Amazon CloudWatch
ユーザーガイド

CloudWatch エージェントで使用する IAM ロールおよびユーザーを作成する

AWS リソースにアクセスするには、アクセス権限が必要です。CloudWatch エージェントでメトリクスを CloudWatch に書き込み、CloudWatch エージェントで Amazon EC2 および AWS Systems Manager と通信するために必要なアクセス許可を持つ IAM ロールおよびユーザーを作成できます。Amazon EC2 インスタンスでは IAM ロールを使用し、オンプレミスサーバーでは IAM ユーザーを使用します。

1 つのロールまたはユーザーを使用することで、CloudWatch エージェントをサーバーにインストールし、メトリクスを CloudWatch に送信できるようになります。CloudWatch エージェント設定を Systems Manager Parameter Store に保存するには、ロールまたはユーザーがもう 1 つ必要です。これにより、複数のサーバーが 1 つの CloudWatch エージェント設定を使用できるようになります。

Parameter Store に書き込む機能は広大で強力なアクセス許可です。このアクセス許可は、必要な場合にのみ使用してください。デプロイにおいて、複数のインスタンスにアタッチするのは望ましくありません。CloudWatch エージェント設定を Parameter Store に保存する場合は、この設定を実行する 1 つのインスタンスを設定する必要があります。Parameter Store への書き込みアクセス許可を持つ IAM ロールは、このインスタンスにのみ使用し、また CloudWatch エージェント設定ファイルの使用中および保存中以外は使用しないでください。

注記

お客様にこれらのポリシーを自分で作成するよう求める代わりに、Amazon が作成した新しい CloudWatchAgentServerPolicy および CloudWatchAgentAdminPolicy ポリシーを使用して、最近以下の手順を変更しました。Parameter Store へのファイル書き込みおよびファイルのダウンロードについては、Amazon によって作成されたポリシーで、AmazonCloudWatch- で始まる名前を持つファイルのみサポートします。ファイル名が AmazonCloudWatch- で始まらない CloudWatch エージェント設定ファイルがある場合、これらのポリシーを使用してファイルを Parameter Store に書き込んだり、Parameter Store からダウンロードしたりすることはできません。

Amazon EC2 インスタンスの CloudWatch エージェントで使用する IAM ロールを作成する

最初の手順では、CloudWatch エージェントで実行される各 Amazon EC2 インスタンスにアタッチする必要がある IAM ロールが作成されます。このロールでは、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス権限が提供されます。

2 番目の手順では、他のサーバーが使用できるようにこのファイルを Systems Manager Parameter Store に保存する場合に、CloudWatch エージェント設定ファイルの作成に使用されている Amazon EC2 インスタンスにアタッチする必要がある IAM ロールが作成されます。このロールでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。このロールには、CloudWatch エージェントを実行するだけでなく、Parameter Store に書き込むのに十分なアクセス権限が含まれます。

各サーバーで CloudWatch エージェントを実行する上で必要な IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。

  3. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2Allows EC2 instances to call AWS services on your behalf] (EC2 お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにする) を選択します。[Next: Permissions (次へ: アクセス許可)] を選択します。

  4. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  5. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  6. [Next: Review] を選択します。

  7. [CloudWatchAgentServerPolicy] およびオプションで [AmazonEC2RoleforSSM] が [Policies] (ポリシー) 横に表示されていることを確認します。[ロール名] に、ロールの名前 (例: CloudWatchAgentServerRole) を入力します。必要に応じて説明を入力します。続いて、[Create role] を選択します。

    これでロールが作成されました。

次の手順では、IAM ロールを作成します。このロールは、Parameter Store に書き込むこともできます。他のサーバーで取得できるようにエージェント設定ファイルを Parameter Store に保存する場合は、このロールを使用する必要があります。

Parameter Store に書き込むためのアクセス許可は、広大で強力です。このロールは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。エージェント設定ファイルを作成し、Parameter Store にコピーしたら、インスタンスからこのロールをデタッチし、代わりに CloudWatchAgentServerRole を使用してください。

管理者がエージェント設定ファイルを Systems Manager Parameter Store に保存するのに必要な IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。

  3. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2Allows EC2 instances to call AWS services on your behalf] (EC2 お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにする) を選択します。[Next: Permissions (次へ: アクセス許可)] を選択します。

  4. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  5. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  6. [Next: Review] を選択します。

  7. [CloudWatchAgentAdminPolicy] およびオプションで [AmazonEC2RoleforSSM] が [Policies] (ポリシー) 横に表示されていることを確認します。[ロール名] に、ロールの名前 (例: CloudWatchAgentAdminRole) を入力します。必要に応じて説明を入力します。続いて、[Create role] を選択します。

    これでロールが作成されました。

オンプレミスサーバーで CloudWatch エージェントを使用するための IAM ユーザーを作成する

最初の手順では、CloudWatch エージェントの実行に必要な IAM ユーザーが作成されます。このユーザーは CloudWatch にデータを送信するアクセス許可を提供します。

2 番目の手順では、他のサーバーが使用できるようにこのファイルを Systems Manager Parameter Store に保存する場合に CloudWatch エージェント設定ファイルの作成に使用する IAM ユーザーが作成されます。このユーザーは、Parameter Store に書き込むアクセス権限と CloudWatch にデータを書き込むアクセス権限を提供します。

CloudWatch エージェントが CloudWatch にデータを書き込むために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Programmatic access (プログラムによるアクセス)]、[Next: Permissions (次へ: アクセス許可)] の順に選択します。

  5. [Attach existing policies directly] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  8. [Next: Review] を選択します。

  9. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] を選択します。

次の手順では、IAM ユーザーを作成します。このロールは、Parameter Store に書き込むこともできます。他のサーバーが使用できるようにエージェント設定ファイルを Parameter Store に保存する場合は、このユーザーを使用する必要があります。このユーザーでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。Systems Manager Parameter Store に書き込むためのアクセス許可は、広大で強力です。このユーザーは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。この IAM ユーザーは、エージェント設定ファイルを Parameter Store に保存するときにのみ使用してください。

Parameter Store のファイル設定を保存し、CloudWatch に情報を送信するために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Programmatic access (プログラムによるアクセス)]、[Next: Permissions (次へ: アクセス許可)] の順に選択します。

  5. [Attach existing policies directly] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  8. [Next: Review] を選択します。

  9. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] を選択します。