CloudWatch エージェントで使用する IAM ロールとユーザーを作成する - Amazon CloudWatch

CloudWatch エージェントで使用する IAM ロールとユーザーを作成する

AWS リソースにアクセスするには、アクセス権限が必要です。CloudWatch エージェントが CloudWatch にメトリクスを書き込み、CloudWatch エージェントが Amazon EC2 および と通信するために必要な許可を含む IAM ロールとユーザーを作成できますAWS Systems Manager Amazon EC2 インスタンスでは IAM ロールを使用し、オンプレミスのサーバーでは IAM ユーザーを使用します。

1 つのロールまたはユーザーを使用することで、CloudWatch エージェントをサーバーにインストールし、メトリクスを CloudWatch に送信できます。CloudWatch エージェントの設定を Systems Manager Parameter Store に保存するには、もう 1 つのロールまたはユーザーが必要です。Parameter Store により、複数のサーバーで 1 つの CloudWatch エージェント設定を使用できます。

Parameter Store に書き込む機能は、広範で強力なアクセス許可です。このアクセス許可は、必要な場合にのみ使用します。デプロイの複数のインスタンスにアタッチしないでください。CloudWatch エージェントの設定を Parameter Store に保存する場合は、次のことを推奨します。

  • この設定を実行するインスタンスを 1 つセットアップします。

  • このインスタンスでのみ Parameter Store に書き込むには、アクセス許可を持つ IAM ロールを使用します。

  • CloudWatch エージェント設定ファイルの使用中および保存中のみ、Parameter Store への書き込みアクセス許可を持つ IAM ロールを使用します。

注記

お客様にこれらのポリシーを自分で作成するよう求める代わりに、Amazon が作成した新しい CloudWatchAgentServerPolicy および CloudWatchAgentAdminPolicy ポリシーを使用して、最近以下の手順を変更しました。これらのポリシーを使用してエージェント設定ファイルを Parameter Store に書き込み、次に Parameter Store からダウンロードするには、エージェント設定ファイルの名前を AmazonCloudWatch- で始める必要があります。ファイル名が AmazonCloudWatch- で始まらない CloudWatch エージェント設定ファイルがある場合、これらのポリシーを使用してファイルを Parameter Store に書き込んだり、Parameter Store からファイルをダウンロードしたりすることはできません。

Amazon EC2 インスタンスの CloudWatch エージェントで使用する IAM ロールを作成する

最初の手順では、CloudWatch エージェントで実行される各 Amazon EC2 インスタンスにアタッチする必要がある IAM ロールが作成されます。このロールでは、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス権限が提供されます。

2 番目の手順で作成する IAM ロールは、CloudWatch エージェント設定ファイルの作成に使用する Amazon EC2 インスタンスにアタッチします。この手順は、このファイルを Systems Manager Parameter Store に保存して他のサーバーで使用できるようにする場合に必要です。このロールでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。このロールには、CloudWatch エージェントを実行するだけでなく、Parameter Store に書き込むのに十分なアクセス権限が含まれます。

注記

Parameter Store では、標準とアドバンストの階層のパラメータをサポートしています。これらのパラメータ層は、CloudWatch エージェントの定義済みメトリクスセットで使用可能な詳細のベーシックレベル、標準レベル、アドバンストレベルとは関係ありません。

各サーバーが CloudWatch エージェントを実行するのに必要な IAM ロールを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ロール] を選択した後、[ロールの作成] を選択します。

  3. [Select type of trusted entity ] (信頼されたエンティティの種類を選択) の下で、[AWS service ] (AWS サービス) を選択します。

  4. [Common use cases (一般的ユースケース)] で [EC2 (EC2)] を選択し、[Next: Permissions (次へ: アクセス許可)] を選択します。

  5. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  6. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  7. [次へ: タグ] を選択します。

  8. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  9. [ロール名] に、新しいロールの名前を入力 (CloudWatchAgentServerRole など) するか、希望する別の名前を入力します。

  10. (オプション) [Role description] (ロールの説明) に、説明を入力します。

  11. [AmazonSSMManagedInstanceCore] およびオプションで [CloudWatchAgentServerPolicy] が [ポリシー] の横に表示されることを確認します。

  12. [Create role] (ロールの作成) を選択します。

    これでロールが作成されました。

次の手順では、IAM ロールを作成します。このロールは、Parameter Store に書き込むこともできます。このロールを使用してエージェント設定ファイルを Parameter Store に保存し、他のサーバーがそのファイルを取得するようにできます。

