Amazon CloudWatch
ユーザーガイド

CloudWatch エージェントで使用する IAM ロールおよびユーザーを作成する

AWS リソースにアクセスするには、アクセス権限が必要です。CloudWatch エージェントがメトリクスを CloudWatch に書き込み、CloudWatch エージェントが Amazon EC2 および AWS Systems Manager と通信するために必要なアクセス権限を持つ IAM ロールおよびユーザーを作成できます。Amazon EC2 インスタンスでは IAM ロールを使用し、オンプレミスサーバーでは IAM ユーザーを使用して、エージェントが CloudWatch にデータを送信することを許可します。

1 つのロールと 1 つのユーザーがあると、CloudWatch エージェントをサーバーにインストールし、メトリクスを CloudWatch に送信できるようになります。CloudWatch エージェント設定を Systems Manager Parameter Store に保存するには、ロールまたはユーザーがもう 1 つ必要です。これにより、複数のサーバーが 1 つの CloudWatch エージェント設定を使用できるようになります。

Parameter Store への書き込み権限は、範囲が広く強力なアクセス権限のため、必要なときのみ使用し、デプロイ内の複数のインスタンスにはアタッチしないでください。Parameter Store に CloudWatch エージェント設定を保存する場合、この設定を実行するインスタンスを 1 つセットアップし、CloudWatch エージェント設定ファイルを使用して作業するときに限ってこのインスタンスでのみ Parameter Store に書き込むアクセス権限を持つ IAM ロールを使用してください。

注記

お客様にこれらのポリシーを自分で作成するよう求める代わりに、Amazon によって作成された新しい [CloudWatchAgentServerPolicy] および [CloudWatchAgentAdminPolicy] ポリシーを使用して、最近以下の手順を変更しました。Parameter Store へのファイル書き込みおよびファイルのダウンロードについては、Amazon によって作成されたポリシーでは、「AmazonCloudWatch-」で始まる名前を持つファイルのみをサポートします。ファイル名が AmazonCloudWatch- で始まらない CloudWatch エージェント設定ファイルがある場合、これらのポリシーを使用してファイルを Parameter Store に書き込んだり、Parameter Store からダウンロードしたりできません。

Amazon EC2 インスタンスの CloudWatch エージェントで使用する IAM ロールを作成する

最初の手順では、CloudWatch エージェントで実行される各 Amazon EC2 インスタンスにアタッチする必要がある IAM ロールが作成されます。このロールでは、インスタンスから情報を読み取り、CloudWatch に書き込むアクセス権限が提供されます。

2 番目の手順では、他のサーバーが使用できるようにこのファイルを Systems Manager Parameter Store に保存する場合に、CloudWatch エージェント設定ファイルの作成に使用されている Amazon EC2 インスタンスにアタッチする必要がある IAM ロールが作成されます。このロールでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。このロールには、CloudWatch エージェントを実行するだけでなく、Parameter Store に書き込むのに十分なアクセス権限が含まれます。

各サーバーが CloudWatch エージェントを実行するのに必要な IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2Allows EC2 instances to call AWS services on your behalf] (EC2 お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにする) を選択します。[Next: Permissions (次へ: 権限)] を選択します。

  4. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。検索ボックスを使用して、必要に応じてポリシーを見つけます。

  5. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。検索ボックスを使用して、必要に応じてポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  6. [Next: Review] を選択します。

  7. [CloudWatchAgentServerPolicy] およびオプションで [AmazonEC2RoleforSSM] が [Policies] (ポリシー) 横に表示されていることを確認します。[Role name] に、CloudWatchAgentServerRole などのロールの名前を入力します。必要に応じて説明を入力し、[Create role] を選択します。

    これでロールが作成されました。

次の手順では、IAM ロールを作成します。このロールは、Parameter Store に書き込むこともできます。他のサーバーが使用できるようにエージェント設定ファイルを Parameter Store に保存する場合は、このロールを使用する必要があります。このロールでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。Parameter Store に書き込むアクセス権限は広い範囲に影響を及ぼすため、すべてのサーバーにアタッチすることはせず、管理者だけが使用してください。エージェント設定ファイルを作成し、Parameter Store にコピーしたら、インスタンスからこのロールをデタッチし、代わりに CloudWatchAgentServerPolicy を使用してください。

