기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
함께 사용할 IAM 역할 및 사용자 생성CloudWatch에이전트
AWS 리소스에 액세스하려면 권한이 필요합니다. IAM 역할, IAM 사용자 또는 둘 다를 생성하여 다음과 같은 권한을 부여합니다.CloudWatch상담원이 메트릭을 작성해야 합니다.CloudWatch. Amazon EC2 인스턴스에서 에이전트를 사용하려면 IAM 역할을 생성해야 합니다. 온프레미스 서버에서 에이전트를 사용하려면 IAM 사용자를 생성해야 합니다.
참고
최근에 당사는 고객들에게 정책을 직접 생성하도록 요구하는 대신 Amazon에서 만든 새로운 CloudWatchAgentServerPolicy 및 CloudWatchAgentAdminPolicy 정책을 사용하여 다음과 같은 절차를 수정했습니다. 파라미터 스토어에 파일을 작성하고 파라미터 스토어에서 파일을 다운로드하는 경우 Amazon에서 생성한 정책은 이름이 AmazonCloudWatch-로 시작하는 파일만 지원합니다. 가지고 계신 경우CloudWatch파일 이름이 다음으로 시작되지 않는 에이전트 구성 파일AmazonCloudWatch-, 이러한 정책은 파라미터 저장소에 파일을 쓰거나 파라미터 저장소에서 파일을 다운로드하는 데 사용할 수 없습니다.
실행하려는 경우CloudWatchAmazon EC2 인스턴스의 에이전트는 다음 단계를 사용하여 필요한 IAM 역할을 생성합니다. 이 역할은 인스턴스로부터 정보를 읽고 이를 CloudWatch에 쓰는 권한을 제공합니다.
실행하는 데 필요한 IAM 역할을 만들려면CloudWatchEC2 인스턴스의 에이전트
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
왼쪽 탐색 창에서 Roles(역할)를 선택한 후 Create role(역할 생성)을 선택합니다.
신뢰할 수 있는 엔터티 유형(Trusted entity type)에서 AWS 서비스(AWS service)를 선택해야 합니다.
사용 사례(Use case)의 경우 일반 사용 사례(Common use cases)에서 EC2를 선택하고,
-
다음을 선택합니다.
-
정책 목록에서 옆의 확인란을 선택합니다.CloudWatchAgentServerPolicy. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.
(선택 사항) 상담원이 X-Ray를 추적하려는 경우 역할도 부여해야 합니다.AWSXRayDaemonWriteAccess정책. 이렇게 하려면 목록에서 해당 정책을 찾아 옆에 있는 확인란을 선택합니다.
-
다음을 선택합니다.
-
에서역할 이름역할 이름 (예:) 을 입력합니다.
CloudWatchAgentServerRole. 필요한 경우 설명을 입력합니다. 그런 다음 역할 생성(Create role)을 선택합니다.이제 역할이 생성되었습니다.
(선택 사항) 에이전트가 로그를 보낼 대상CloudWatch로그와 에이전트가 이러한 로그 그룹에 대한 보존 정책을 설정할 수 있도록 하려면 다음을 추가해야 합니다.
logs:PutRetentionPolicy역할에 대한 권한. 자세한 정보는 허용CloudWatch로그 보존 정책을 설정하는 에이전트을 참조하세요.
실행하려는 경우CloudWatch온프레미스 서버의 에이전트는 다음 단계를 사용하여 필요한 IAM 사용자를 생성합니다.
에 필요한 IAM 사용자를 만들려면CloudWatch온프레미스 서버에서 실행할 에이전트
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
왼쪽 탐색 창에서 사용자(Users)를 선택한 후 사용자 추가(Add user)를 선택합니다.
-
새 사용자의 사용자 이름을 입력합니다.
-
액세스 키 - 프로그래밍 방식 액세스(Access key - Programmatic access)를 선택하고 다음: 권한(Next: Permissions)을 선택합니다.
-
[Attach existing policies directly]를 선택합니다.
-
정책 목록에서 옆의 확인란을 선택합니다.CloudWatchAgentServerPolicy. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.
(선택 사항) 상담원이 X-Ray를 추적하려는 경우 역할도 부여해야 합니다.AWSXRayDaemonWriteAccess정책. 이렇게 하려면 목록에서 해당 정책을 찾아 옆에 있는 확인란을 선택합니다.
-
Next: Tags(다음: 태그)를 선택합니다.
필요에 따라 새 IAM 사용자에 대한 태그를 생성한 다음 다음: 검토(Next: Review)를 선택합니다.
-
올바른 정책이 나열되었는지 확인하고 사용자 생성(Create user)을 선택합니다.
-
새 사용자 이름 옆에서 표시를 선택합니다. 에이전트를 설치할 때 사용할 수 있도록 액세스 키 및 보안 키를 파일에 복사한 다음, 닫기를 선택합니다.
허용CloudWatch로그 보존 정책을 설정하는 에이전트
구성할 수 있습니다.CloudWatch에이전트는 로그 이벤트를 보내는 로그 그룹에 대한 보존 정책을 설정합니다. 이렇게 하면 에이전트가 사용하는 IAM 역할 또는 사용자에게 logs:PutRetentionPolicy를 부여해야 합니다. 에이전트는 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행하고 온프레미스 서버에는 IAM 사용자를 사용합니다.
부여하려면CloudWatch로그 보존 정책을 설정할 수 있는 에이전트의 IAM 역할 권한
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. 왼쪽 탐색 창에서 역할(Roles)을 선택합니다.
검색 상자에 이름의 시작 부분을 입력합니다.CloudWatch상담원의 IAM 역할 역할을 생성했을 때 이 이름을 선택했습니다. 이름은
CloudWatchAgentServerRole이 될 수 있습니다.역할이 표시되면 역할의 이름을 선택합니다.
권한(Permissions) 탭에서 권한 추가(Add permissions), 인라인 정책 생성(Create inline policy)을 선택합니다.
JSON 탭을 선택하고 다음 정책을 상자에 복사하고 상자의 기본 JSON을 대체합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }Review policy(정책 검토)를 선택합니다.
이름(Name)의 경우
CloudWatchAgentPutLogsRetention또는 이와 비슷한 것을 입력하고 정책 생성(Create policy)을 선택합니다.
부여하려면CloudWatch에이전트의 IAM 사용자 권한으로 로그 보존 정책을 설정할 수 있습니다.
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. 왼쪽 탐색 창에서 Users(사용자)를 선택합니다.
검색 상자에 이름의 시작 부분을 입력합니다.CloudWatch에이전트의 IAM 사용자 사용자를 생성했을 때 이 이름을 선택했습니다.
사용자가 표시되면 사용자의 이름을 선택합니다.
권한(Permissions) 탭에서 인라인 정책 추가(Add inline policy)를 선택합니다.
JSON 탭을 선택하고 다음 정책을 상자에 복사하고 상자의 기본 JSON을 대체합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:PutRetentionPolicy", "Resource": "*" } ] }Review policy(정책 검토)를 선택합니다.
이름(Name)의 경우
CloudWatchAgentPutLogsRetention또는 이와 비슷한 것을 입력하고 정책 생성(Create policy)을 선택합니다.