Parameter Store への書き込みアクセス許可により、広範なアクセスが提供されます。このロールは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。エージェント設定ファイルを作成し、Parameter Store にコピーしたら、インスタンスからこのロールをデタッチし、代わりに CloudWatchAgentServerRole を使用してください。

管理者が Parameter Store に書き込むための IAM ロールを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ロール] を選択した後、[ロールの作成] を選択します。

  3. [Select type of trusted entity] (信頼されたエンティティの種類を選択) の下で、[AWS service] (AWS サービス) を選択します。

  4. [このロールを使用するサービスを選択] のすぐ下で、[EC2]、[次へ: アクセス許可)] を選択します。

  5. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  6. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます。必要に応じて、検索ボックスを使用してポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  7. [次へ: タグ] を選択します。

  8. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  9. [ロール名] に、新しいロールの名前を入力 (CloudWatchAgentAdminRole など) するか、希望する別の名前を入力します。

  10. (オプション) [Role description] (ロールの説明) に、説明を入力します。

  11. [CloudWatchAgentAdminPolicy] およびオプションで [AmazonSSMManagedInstanceCore] が [ポリシー] の横に表示されることを確認します。

  12. [Create role] (ロールの作成) を選択します。

    これでロールが作成されました。

オンプレミスサーバーで CloudWatch エージェントを使用するための IAM ユーザーを作成する

最初の手順では、CloudWatch エージェントの実行に必要な IAM ユーザーが作成されます。このユーザーは、CloudWatch にデータを送信するアクセス許可を提供します。

2 番目の手順では、CloudWatch エージェント設定ファイルを作成するときに使用できる IAM ユーザーを作成します。このファイルを Systems Manager Parameter Store に保存して、他のサーバーで使用できるようにするには、この手順を使用します。このユーザーは、Parameter Store にデータを書き込むアクセス許可に加えて、CloudWatch に書き込むアクセス許可を提供します。

注記

Parameter Store では、標準とアドバンストの階層のパラメータをサポートしています。これらのパラメータ層は、CloudWatch エージェントの定義済みメトリクスセットで使用可能な詳細のベーシックレベル、標準レベル、アドバンストレベルとは関係ありません。

CloudWatch エージェントが CloudWatch にデータを書き込むために必要な IAM ユーザーを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [アクセスの種類] で、[プログラムによるアクセス] を選択し、[次の手順: アクセス許可] を選択します。

  5. [許可を設定] で、[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるボックスを選択します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます。(必要に応じて、検索ボックスを使用してポリシーを検索します。コマンドラインのみを使用してエージェントを開始および設定する場合、このポリシーは必要ありません。)

  8. [次へ: タグ] を選択します。

  9. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  10. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  11. 新しいユーザーの行で、[表示] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] (閉じる) を選択します。

次の手順では、IAM ユーザーを作成します。このユーザーは、Parameter Store に書き込むこともできます。他のサーバーが使用できるようにエージェント設定ファイルを Parameter Store に保存する場合は、この IAM ユーザーを使用する必要があります。この IAM ユーザーは、Parameter Store に書き込むためのアクセス許可を提供します。また、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス許可も提供します。Systems Manager Parameter Store に書き込むためのアクセス許可は、広範なアクセスを提供します。この IAM ユーザーは、すべてのサーバーにアタッチせずに、管理者のみ使用できるようにします。この IAM ユーザーは、エージェント設定ファイルを Parameter Store に保存するときにのみ使用してください。

Parameter Store のファイル設定を保存し、CloudWatch に情報を送信するために必要な IAM ユーザーを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ユーザー]、[ユーザーの追加] の順に選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [アクセスの種類] で、[プログラムによるアクセス] を選択し、[次の手順: アクセス許可] を選択します。

  5. [許可を設定] で、[Attach existing policies directly (既存のポリシーを直接アタッチする)] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。

  7. Systems Manager を使用して CloudWatch エージェントをインストールまたは設定するには、[AmazonSSMManagedInstanceCore] の横にあるチェックボックスをオンにします。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます。(必要に応じて、検索ボックスを使用してポリシーを検索します。コマンドラインのみを使用してエージェントを開始および設定する場合、このポリシーは必要ありません。)

  8. [次へ: タグ] を選択します。

  9. (オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。

  10. 適切なポリシーが表示されていることを確認し、[ユーザーの作成] を選択します。

  11. 新しいユーザーの行で、[表示] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[Close] (閉じる) を選択します。