amazon EC2 インスタンスでエージェントを使用する場合は、IAM ロールを作成する必要があります。オンプレミスサーバーでエージェントを使用する場合は、IAM ユーザーを作成する必要があります。

注記

お客様にこれらのポリシーを自分で作成するよう求める代わりに、Amazon が作成した新しい CloudWatchAgentServerPolicy および CloudWatchAgentAdminPolicy ポリシーを使用して、最近以下の手順を変更しました。Parameter Store へのファイル書き込みおよびファイルのダウンロードについては、Amazon によって作成されたポリシーで、AmazonCloudWatch- で始まる名前を持つファイルのみサポートします。ファイル名が AmazonCloudWatch- で始まらない CloudWatch エージェント設定ファイルがある場合、これらのポリシーを使用してファイルを Parameter Store に書き込んだり、Parameter Store からダウンロードしたりすることはできません。

Amazon EC2 インスタンスで CloudWatch エージェントを実行する場合は、次の手順を使用して必要な IAM ロールを作成します。このロールでは、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス権限が提供されます。

EC2 インスタンスで CloudWatch エージェントを実行するのに必要な IAM ロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。

  3. [Trusted entity type] (信頼されたエンティティの種類) で、[AWS service] (AWS のサービス) が選択されていることを確認します。

  4. [Use case] (ユースケース) の [Common use cases] (一般的なユースケース) で、[EC2] を選択します。

  5. [Next (次へ)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. [Next (次へ)] を選択します。

  8. [ロール名] に、ロールの名前 (例: CloudWatchAgentServerRole) を入力します。必要に応じて説明を入力します。続いて、[Create role] を選択します。

    これでロールが作成されました。

  9. (オプション) エージェントが CloudWatch Logs にログを送信する予定であり、エージェントがこれらのロググループの保持ポリシーを設定できるようにする場合は、ロールに logs:PutRetentionPolicy 許可を追加する必要があります。詳細については、「CloudWatch エージェントによるログの保持ポリシーの設定を許可」を参照してください。

オンプレミスサーバーで CloudWatch エージェントを実行する場合は、次のステップを使用して、必要な IAM ユーザーを作成します。

CloudWatch エージェントをオンプレミスサーバーで実行するために必要な IAM ユーザーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで [Users] (ユーザー)、[Add users] (ユーザーの追加) の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Access key - Programmatic access] (アクセスキー - プログラムによるアクセス)、[Next: Permissions] (次へ: 許可) の順に選択します。

  5. [Attach existing policies directly] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. [次へ: タグ] を選択します。

  8. オプションで、新しい IAM ユーザーのタグを作成し、[Next:Review] (次へ: 確認) を選択します。

  9. 適切なポリシーがリストされていることを確認し、[Create user] (ユーザーを作成) を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] を選択します。

CloudWatch エージェントによるログの保持ポリシーの設定を許可

ログイベントの送信先となるロググループ用の保持ポリシーを設定するように CloudWatch エージェントを構成できます。これを実行する場合は、エージェントが使用する IAM ロールまたはユーザに logs:PutRetentionPolicy を付与する必要があります。エージェントは IAM ロールを使用して Amazon EC2 インスタンスで実行し、オンプレミスのサーバーに IAM ユーザーを使用します。

CloudWatch エージェントの IAM ロールにログの保持ポリシーを設定するための許可を付与するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[Roles (ロール)] を選択します。

  3. 検索ボックスで、CloudWatch エージェントの IAM ロールの名前の先頭を入力します。この名前は、ロールの作成時に選択されました。CloudWatchAgentServerRole という名前が付けられる場合があります。

    ロールが表示されたら、ロールの名前を選択します。

  4. [Permissions] (許可) タブで、[Add permissions] (許可の追加)、[Create inline policy] (インラインポリシーの作成) をクリックします。

  5. [JSON] タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }
  6. [ポリシーの確認] を選択します。

  7. [Name] (名前) で、CloudWatchAgentPutLogsRetention などと入力し、[Create policy] (ポリシーを作成) を選択します。

CloudWatch エージェントの IAM ユーザーにログ保持ポリシーを設定するための許可を付与するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[ユーザー] を選択します。

  3. 検索ボックスで、CloudWatch エージェントの IAM ユーザーの名前の先頭を入力します。この名前は、ユーザーの作成時に選択されました。

    ユーザーが表示されたら、ユーザーの名前を選択します。

  4. [アクセス許可] タブで [インラインポリシーの追加] を選択します。

  5. [JSON] タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }
  6. [ポリシーの確認] を選択します。

  7. [Name] (名前) で、CloudWatchAgentPutLogsRetention などと入力し、[Create policy] (ポリシーを作成) を選択します。