建立與 CloudWatch 代理程式搭配使用的IAM角色和使用者 - Amazon CloudWatch
建立與 Amazon EC2 執行個體上的 CloudWatch 代理程式搭配使用的IAM角色建立使用IAM者以搭配內部部署伺服器上的 CloudWatch 代理程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立與 CloudWatch 代理程式搭配使用的IAM角色和使用者

訪問 AWS 資源需要權限。您可以建立IAM角色和使用者,其中包含 CloudWatch 代理程式寫入指標所需的許可,以 CloudWatch 及讓 CloudWatch 代理程式與 Amazon EC2 和 AWS Systems Manager。 您可以在 Amazon EC2 執行個體上使用IAM角色,而且使用IAM者搭配現場部署伺服器。

一個角色或使用者可讓 CloudWatch 代理程式安裝在伺服器上,並將指標傳送至 CloudWatch。需要另一個角色或使用者才能將 CloudWatch 代理程式組態儲存在 Systems Manager 參數存放區中。參數存放區可讓多部伺服器使用一個 CloudWatch 代理程式組態。

寫入參數存放區的能力是一項廣泛且強大的許可。建議您只在需要的時候使用它,並且建議您不要將它連接到您部署中的多個執行個體。如果您將 CloudWatch 代理程式組態儲存在參數存放區中,建議您執行下列操作:

  • 設定一個執行此程式組態的執行個體。

  • 使用具有權限的IAM角色僅在此執行個體上寫入參數存放區。

  • 僅當您使用並儲存 CloudWatch 代理程式組態檔時,才使用具有權限的IAM角色寫入參數存放區。

注意

我們最近使用 Amazon 所建立的新 CloudWatchAgentServerPolicyCloudWatchAgentAdminPolicy 政策修改了下列程序,而無須要求客戶自行建立這些政策。若要使用這些政策將代理程式組態檔寫入參數存放區,然後從參數存放區下載檔案,您的代理程式組態檔案必須具有開頭為 AmazonCloudWatch- 的名稱。如果您的 CloudWatch 代理程式組態檔案名稱開頭不是AmazonCloudWatch-,則無法使用這些原則將檔案寫入參數存放區或從參數存放區下載檔案。

建立與 Amazon EC2 執行個體上的 CloudWatch 代理程式搭配使用的IAM角色

第一個程序會建立必須附加至執行 CloudWatch 代理程式的每個 Amazon EC2 執行個體的IAM角色。此角色提供從執行個體讀取資訊並將其寫入的權限 CloudWatch。

第二個程序會建立必須附加至用於建立 CloudWatch 代理程式設定檔之 Amazon EC2 執行個體的IAM角色。如果您要將此檔案存放在 Systems Manager 參數存放區,讓其他伺服器可以使用它,這是必要的步驟。除了從執行個體讀取資訊並寫入資訊的權限外,此角色還提供寫入參數存放區的權限 CloudWatch。此角色包含足以執行 CloudWatch 代理程式以及寫入參數存放區的權限。

注意

參數存放區支援標準和進階層的參數。這些參數層與「 CloudWatch 代理程式」預先定義的測量結果集可用的「基本」、「標準」和「進階」詳細資訊層次無關。

建立每部IAM伺服器執行 CloudWatch 代理程式所需的角色

  1. 登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. [選取信任實體的類型] 下,選擇 AWS 服務

  4. 立即在「一般使用案例」下方選擇 EC2,然後選擇「下一步:權限」。

  5. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentServerPolicy。如有需要,請使用搜尋方塊來尋找政策。

  6. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 A 旁邊的核取方塊mazonSSMManagedInstanceCore。這一個 AWS 受管理原則可讓執行個體使用 Systems Manager 服務核心功能。如有需要,請使用搜尋方塊來尋找政策。如果您只透過命令列啟動和設定代理程式,便不需要此政策。

  7. 選擇下一步:標籤

  8. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  9. 對於 Role name (角色名稱),輸入新角色的名稱,例如 CloudWatchAgentServerRole 或另一個您喜好的名稱。

  10. (選用) 針對 Role description (角色描述),輸入描述。

  11. 確認 CloudWatchAgentServerPolicy[原則] 旁邊mazonSSMManagedInstanceCore會顯示 [A] (選擇性)。

  12. 選擇建立角色

    現在已建立角色。

下列程序會建立也可寫入參數存放區的IAM角色。您可以使用此角色在參數存放區內存放代理程式組態檔案,以便其他伺服器可以擷取此組態檔案。

寫入參數存放區的許可可提供廣泛的存取。此角色不應連接到您所有的伺服器,並且應只能讓管理員使用它。在您建立代理程式組態檔案,並將它複製到參數存放區後,建議您從執行個體分離此角色,並改為使用 CloudWatchAgentServerRole