管理者がエージェント設定ファイルを Systems Manager Parameter Store に保存するのに必要な IAM ロールを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. [Choose the service that will use this role] (このロールを使用するサービスを選択) で、[EC2Allows EC2 instances to call AWS services on your behalf] (EC2 お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにする) を選択します。[Next: Permissions (次へ: 権限)] を選択します。

  4. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。検索ボックスを使用して、必要に応じてポリシーを見つけます。

  5. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。検索ボックスを使用して、必要に応じてポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  6. [Next: Review] を選択します。

  7. [CloudWatchAgentAdminPolicy] およびオプションで [AmazonEC2RoleforSSM] が [Policies] (ポリシー) 横に表示されていることを確認します。[Role name] に、CloudWatchAgentAdminRole などのロールの名前を入力します。必要に応じて説明を入力し、[Create role] を選択します。

    これでロールが作成されました。

オンプレミスサーバーで CloudWatch エージェントを使用するための IAM ユーザーを作成する

最初の手順では、CloudWatch エージェントの実行に必要な IAM ユーザーが作成されます。このユーザーは CloudWatch にデータを送信するアクセス許可を提供します。

2 番目の手順では、他のサーバーが使用できるようにこのファイルを Systems Manager Parameter Store に保存する場合に CloudWatch エージェント設定ファイルの作成に使用する IAM ユーザーが作成されます。このユーザーは、Parameter Store に書き込むアクセス権限と CloudWatch にデータを書き込むアクセス権限を提供します。

CloudWatch エージェントが CloudWatch にデータを書き込むために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで、[Users]、[Add user] を選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Programmatic access] を選択し、[Next: Permissions] を選択します。

  5. [Attach existing policies directly] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentServerPolicy] の横にあるチェックボックスを選択します。検索ボックスを使用して、必要に応じてポリシーを見つけます。

  7. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。検索ボックスを使用して、必要に応じてポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  8. [Next: Review] を選択します。

  9. 適切なポリシーがリストされていることを確認し、[Create user] を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。アクセスキーとシークレットキーをファイルにコピーして、エージェントのイントール時に使用できるようにした後、[Close] を選択します。

次の手順では、IAM ユーザーを作成します。このロールは、Parameter Store に書き込むこともできます。他のサーバーが使用できるようにエージェント設定ファイルを Parameter Store に保存する場合は、このユーザーを使用する必要があります。このユーザーでは、Parameter Store に書き込むアクセス権限と、インスタンスから情報を読み取って CloudWatch に書き込むアクセス権限が提供されます。Systems Manager Parameter Store に書き込むアクセス権限は広い範囲に影響を及ぼすため、すべてのサーバーにアタッチすることはせず、管理者だけが使用してください。この IAM ユーザーは、エージェント設定ファイルを Parameter Store に保存するときにのみ使用してください。

Parameter Store のファイル設定を保存し、CloudWatch に情報を送信するために必要な IAM ユーザーを作成するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. 左側のナビゲーションペインで、[Users]、[Add user] を選択します。

  3. 新しいユーザーのユーザー名を入力します。

  4. [Programmatic access] を選択し、[Next: Permissions] を選択します。

  5. [Attach existing policies directly] を選択します。

  6. ポリシーのリストで、[CloudWatchAgentAdminPolicy] の横にあるチェックボックスを選択します。検索ボックスを使用して、必要に応じてポリシーを見つけます。

  7. CloudWatch エージェントをインストールまたは設定するために SSM を使用するには、[AmazonEC2RoleforSSM] の横にあるチェックボックスをオンにします。検索ボックスを使用して、必要に応じてポリシーを見つけます。コマンドラインのみ使用してエージェントを開始および設定する場合、このポリシーは必要ありません。

  8. [Next: Review] を選択します。

  9. 適切なポリシーがリストされていることを確認し、[Create user] を選択します。

  10. 新しいユーザーの名前の横にある [Show] を選択します。アクセスキーとシークレットキーをファイルにコピーして、エージェントのイントール時に使用できるようにした後、[Close] を選択します。