Pré-requisitos - Amazon CloudWatch
Perfis e usuários do IAM para o agente do CloudWatchRequisitos de rede

Pré-requisitos

Certifique-se de que os pré-requisitos apresentados a seguir sejam atendidos antes de instalar o agente do CloudWatch pela primeira vez.

Perfis e usuários do IAM para o agente do CloudWatch

O acesso aos recursos da AWS requer permissões. Você cria uma função do IAM, um usuário do IAM ou ambos para conceder permissões necessárias para o atendente do CloudWatch gravar métricas no CloudWatch.

Criação de um perfil do IAM para instâncias do Amazon EC2

Se você for executar o agente do CloudWatch em instâncias do Amazon EC2, crie um perfil do IAM com as permissões necessárias.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Perfis e, em seguida, Criar perfil.

  3. Verifique se o serviço da AWS está selecionado em Trusted entity type (Tipo de entidade confiável).

  4. Em Caso de uso, escolha EC2 em Casos de uso comuns.

  5. Escolha Próximo.

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. Escolha Próximo.

  8. Em Nome do perfil, insira um nome exclusivo para o perfil, como CloudWatchAgentServerRole. Como opção, atribua uma descrição a ela. Então, escolha Criar perfil.

(Opcional) Se o atendente for enviar logs para o CloudWatch Logs e você quiser que ele possa definir políticas de retenção para esses grupos de log, será necessário adicionar a permissão logs:PutRetentionPolicy para a função.

Criação de um usuário do IAM para servidores on-premises

Se você for executar o agente do CloudWatch em servidores on-premises, crie um usuário do IAM com as permissões necessárias.

nota

Este cenário precisa de usuários do IAM com acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e, em seguida, Adicionar usuários.

  3. Digite o nome para o novo usuário.

  4. Selecione Access key – Programmatic access (Chave de acesso – Acesso programático) e escolha Next: Permissions (Próximo: Permissões).

  5. Escolha Anexar políticas existentes diretamente.

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. Escolha Próximo: tags.

  8. Opcionalmente, crie etiquetas destinadas ao novo IAM e, em seguida, escolha Próximo: Revisar.

  9. Confirme se as políticas corretas estão listadas e selecione Create user (Criar usuário).

  10. Ao lado do nome no novo usuário, escolha Mostrar. Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha Fechar.

Anexação de um perfil do IAM a uma instância do Amazon EC2

Para possibilitar que o agente do CloudWatch envie dados provenientes de uma instância do Amazon EC2, você deve anexar o perfil do IAM criado à instância.

Para obter mais informações sobre como anexar um perfil do IAM a uma instância, consulte Anexar um perfil do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud.

Permitir que o atendente do CloudWatch defina a política de retenção de logs

É possível configurar o atendente do CloudWatch para definir a política de retenção para grupos de logs para os quais ele envia eventos de log. Se você fizer isso, deve conceder o logs:PutRetentionPolicy à função do IAM ou ao usuário que o atendente usa. O atendente usa uma função do IAM para executar em instâncias do Amazon EC2 e usa um usuário do IAM para servidores on-premises.

Para conceder permissão à função do IAM do atendente do CloudWatch para definir políticas de retenção de log

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Perfis.

  3. Na caixa de pesquisa, digite o início do nome da função do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar a função. Ele pode se chamar CloudWatchAgentServerRole.

    Quando você vir a função, escolha o nome da função.

  4. Na guia Permissions (Permissões), escolha Add permissions (Adicionar permissões), Create inline policy (Criar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Selecione Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).

Para conceder permissão ao usuário do IAM do atendente do CloudWatch para definir políticas de retenção de log

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Usuários.

  3. Na caixa de pesquisa, digite o início do nome do usuário do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar o usuário.

    Quando você vir o usuário, escolha o nome do usuário.

  4. Na guia Permissions (Permissões), escolha Add inline policy (Adicionar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Selecione Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).

Requisitos de rede

nota

Quando o servidor estiver em uma sub-rede pública, certifique-se de que haja acesso a um gateway da internet. Quando o servidor estiver em uma sub-rede privada, o acesso será feito por meio dos gateways NAT ou do endpoint da VPC. Para obter mais informações sobre gateways NAT, consulte https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html.

Suas instâncias do Amazon EC2 devem ter acesso à Internet de saída para enviar dados ao CloudWatch ou ao CloudWatch Logs. Para obter mais informações sobre como configurar o acesso à internet, consulte Gateways da internet no Guia do usuário da Amazon VPC.

Usar endpoints da VPC

Se você estiver usando uma VPC e desejar usar o agente do CloudWatch sem acesso à internet pública, pode configurar endpoints da VPC para o CloudWatch e o CloudWatch Logs.

Os endpoints e portas para configurar em seu proxy são os seguintes:

  • Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em Endpoints e cotas do Amazon CloudWatch.

  • Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints de logs do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em Endpoints e cotas do Amazon CloudWatch Logs.

  • Se estiver usando o Systems Manager para instalar o atendente ou o Parameter Store para armazenar o arquivo de configuração, você deverá adicionar os endpoints do Systems Manager das regiões apropriadas na lista de permissões. Esses endpoints estão listados em AWS Systems Manager endpoints and quotas.