本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 IAM 角色和用户以用于 CloudWatch 代理
要访问 AWS 资源,需要具有相应的权限。您创建 IAM 角色和/或 IAM 用户,以授予权限和/或 CloudWatch 代理将指标写入 CloudWatch 所需的权限。如果您打算在 Amazon EC2 实例上使用代理,则必须创建 IAM 角色。如果您打算在本地服务器上使用代理,则必须创建 IAM 用户。
我们最近修改了以下过程,具体来说就是使用由 Amazon 创建的新 CloudWatchAgentServerPolicy
和 CloudWatchAgentAdminPolicy
策略,而不需要客户自行创建这些策略。对于将文件写入 Parameter Store 和从中下载文件,Amazon 创建的策略仅支持名称以 AmazonCloudWatch-
开头的文件。 如果您的 CloudWatch 代理配置文件的文件名不以 AmazonCloudWatch-
开头,则这些策略不能用于将文件写入 Parameter Store 或从 Parameter Store 下载文件。
如果您打算在 Amazon EC2 实例上运行 CloudWatch 代理,请使用以下步骤创建必要的 IAM 角色。该角色提供从实例中读取信息并将其写入到 CloudWatch 的权限。
创建在 EC2 实例上运行 CloudWatch 代理所需的 IAM 角色
-
登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
确保在 Select type of trusted entity (选择受信任实体的类型) 下选择了 AWS service (AWS 服务)。
-
对于 Choose a use case (选择使用案例),选择 Common use cases (常用案例) 下的 EC2。
-
选择 Next: (下一步:)。权限。
-
在策略列表中,选中 CloudWatchAgentServerPolicy 旁边的复选框。 如有必要,请使用搜索框查找该策略。
-
选择 Next: (下一步:)。 审核。
-
确认 Policies (策略)CloudWatchAgentServerPolicy 旁边显示 。在 Role name (角色名称) 中,输入角色的名称,例如
CloudWatchAgentServerRole
, (可选) 为它提供描述。然后选择 Create role (创建角色)。将立即创建该角色。
如果您打算在本地服务器上运行 CloudWatch 代理,请使用以下步骤创建必要的 IAM 用户。
创建 CloudWatch 代理在本地服务器上运行所需的 IAM 用户
-
登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择 Users (用户),然后选择 Add user (添加用户)。
-
为新用户输入用户名。
-
选择 Programmatic access (编程访问),然后选择 Next: (下一步:)。权限。
-
选择直接附加现有策略。
-
在策略列表中,选中 CloudWatchAgentServerPolicy 旁边的复选框。 如有必要,请使用搜索框查找该策略。
-
选择 Next: (下一步:)。 审核。
-
确认列出了正确的策略,然后选择 Create user (创建用户)。
-
在新用户的名称旁边,选择显示。将访问密钥和私有密钥复制到一个文件以便在安装该代理时使用。选择 Close (关闭)。