建立 IAM 角色和使用者以搭配 CloudWatch 代理程式使用 - Amazon CloudWatch
允許 CloudWatch 代理程式設定記錄保留原則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 角色和使用者以搭配 CloudWatch 代理程式使用

存取資 AWS 源需要權限。您可以建立 IAM 角色、IAM 使用者或兩者,以授與 CloudWatch 代理程式寫入指標所需的許可 CloudWatch。若您要在 Amazon EC2 執行個體上使用代理程式,您必須建立 IAM 角色。若您要在內部部署伺服器上使用代理程式,您必須建立 IAM 使用者。

注意

我們最近使用 Amazon 所建立的新 CloudWatchAgentServerPolicyCloudWatchAgentAdminPolicy 政策修改了下列程序,而無須要求客戶自行建立這些政策。針對寫入檔案及從參數存放區下載檔案,Amazon 所建立的政策只支援名稱開頭為 AmazonCloudWatch- 的檔案。如果您的 CloudWatch 代理程式組態檔案名稱開頭不是AmazonCloudWatch-,則無法使用這些原則將檔案寫入參數存放區或從參數存放區下載。

如果您要在 Amazon EC2 執行個體上執行 CloudWatch 代理程式,請使用下列步驟建立必要的 IAM 角色。此角色提供從執行個體讀取資訊並將其寫入的權限 CloudWatch。

建立在 EC2 執行個體上執行 CloudWatch 代理程式所需的 IAM 角色

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  3. 確定在 Trusted entity type (受信任實體類型) 下,選取 AWS service ( 服務)。

  4. 對於 Use case (使用案例),在 Common use cases (常用使用案例) 下,選擇 EC2

  5. 選擇下一步

  6. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentServerPolicy。如有需要,請使用搜尋方塊來尋找政策。

  7. (選擇性) 如果代理程式將追蹤傳送至 X-Ray,您還需要為AWSXRayDaemonWriteAccess原則指定角色。因此,請在清單中找到該政策,然後選取其旁邊的核取方塊。

  8. 選擇下一步

  9. 角色名稱中,輸入角色的名稱,例如CloudWatchAgentServerRole。您可以選擇性地給予它一個描述。然後選擇 Create role (建立角色)。

    現在已建立角色。

  10. (選擇性) 如果代理程式要將記錄檔傳送至 CloudWatch 記錄檔,而您希望代理程式能夠為這些記錄群組設定保留原則,則需要將logs:PutRetentionPolicy權限新增至角色。如需詳細資訊,請參閱 允許 CloudWatch 代理程式設定記錄保留原則

如果您要在內部部署伺服器上執行 CloudWatch 代理程式,請使用下列步驟建立必要的 IAM 使用者。

警告

此案例需要具有程式設計存取權限和長期登入資料的 IAM 使用者,這會帶來安全風險。為了減輕此風險,我們建議您僅向這些使用者提供執行工作所需的權限,並在不再需要這些使用者時移除這些使用者。如有必要,可更新存取金鑰。如需詳細資訊,請參閱 IAM 使用者指南中的更新存取金鑰

建立代理程式在內部部署伺服器上執 CloudWatch 行所需的 IAM 使用者

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,依次選擇 Users (使用者)、Add user (新增使用者)。

  3. 為新使用者輸入使用者名稱。

  4. 選取 Access key - Programmatic access (存取金鑰 - 程式設計存取),然後選擇 Next: Permissions (下一步:許可)。

  5. 選擇直接連接現有政策

  6. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentServerPolicy。如有需要,請使用搜尋方塊來尋找政策。

  7. (選擇性) 如果代理程式將追蹤至 X-Ray,您還需要為AWSXRayDaemonWriteAccess原則指定角色。因此,請在清單中找到該政策,然後選取其旁邊的核取方塊。

  8. 選擇下一步:標籤

  9. (選用) 為新 IAM 使用者建立標籤,然後選擇 Next:Review (下一步:檢閱)。

  10. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)。

  11. 在新使用者名稱的旁邊,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉

允許 CloudWatch 代理程式設定記錄保留原則

您可以設定 CloudWatch 代理程式,為其傳送記錄事件的記錄群組設定保留原則。如果您這樣做,您必須將 logs:PutRetentionPolicy 授予代理程式使用的 IAM 角色或使用者。代理程式使用 IAM 角色在 Amazon EC2 執行個體上執行,並為內部部署伺服器使用 IAM 使用者。

授與 CloudWatch 代理程式的 IAM 角色設定記錄保留政策的權限

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 角色名稱的開頭。您可以在建立角色時選擇此名稱。其可能被命名為 CloudWatchAgentServerRole

    如果您看到該角色,請選擇角色的名稱。

  4. Permissions (許可) 索引標籤中,依次選擇 Add permissions (新增許可)、Create inline policy (建立內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。

授與 CloudWatch 代理程式的 IAM 使用者設定記錄保留政策的權限

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,選擇 Users (使用者)

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 使用者名稱的開頭。您可以在建立使用者時選擇此名稱。

    如果您看到該使用者,請選擇使用者的名稱。

  4. 針對 Permissions (許可) 索引標籤,選擇 Add inline policy (新增內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。