建立 IAM 角色和使用者以使用 CloudWatch 代理程式 - Amazon CloudWatch
建立 IAM 角色,以便在 Amazon EC2 執行個體上搭配 CloudWatch 代理程式使用建立 IAM 使用者以使用內部部署伺服器上的 CloudWatch 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 角色和使用者以使用 CloudWatch 代理程式

存取 AWS 資源需要許可。您可以建立 IAM 角色和使用者,以包含讓 CloudWatch 代理程式將指標寫入 CloudWatch 所需的許可,以及 CloudWatch 代理程式與 Amazon EC2 和 AWS Systems Manager進行通訊時所需的許可。若是 Amazon EC2 執行個體,您可以使用 IAM 角色;若是內部部署伺服器,您可以使用 IAM 使用者。

一個角色或使用者便能讓 CloudWatch 代理程式在伺服器上安裝,並傳送指標給 CloudWatch。需要其他角色或使用者,才能將您的 CloudWatch 代理程式組態存放在 Systems Manager 參數存放區。參數存放區可讓多部伺服器使用一個 CloudWatch 代理程式組態。

寫入參數存放區的能力是一項廣泛且強大的許可。建議您只在需要的時候使用它,並且建議您不要將它連接到您部署中的多個執行個體。如果您在參數存放區中存放 CloudWatch 代理程式組態,我們建議下列作法:

  • 設定一個執行此程式組態的執行個體。

  • 只在此執行個體使用具備寫入許可的 IAM 角色寫入參數存放區。

  • 只在您使用及儲存 CloudWatch 代理程式組態檔案時使用具備寫入許可的 IAM 角色寫入參數存放區。

注意

我們最近使用 Amazon 所建立的新 CloudWatchAgentServerPolicyCloudWatchAgentAdminPolicy 政策修改了下列程序,而無須要求客戶自行建立這些政策。若要使用這些政策將代理程式組態檔寫入參數存放區,然後從參數存放區下載檔案,您的代理程式組態檔案必須具有開頭為 AmazonCloudWatch- 的名稱。若您有檔案名稱開頭並非 AmazonCloudWatch- 的 CloudWatch 代理程式組態檔案,這些政策將無法用於將檔案寫入參數存放區,或是從參數存放區進行下載。

建立 IAM 角色,以便在 Amazon EC2 執行個體上搭配 CloudWatch 代理程式使用

第一個程序建立 IAM 角色,您需要將此角色連接至執行 CloudWatch 代理程式的每個 Amazon EC2 執行個體。此角色提供許可,以用於從執行個體讀取資訊及寫入 CloudWatch。

第二個程序會建立 IAM 角色,您必須將它連接到用於建立 CloudWatch 代理程式組態檔案的 Amazon EC2 執行個體。如果您要將此檔案存放在 Systems Manager 參數存放區,讓其他伺服器可以使用它,這是必要的步驟。除了許可從執行個體讀取資訊和將其寫入 CloudWatch 之外,此角色提供寫入參數存放區的許可。此角色包含足夠執行 CloudWatch 代理程式及寫入參數存放區的許可。

注意

參數存放區支援標準和進階層的參數。這些參數層與 CloudWatch 代理程式預先定義的指標集中提供的基本、標準和進階等詳細資訊層級無關。

若要為每個伺服器建立執行 CloudWatch 代理程式所需的 IAM 角色

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。

  4. 即刻在 Common use cases (常用使用案例) 下,選擇 EC2,然後選擇 Next: Permissions (下一步:許可)。

  5. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  6. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 AmazonSSMManagedInstanceCore 旁邊的方塊。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務核心功能。如有需要,請使用搜尋方塊來尋找政策。如果您只透過命令列啟動和設定代理程式,便不需要此政策。

  7. 選擇下一步:標籤

  8. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  9. 對於 Role name (角色名稱),輸入新角色的名稱,例如 CloudWatchAgentServerRole 或另一個您喜好的名稱。

  10. (選用) 針對 Role description (角色描述),輸入描述。

  11. 確認 CloudWatchAgentServerPolicyAmazonSSMManagedInstanceCore 的選項顯示在 Policies (政策) 旁。

