CloudWatch 에이전트와 함께 사용하기 위한 IAM 역할 및 사용자 생성 - Amazon CloudWatch
Amazon EC2 인스턴스에서 CloudWatch 에이전트와 함께 사용할 IAM 역할 생성온프레미스 서버에서 CloudWatch 에이전트와 함께 사용할 IAM 사용자 생성

CloudWatch 에이전트와 함께 사용하기 위한 IAM 역할 및 사용자 생성

AWS 리소스에 액세스하려면 권한이 필요합니다. CloudWatch 에이전트가 CloudWatch에 지표를 작성하고 CloudWatch 에이전트가 Amazon EC2 및 AWS Systems Manager와 통신하도록 하는 데 필요한 권한이 포함된 IAM 역할 및 사용자를 생성할 수 있습니다. Amazon EC2 인스턴스에서는 IAM 역할을 사용하고 온프레미스 서버에서는 IAM 사용자를 사용합니다.

하나의 역할 또는 사용자를 사용하여 CloudWatch 에이전트를 서버에 설치하고 이 에이전트가 CloudWatch에 지표를 전송할 수 있도록 합니다. Systems Manager 파라미터 스토어에 CloudWatch 에이전트 구성을 저장하려면 다른 역할 또는 사용자가 필요합니다. 파라미터 스토어를 사용하면 여러 서버가 하나의 CloudWatch 에이전트 구성을 사용할 수 있습니다.

파라미터 스토어에 쓸 수 있는 기능은 광범위하고 강력한 권한이며, 필요 시에만 사용해야 하고, 배포 시 여러 인스턴스에 연결해선 안 됩니다. CloudWatch 에이전트 구성을 파라미터 스토어에 저장하는 경우 다음을 권장합니다.

  • 이 구성을 수행할 단일 인스턴스를 설정합니다.

  • 이 인스턴스에서만 파라미터 스토어에 쓸 수 있는 권한이 있는 IAM 역할을 사용합니다.

  • CloudWatch 에이전트 구성 파일로 작업하고 이 파일을 저장하는 동안에만 파라미터 스토어에 쓸 수 있는 권한이 있는 IAM 역할을 사용합니다.

참고

최근에 당사는 고객들에게 정책을 직접 생성하도록 요구하는 대신 Amazon에서 만든 새로운 CloudWatchAgentServerPolicyCloudWatchAgentAdminPolicy 정책을 사용하여 다음과 같은 절차를 수정했습니다. 이러한 정책을 사용하여 에이전트 구성 파일을 파라미터 스토어에 작성한 다음, 파라미터 스토어에서 해당 파일을 다운로드하려면 에이전트 구성 파일의 이름이 AmazonCloudWatch-로 시작해야 합니다. 파일 이름이 AmazonCloudWatch-로 시작하지 않는 CloudWatch 에이전트 구성 파일이 있는 경우 이러한 정책을 사용하여 파라미터 스토어에 파일을 작성하거나 파라미터 스토어에서 파일을 다운로드할 수 없습니다.

Amazon EC2 인스턴스에서 CloudWatch 에이전트와 함께 사용할 IAM 역할 생성

첫 번째 절차에서는 CloudWatch 에이전트를 실행하는 각 Amazon EC2 인스턴스에 연결해야 하는 IAM 역할을 생성합니다. 이 역할은 정보를 인스턴스에서 읽고 CloudWatch에 쓸 수 있는 권한을 제공합니다.

두 번째 절차에서는 CloudWatch 에이전트 구성 파일을 생성하는 데 사용되는 Amazon EC2 인스턴스에 연결해야 하는 IAM 역할을 생성합니다. 다른 서버에서 사용할 수 있도록 이 파일을 Systems Manager 파라미터 스토어에 저장하려는 경우 이 단계가 필요합니다. 이 역할은 정보를 인스턴스에서 읽고 CloudWatch에 쓸 수 있는 권한 외에도 파라미터 스토어에 쓸 수 있는 권한도 제공합니다. 이 역할에는 CloudWatch 에이전트를 실행하는 것은 물론 파라미터 스토어에 쓰는 데 충분한 권한이 포함됩니다.

참고

파라미터 스토어는 표준 및 고급 티어의 파라미터를 지원합니다. 이러한 파라미터 티어는 CloudWatch 에이전트의 미리 정의된 지표 세트에서 사용할 수 있는 기본, 표준 및 고급 세부 정보 수준과 관련이 없습니다.

