Criar funções e usuários do IAM para uso com o atendente do CloudWatch - Amazon CloudWatch
Permitir que o atendente do CloudWatch defina a política de retenção de logs

Criar funções e usuários do IAM para uso com o atendente do CloudWatch

O acesso aos recursos da AWS requer permissões. Você cria uma função do IAM, um usuário do IAM ou ambos para conceder permissões necessárias para o atendente do CloudWatch gravar métricas no CloudWatch. Se você pretende usar o atendente em instâncias do Amazon EC2, crie uma função do IAM. Se você pretende usar o atendente em servidores on-premises, é necessário criar um usuário do IAM.

nota

Os seguintes procedimentos foram modificados recentemente usando as novas políticas CloudWatchAgentServerPolicy e CloudWatchAgentAdminPolicy criadas pela Amazon, em vez de exigir que os próprios clientes criem essas políticas. Para gravar arquivos e baixar arquivos do Parameter Store, as políticas criadas pela Amazon oferecem suporte apenas a arquivos com nomes que começam com AmazonCloudWatch-. Caso você tenha um arquivo de configuração do atendente do CloudWatch com um nome de arquivo que não comece com AmazonCloudWatch-, essas políticas não poderão ser usadas para gravar o arquivo no Parameter Store nem baixá-lo no Parameter Store.

Se você executar o atendente do CloudWatch em instâncias do Amazon EC2, use as etapas a seguir para criar a função do IAM necessária. Essa função fornece permissões para ler informações da instância e gravá-las no CloudWatch.

Para criar a função do IAM necessária para executar o atendente do CloudWatch em instâncias do EC2

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Roles (Funções) e, depois, Create role (Criar função).

  3. Verifique se o serviço da AWS está selecionado em Trusted entity type (Tipo de entidade confiável).

  4. Em Use case (Caso de uso), escolha EC2 em Common use cases (Casos de uso comuns),

  5. Escolha Próximo.

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. (Opcional) Se o agente estiver enviando rastreamentos para o X-Ray, você também precisará atribuir ao perfil a política AWSXRayDaemonWriteAccess. Para fazer isso, localize a política na lista e marque a caixa de seleção ao lado dela.

  8. Escolha Próximo.

  9. Em Role name (Nome da função), digite um nome para a função, como CloudWatchAgentServerRole. Como opção, atribua uma descrição a ela. Então, escolha Criar perfil.

    A função foi criada.

  10. (Opcional) Se o atendente for enviar logs para o CloudWatch Logs e você quiser que ele possa definir políticas de retenção para esses grupos de log, será necessário adicionar a permissão logs:PutRetentionPolicy para a função. Para obter mais informações, consulte Permitir que o atendente do CloudWatch defina a política de retenção de logs.

Se você executar o atendente do CloudWatch em servidores on-premises, use as etapas a seguir para criar o usuário do IAM necessário.

Atenção

Este cenário precisa de usuários do IAM com acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários. As chaves de acesso podem ser atualizadas, se necessário. Para obter mais informações, consulte Atualização de chaves de acesso no Guia de usuário do IAM.

Para criar o usuário do IAM necessário para o atendente do CloudWatch ser executado em servidores on-premises

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Users (Usuários) e, depois, Add users (Adicionar usuários).

  3. Digite o nome para o novo usuário.

  4. Selecione Access key – Programmatic access (Chave de acesso – Acesso programático) e escolha Next: Permissions (Próximo: Permissões).

  5. Escolha Anexar políticas existentes diretamente.

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. (Opcional) Se o agente for rastrear o X-Ray, você também precisará atribuir ao perfil a política AWSXRayDaemonWriteAccess. Para fazer isso, localize a política na lista e marque a caixa de seleção ao lado dela.

  8. Escolha Próximo: etiquetas.

  9. Ou crie etiquetas para o novo usuário do IAM e, em seguida, escolha Next:Review (Próximo:Análise).

  10. Confirme se as políticas corretas estão listadas e selecione Create user (Criar usuário).

  11. Ao lado do nome no novo usuário, escolha Mostrar. Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha Fechar.

Permitir que o atendente do CloudWatch defina a política de retenção de logs

É possível configurar o atendente do CloudWatch para definir a política de retenção para grupos de logs para os quais ele envia eventos de log. Se você fizer isso, deve conceder o logs:PutRetentionPolicy à função do IAM ou ao usuário que o atendente usa. O atendente usa uma função do IAM para executar em instâncias do Amazon EC2 e usa um usuário do IAM para servidores on-premises.

Para conceder permissão à função do IAM do atendente do CloudWatch para definir políticas de retenção de log

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Roles.

  3. Na caixa de pesquisa, digite o início do nome da função do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar a função. Ele pode se chamar CloudWatchAgentServerRole.

    Quando você vir a função, escolha o nome da função.

  4. Na guia Permissions (Permissões), escolha Add permissions (Adicionar permissões), Create inline policy (Criar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Escolha Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).

Para conceder permissão ao usuário do IAM do atendente do CloudWatch para definir políticas de retenção de log

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Usuários.

  3. Na caixa de pesquisa, digite o início do nome do usuário do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar o usuário.

    Quando você vir o usuário, escolha o nome do usuário.

  4. Na guia Permissions (Permissões), escolha Add inline policy (Adicionar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Escolha Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).