  12. 選擇建立角色

    現在已建立角色。

以下程序會建立也能寫入參數存放區的 IAM 角色。您可以使用此角色在參數存放區內存放代理程式組態檔案,以便其他伺服器可以擷取此組態檔案。

寫入參數存放區的許可可提供廣泛的存取。此角色不應連接到您所有的伺服器,並且應只能讓管理員使用它。在您建立代理程式組態檔案,並將它複製到參數存放區後,建議您從執行個體分離此角色,並改為使用 CloudWatchAgentServerRole

若要為管理員建立寫入參數存放區的 IAM 角色

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. Select type of trusted entity (選擇可信任執行個體類型) 下,選擇 AWS service ( 服務)。

  4. 緊接在 Choose the service that will use this role (選擇將使用此角色的服務) 下,選擇 EC2,然後選擇 Next: Permissions (下一步:許可)

  5. 在政策清單中,選取 CloudWatchAgentAdminPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  6. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 AmazonSSMManagedInstanceCore 旁邊的方塊。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務核心功能。如有需要,請使用搜尋方塊來尋找政策。如果您只透過命令列啟動和設定代理程式,便不需要此政策。

  7. 選擇下一步:標籤

  8. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  9. 對於 Role name (角色名稱),輸入新角色的名稱,例如 CloudWatchAgentAdminRole 或另一個您喜好的名稱。

  10. (選用) 針對 Role description (角色描述),輸入描述。

  11. 確認 CloudWatchAgentAdminPolicy AmazonSSMManagedInstanceCore 的選項顯示於 Policies (政策) 旁。

  12. 選擇建立角色

    現在已建立角色。

建立 IAM 使用者以使用內部部署伺服器上的 CloudWatch 代理程式

第一個程序建立執行 CloudWatch 代理程式所需的 IAM 使用者。此使用者提供傳送資料到 CloudWatch 的許可。

當建立 CloudWatch 代理程式組態檔案,您可以使用此程序建立 IAM 使用者。使用此程序在 Systems Manager 參數存放區內存放此檔案,以便其他伺服器可以使用此檔案。除了將資料寫入 CloudWatch 的許可之外,此使用者還提供參數存放區的寫入許可。

注意

參數存放區支援標準和進階層的參數。這些參數層與 CloudWatch 代理程式預先定義的指標集中提供的基本、標準和進階等詳細資訊層級無關。

若要建立讓 CloudWatch 代理程式將資料寫入 CloudWatch 時所需的 IAM 使用者

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 使用者,然後選擇 新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 針對 Access type (存取類型),選取 Programmatic access (程式設計存取),然後選擇 Next: Permissions (下一步:許可)

  5. 針對 Set permissions (設定許可),選擇 Attach existing policies directly (直接連接現有政策)

  6. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 AmazonSSMManagedInstanceCore 旁邊的方塊。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務核心功能。(如有需要,請使用搜尋方塊來尋找此政策。如果您只透過命令列啟動和設定代理,便不需要此政策。)

  8. 選擇下一步:標籤

  9. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  10. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)

  11. 在新使用者列中,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉

以下程序會建立也能寫入參數存放區的 IAM 使用者。如果您要將代理程式組態檔案存放於參數存放區,以便其他伺服器可以使用此組態檔案,您必須使用此 IAM 使用者。此 IAM 使用者提供寫入參數存放區的許可。此使用者也提供許可用於從執行個體讀取資訊及寫入 CloudWatch 的許可。寫入 Systems Manager 參數存放區的許可可提供廣泛的存取。此 IAM 使用者不應連接到您所有的伺服器,並且應只能讓管理員使用它。您應該只有在將代理程式組態檔案存放於參數存放區時,才使用此 IAM 使用者。

若要建立將組態檔案存放於參數存放區以及傳送資訊至 CloudWatch 時所需的 IAM 使用者

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇 使用者,然後選擇 新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 針對 Access type (存取類型),選取 Programmatic access (程式設計存取),然後選擇 Next: Permissions (下一步:許可)

  5. 針對 Set permissions (設定許可),選擇 Attach existing policies directly (直接連接現有政策)

  6. 在政策清單中,選取 CloudWatchAgentAdminPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 AmazonSSMManagedInstanceCore 旁邊的核取方塊。此 AWS 受管政策可讓執行個體使用 Systems Manager 服務核心功能。(如有需要,請使用搜尋方塊來尋找此政策。如果您只透過命令列啟動和設定代理,便不需要此政策。)

  8. 選擇下一步:標籤

  9. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  10. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)

  11. 在新使用者列中,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