Amazon CloudWatch
ユーザーガイド

CloudWatch エージェントで使用する IAM ロールおよびユーザーを作成する

AWS リソースにアクセスするには、アクセス権限が必要です。CloudWatch エージェントでメトリクスを CloudWatch に書き込み、CloudWatch エージェントで Amazon EC2 および AWS Systems Manager と通信するために必要なアクセス許可を持つ IAM ロールおよびユーザーを作成できます。Amazon EC2 インスタンスでは IAM ロールを使用し、オンプレミスサーバーでは IAM ユーザーを使用します。

1 つのロールまたはユーザーを使用することで、CloudWatch エージェントをサーバーにインストールし、メトリクスを CloudWatch に送信できます。CloudWatch エージェント設定を Systems ManagerParameter Store に保存するには、他のロールまたはユーザーが必要です。パラメータストアにより、複数のサーバーで 1 つの CloudWatch エージェント設定を使用できます。

Parameter Store に書き込む機能は、広範で強力なアクセス許可です。このアクセス許可は、必要な場合にのみ使用します。デプロイの複数のインスタンスにアタッチしないでください。CloudWatch エージェント設定を Parameter Store に保存する場合は、以下をお勧めします。

  • この設定を実行するインスタンスを 1 つセットアップします。

  • このインスタンスでのみ Parameter Store への書き込みアクセス許可を持つ IAM ロールを使用します。

  • CloudWatch エージェント設定ファイルの使用中および保存中のみ、Parameter Store への書き込みアクセス許可を持つ IAM ロールを使用します。

注記

お客様にこれらのポリシーを自分で作成するよう求める代わりに、Amazon が作成した新しい CloudWatchAgentServerPolicy および CloudWatchAgentAdminPolicy ポリシーを使用して、最近以下の手順を変更しました。Parameter Store へのファイル書き込みおよびファイルのダウンロードについては、Amazon によって作成されたポリシーで、AmazonCloudWatch- で始まる名前を持つファイルのみサポートします。ファイル名が AmazonCloudWatch- で始まらない CloudWatch エージェント設定ファイルがある場合、これらのポリシーを使用してファイルを Parameter Store に書き込んだり、Parameter Store からファイルをダウンロードしたりすることはできません。

Amazon EC2 インスタンスの CloudWatch エージェントで使用する IAM ロールを作成する

最初の手順で作成する IAM は、CloudWatch エージェントで実行される各 Amazon EC2 インスタンスにアタッチします。このロールでは、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス許可を提供します。

2 番目の手順で作成する IAM は、CloudWatch エージェント設定ファイルの作成に使用する Amazon EC2 インスタンスにアタッチします。この手順は、このファイルを Systems Manager Parameter Store に保存して他のサーバーで使用できるようにする場合に必要です。このロールは、Parameter Store に書き込むアクセス許可と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス許可を提供します。このロールには、CloudWatch エージェントを実行するだけでなく、Parameter Store に書き込むのに十分なアクセス許可が含まれます。

各サーバーで CloudWatch エージェントを実行する上で必要な IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ロール] を選択した後、[ロールの作成] を選択します。

  3. [信頼されたエンティティの種類を選択] で、[AWS のサービス] を選択します。

  4. [このロールを使用するサービスを選択] のすぐ下で、[EC2]、[Next: Permissions (次の手順: アクセス許可)] を選択します。

  5. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるボックスを選択します(必要に応じて、検索ボックスを使用してポリシーを見つけます)。

  6. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます(必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません)。

  7. [次へ: タグ] を選択します。

  8. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  9. [ロール名] に、新しいロールの名前 (CloudWatchAgentServerRole など) を入力するか、希望する別の名前を入力します。

  10. (オプション) [ロールの説明] に、説明を入力します。

  11. [AmazonSSMManagedInstanceCore] およびオプションで [CloudWatchAgentServerPolicy] が [ポリシー] の横に表示されることを確認します。

  12. [Create role (ロールの作成)] を選択します。

    これでロールが作成されました。

次の手順では、IAM ロールを作成します。このロールは、Parameter Store に書き込むこともできます。このロールを使用してエージェント設定ファイルを Parameter Store に保存し、他のサーバーがそのファイルを取得するようにできます。

Parameter Store への書き込みアクセス許可により、広範なアクセスが提供されます。このロールは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。エージェント設定ファイルを作成し、Parameter Store にコピーしたら、インスタンスからこのロールをデタッチし、代わりに CloudWatchAgentServerRole を使用してください。

管理者が Parameter Store に書き込むための IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ロール] を選択した後、[ロールの作成] を選択します。

  3. [信頼されたエンティティの種類を選択] で、[AWS のサービス] を選択します。

  4. [このロールを使用するサービスを選択] のすぐ下で、[EC2]、[Next: Permissions (次の手順: アクセス許可)] を選択します。

  5. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるボックスを選択します(必要に応じて、検索ボックスを使用してポリシーを見つけます)。

  6. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます(必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません)。

  7. [次へ: タグ] を選択します。

  8. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  9. [ロール名] に、新しいロールの名前を入力 (CloudWatchAgentAdminRole など) するか、希望する別の名前を入力します。

  10. (オプション) [ロールの説明] に、説明を入力します。

  11. [CloudWatchAgentAdminPolicy] およびオプションで [CloudWatchAgentServerPolicy] が [ポリシー] の横に表示されることを確認します。

  12. [Create role (ロールの作成)] を選択します。

    これでロールが作成されました。

オンプレミスサーバーで CloudWatch エージェントを使用するための IAM ユーザーを作成する

最初の手順では、CloudWatch エージェントの実行に必要な IAM ユーザーが作成されます。このユーザーは、CloudWatch にデータを送信するアクセス許可を提供します。

2 番目の手順では、CloudWatch エージェント設定ファイルを作成するときに使用できる IAM ユーザーを作成します。この手順を使用して、このファイルを Systems Manager Parameter Store に保存し、他のサーバーがこれをできるようにします。このユーザーは、CloudWatch にデータを書き込むアクセス許可に加えて、Parameter Store に書き込むアクセス許可を提供します。

CloudWatch エージェントが CloudWatch にデータを書き込むために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [アクセスの種類] で、[プログラムによるアクセス] を選択し、[次の手順: アクセス許可] を選択します。

  5. [許可を設定] で、[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるボックスを選択します(必要に応じて、検索ボックスを使用してポリシーを見つけます)。

  7. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます(必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません)。

  8. [次へ: タグ] を選択します。

  9. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  10. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  11. 新しいユーザーの行で、[表示] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] を選択します。

次の手順では、IAM ユーザーを作成します。このロールは、Parameter Store に書き込むこともできます。他のサーバーが使用できるようにエージェント設定ファイルを Parameter Store に保存する場合は、この IAM ユーザーを使用する必要があります。この IAM ユーザーは、Parameter Store に書き込むアクセス許可を提供します。また、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス許可も提供します。Systems Manager Parameter Store に書き込むためのアクセス許可は、広大で強力です。この IAM ユーザーは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。この IAM ユーザーは、エージェント設定ファイルを Parameter Store に保存するときにのみ使用してください。

Parameter Store のファイル設定を保存し、CloudWatch に情報を送信するために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [アクセスの種類] で、[プログラムによるアクセス] を選択し、[次の手順: アクセス許可] を選択します。

  5. [許可を設定] で、[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるボックスを選択します必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. CloudWatch エージェントをインストールまたは設定するために Systems Manager を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます(必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません)。

  8. [次へ: タグ] を選択します。

  9. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  10. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  11. 新しいユーザーの行で、[表示] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] を選択します。