建立管理員寫入參數存放區的IAM角色

  1. 登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)。

  3. [選取信任實體的類型] 下,選擇 AWS 服務

  4. 立即在 [選擇將使用此角色的服務] 下方,選擇 EC2,然後選擇 [下一步:權限]。

  5. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentAdminPolicy。如有需要,請使用搜尋方塊來尋找政策。

  6. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 A 旁邊的核取方塊mazonSSMManagedInstanceCore。這一個 AWS 受管理原則可讓執行個體使用 Systems Manager 服務核心功能。如有需要,請使用搜尋方塊來尋找政策。如果您只透過命令列啟動和設定代理程式,便不需要此政策。

  7. 選擇下一步:標籤

  8. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  9. 對於 Role name (角色名稱),輸入新角色的名稱,例如 CloudWatchAgentAdminRole 或另一個您喜好的名稱。

  10. (選用) 針對 Role description (角色描述),輸入描述。

  11. 確認 CloudWatchAgentAdminPolicy[原則] 旁邊mazonSSMManagedInstanceCore會顯示 [A] (選擇性)。

  12. 選擇建立角色

    現在已建立角色。

建立使用IAM者以搭配內部部署伺服器上的 CloudWatch 代理程式

第一個程序會建立執行 CloudWatch 代理程式所需的IAM使用者。此使用者提供將資料傳送至的權限 CloudWatch。

第二個程序會建立可在建立 CloudWatch代理程式組態檔時使用的使用IAM者。使用此程序在 Systems Manager 參數存放區內存放此檔案,以便其他伺服器可以使用此檔案。除了寫入資料的權限外,此使用者還提供寫入參數存放區的權限 CloudWatch。

注意

參數存放區支援標準和進階層的參數。這些參數層與「 CloudWatch 代理程式」預先定義的測量結果集可用的「基本」、「標準」和「進階」詳細資訊層次無關。

建立 CloudWatch 代理程式寫入資料所需的IAM使用者 CloudWatch

  1. 登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,然後選擇 新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 針對 Access type (存取類型),選取 Programmatic access (程式設計存取),然後選擇 Next: Permissions (下一步:許可)

  5. 針對 Set permissions (設定許可),選擇 Attach existing policies directly (直接連接現有政策)

  6. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentServerPolicy。如有需要,請使用搜尋方塊來尋找政策。

  7. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 A 旁邊的核取方塊mazonSSMManagedInstanceCore。這一個 AWS 受管理原則可讓執行個體使用 Systems Manager 服務核心功能。(如有需要,請使用搜尋方塊來尋找此政策。如果您只透過命令列啟動和設定代理,便不需要此政策。)

  8. 選擇下一步:標籤

  9. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  10. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)

  11. 在新使用者列中,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉

下列程序會建立也可以寫入參數存放區的IAM使用者。如果您要將代理程式設定檔儲存在參數存放區中,以便其他伺服器可以使用它,則需要使用此使用IAM者。此IAM使用者提供寫入參數存放區的權限。此使用者也提供從執行個體讀取資訊並將其寫入的權限 CloudWatch。寫入 Systems Manager 參數存放區的許可可提供廣泛的存取。此使用IAM者不應附加至您的所有伺服器,且只有系統管理員才能使用它。只有在將代理程式組態檔儲存在「參數存放區」中時,才應使用此使用IAM者。

建立將組態檔儲存在參數存放區中所需的IAM使用者,並將資訊傳送至 CloudWatch

  1. 登入 AWS Management Console 然後在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 使用者,然後選擇 新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 針對 Access type (存取類型),選取 Programmatic access (程式設計存取),然後選擇 Next: Permissions (下一步:許可)

  5. 針對 Set permissions (設定許可),選擇 Attach existing policies directly (直接連接現有政策)

  6. 在策略清單中,選取旁邊的核取方塊CloudWatchAgentAdminPolicy。如有需要,請使用搜尋方塊來尋找政策。

  7. 若要使用 Systems Manager 來安裝或設定 CloudWatch 代理程式,請選取 A 旁邊的核取方塊mazonSSMManagedInstanceCore。這一個 AWS 受管理原則可讓執行個體使用 Systems Manager 服務核心功能。(如有需要,請使用搜尋方塊來尋找此政策。如果您只透過命令列啟動和設定代理,便不需要此政策。)

  8. 選擇下一步:標籤

  9. (選用) 新增一或多個標籤鍵/值對來組織、追蹤或控制存取此角色,然後選擇 Next: Review (下一步:檢視)

  10. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)

  11. 在新使用者列中,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