각 서버가 CloudWatch 에이전트를 실행하는 데 필요한 IAM 역할을 생성하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 엔티티 유형 선택 아래에서 AWS 서비스를 선택합니다.

  4. [일반 사용 사례(Common use cases)] 바로 아래에서 [EC2]를 선택한 후 [다음: 권한(Next: Permissions)]을 선택합니다.

  5. 정책 목록에서 CloudWatchAgentServerPolicy 옆의 확인란을 선택합니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.

  6. Systems Manager를 사용하여 CloudWatch 에이전트를 설치하거나 구성하려면 AmazonSSMManagedInstanceCore 옆의 확인란을 선택합니다. 이 AWS 관리형 정책을 사용하면 인스턴스가 Systems Manager 서비스 핵심 기능을 사용할 수 있습니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다. 명령줄을 통해서만 에이전트를 시작하고 구성하는 경우에는 이 정책이 필요하지 않습니다.

  7. 다음: 태그를 선택합니다.

  8. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 다음: 검토(Next: Review)를 선택합니다.

  9. 역할 이름에 새 역할의 이름(예: CloudWatchAgentServerRole 또는 자신이 선호하는 다른 이름)을 입력합니다.

  10. (선택 사항)역할 설명에 설명을 입력합니다.

  11. CloudWatchAgentServerPolicyAmazonSSMManagedInstanceCore정책 옆에 표시되는지 확인하세요.

  12. 역할 생성을 선택합니다.

    이제 역할이 생성되었습니다.

다음 절차에서는 파라미터 스토어에 대한 쓰기 권한도 있는 IAM 역할을 생성합니다. 이 역할을 사용하여 에이전트 구성 파일을 파라미터 스토어에 저장하면 다른 서버가 이를 검색할 수 있습니다.

파라미터 스토어에 대한 쓰기 권한은 광범위한 액세스를 제공하므로 이 역할은 일부 서버에만 연결해야 하며, 관리자만 사용해야 합니다. 에이전트 구성 파일을 생성하여 파라미터 스토어에 복사한 후에는 이 역할을 인스턴스에서 분리하고 대신 CloudWatchAgentServerRole을 사용해야 합니다.

관리자가 파라미터 스토어에 쓸 수 있도록 IAM 역할을 생성하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 엔티티 유형 선택 아래에서 AWS 서비스를 선택합니다.

  4. 이 역할을 사용할 서비스 선택에서 EC2다음: 권한을 차례대로 선택합니다.

  5. 정책 목록에서 CloudWatchAgentAdminPolicy 옆의 확인란을 선택합니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.

  6. Systems Manager를 사용하여 CloudWatch 에이전트를 설치하거나 구성하려면 AmazonSSMManagedInstanceCore 옆의 확인란을 선택합니다. 이 AWS 관리형 정책을 사용하면 인스턴스가 Systems Manager 서비스 핵심 기능을 사용할 수 있습니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다. 명령줄을 통해서만 에이전트를 시작하고 구성하는 경우에는 이 정책이 필요하지 않습니다.

  7. 다음: 태그를 선택합니다.

  8. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 다음: 검토(Next: Review)를 선택합니다.

  9. 역할 이름에 새 역할의 이름(예: CloudWatchAgentAdminRole 또는 자신이 선호하는 다른 이름)을 입력합니다.

  10. (선택 사항)역할 설명에 설명을 입력합니다.

  11. CloudWatchAgentAdminPolicyAmazonSSMManagedInstanceCore(선택 사항)이 정책 옆에 표시되는지 확인하세요.

  12. 역할 생성을 선택합니다.

    이제 역할이 생성되었습니다.

온프레미스 서버에서 CloudWatch 에이전트와 함께 사용할 IAM 사용자 생성

첫 번째 절차에서는 CloudWatch 에이전트를 실행하는 데 필요한 IAM 사용자를 생성합니다. 이 사용자는 CloudWatch에 데이터를 전송할 수 있는 권한을 제공합니다.

두 번째 절차에서는 CloudWatch 에이전트 구성 파일을 생성할 때 사용할 수 있는 IAM 사용자를 생성합니다. 다른 서버에서 사용할 수 있도록 이 파일을 Systems Manager 파라미터 스토어에 저장하려면 이 절차를 사용합니다. 이 사용자는 CloudWatch에 데이터를 쓸 수 있는 권한 외에도 파라미터 스토어에 쓸 수 있는 권한도 제공합니다.

참고

파라미터 스토어는 표준 및 고급 티어의 파라미터를 지원합니다. 이러한 파라미터 티어는 CloudWatch 에이전트의 미리 정의된 지표 세트에서 사용할 수 있는 기본, 표준 및 고급 세부 정보 수준과 관련이 없습니다.

CloudWatch 에이전트가 CloudWatch에 데이터를 쓰는 데 필요한 IAM 사용자를 생성하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 UsersAdd user를 차례대로 선택합니다.

  3. 새 사용자의 사용자 이름을 입력합니다.

  4. Access type(액세스 유형)에서 Programmatic access(프로그래밍 방식 액세스)를 선택한 다음 Next: Permissions(다음: 권한)를 선택합니다.

  5. Set permissions(권한 설정)에서 Attach existing policies directly(기존 정책을 직접 연결)를 선택합니다.

  6. 정책 목록에서 CloudWatchAgentServerPolicy 옆의 확인란을 선택합니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.

  7. Systems Manager를 사용하여 CloudWatch 에이전트를 설치하거나 구성하려면 AmazonSSMManagedInstanceCore 옆의 확인란을 선택합니다. 이 AWS 관리형 정책을 사용하면 인스턴스가 Systems Manager 서비스 핵심 기능을 사용할 수 있습니다. (필요한 경우 검색 상자를 사용하여 정책을 찾습니다. 명령줄을 통해서만 에이전트를 시작하고 구성하는 경우에는 이 정책이 필요하지 않습니다.)

  8. 다음: 태그를 선택합니다.

  9. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 다음: 검토(Next: Review)를 선택합니다.

  10. 올바른 정책이 나열되는지 확인하고 사용자 생성을 선택합니다.

  11. 새 사용자를 위한 행에서 표시를 선택합니다. 에이전트를 설치할 때 사용할 수 있도록 액세스 키 및 보안 키를 파일에 복사한 다음, 닫기를 선택하세요.

다음 절차에서는 파라미터 스토어에 대한 쓰기 권한도 있는 IAM 사용자를 생성합니다. 다른 서버에서 사용할 수 있도록 에이전트 구성 파일을 파라미터 스토어에 저장하려면 이 IAM 사용자를 사용해야 합니다. 이 IAM 사용자는 파라미터 스토어에 대한 쓰기 권한을 제공합니다. 또한 이 사용자는 정보를 인스턴스에서 읽고 CloudWatch에 쓸 수 있는 권한도 제공합니다. Systems Manager 파라미터 스토어에 대한 쓰기 권한은 광범위한 액세스를 제공하므로 이 IAM 사용자는 일부 서버에만 연결해야 하며, 관리자만 사용해야 합니다. 에이전트 구성 파일을 파라미터 스토어에 저장하는 경우에만 이 IAM 사용자를 사용해야 합니다.

파라미터 스토어에 구성 파일을 저장하고 CloudWatch에 정보를 전송하는 데 필요한 IAM 사용자를 생성하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 UsersAdd user를 차례대로 선택합니다.

  3. 새 사용자의 사용자 이름을 입력합니다.

  4. Access type(액세스 유형)에서 Programmatic access(프로그래밍 방식 액세스)를 선택한 다음 Next: Permissions(다음: 권한)를 선택합니다.

  5. Set permissions(권한 설정)에서 Attach existing policies directly(기존 정책을 직접 연결)를 선택합니다.

  6. 정책 목록에서 CloudWatchAgentAdminPolicy 옆의 확인란을 선택합니다. 필요한 경우 검색 상자를 사용하여 정책을 찾습니다.

  7. Systems Manager를 사용하여 CloudWatch 에이전트를 설치하거나 구성하려면 AmazonSSMManagedInstanceCore 옆의 확인란을 선택합니다. 이 AWS 관리형 정책을 사용하면 인스턴스가 Systems Manager 서비스 핵심 기능을 사용할 수 있습니다. (필요한 경우 검색 상자를 사용하여 정책을 찾습니다. 명령줄을 통해서만 에이전트를 시작하고 구성하는 경우에는 이 정책이 필요하지 않습니다.)

  8. 다음: 태그를 선택합니다.

  9. (선택 사항) 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 다음: 검토(Next: Review)를 선택합니다.

  10. 올바른 정책이 나열되는지 확인하고 사용자 생성을 선택합니다.

  11. 새 사용자를 위한 행에서 표시를 선택합니다. 에이전트를 설치할 때 사용할 수 있도록 액세스 키 및 보안 키를 파일에 복사한 다음, 닫기를 선택하세요.