先決條件 - Amazon CloudWatch
CloudWatch 代理程式的 IAM 角色和使用者網路需求

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件

在第一次安裝 CloudWatch 代理程式之前,請確定已完成下列先決條件。

CloudWatch 代理程式的 IAM 角色和使用者

存取 AWS 資源需要許可。您可以建立 IAM 角色、IAM 使用者,或同時建立兩者來授予 CloudWatch 代理程式將指標寫入 CloudWatch 時所需要的許可。

為 Amazon EC2 執行個體建立 IAM 角色

如果您要在 Amazon EC2 執行個體上執行 CloudWatch 代理程式,請建立具有必要許可的 IAM 角色。

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇角色,然後選擇建立角色

  3. 確定在 Trusted entity type (受信任實體類型) 下,選取 AWS service ( 服務)。

  4. 針對使用案例,在常用案例下選擇 EC2

  5. 選擇下一步

  6. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 選擇下一步

  8. 角色名稱中,輸入角色的名稱,例如 CloudWatchAgentServerRole。您可以選擇性地給予它一個描述。然後選擇 Create role (建立角色)。

(選用) 如果代理程式要將日誌傳送到 CloudWatch Logs,並且您希望代理程式能夠為這些日誌群組設定保留政策,則您需要將 logs:PutRetentionPolicy 許可新增至角色。

為內部部署伺服器建立 IAM 使用者

如果您要在內部部署伺服器上執行 CloudWatch 代理程式,請建立具有必要許可的 IAM 使用者。

注意

此案例需要具有程式設計存取和長期登入資料的 IAM 使用者,這會造成安全風險。為了協助降低此風險,建議您只為這些使用者提供執行任務所需的許可,並在不再需要這些使用者時將其移除。

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇使用者,然後選擇新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 選取 Access key - Programmatic access (存取金鑰 - 程式設計存取),然後選擇 Next: Permissions (下一步:許可)。

  5. 選擇直接連接現有政策

  6. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 選擇下一步:標籤

  8. 選擇性地為新的 IAM 建立標籤,然後選擇下一步:檢閱

  9. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)。

  10. 在新使用者名稱的旁邊,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉

將 IAM 角色連接至 Amazon EC2 執行個體

若要讓 CloudWatch 代理程式從 Amazon EC2 執行個體傳送資料,您必須將建立的 IAM 角色連接至執行個體。

如需將 IAM 角色連接至執行個體的詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的將 IAM 角色連接至執行個體

允許 CloudWatch 代理程式設定日誌保留政策

您可以設定 CloudWatch 代理程式,以便為代理程式向其傳送日誌事件的日誌群組設定保留政策。如果您這樣做,您必須將 logs:PutRetentionPolicy 授予代理程式使用的 IAM 角色或使用者。代理程式使用 IAM 角色在 Amazon EC2 執行個體上執行,並為內部部署伺服器使用 IAM 使用者。

授予 CloudWatch 代理程式的 IAM 角色設定日誌保留政策的許可

  1. 登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 角色名稱的開頭。您可以在建立角色時選擇此名稱。其可能被命名為 CloudWatchAgentServerRole

    如果您看到該角色,請選擇角色的名稱。

  4. Permissions (許可) 索引標籤中,依次選擇 Add permissions (新增許可)、Create inline policy (建立內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。

授予 CloudWatch 代理程式的 IAM 使用者設定日誌保留政策的許可

  1. 登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Users (使用者)

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 使用者名稱的開頭。您可以在建立使用者時選擇此名稱。

    如果您看到該使用者,請選擇使用者的名稱。

  4. 針對 Permissions (許可) 索引標籤,選擇 Add inline policy (新增內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。

網路需求

注意

當伺服器位於公有子網路時,請確定可存取網際網路閘道。當伺服器位於私有子網路時,透過 NAT 閘道或 VPC 端點進行存取。如需 NAT 閘道的詳細資訊,請參閱 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

您的 Amazon EC2 執行個體必須擁有傳出網際網路存取,才能將資料傳送到 CloudWatch 或 CloudWatch Logs。如需如何設定網際網路存取的詳細資訊,請參閱《Amazon VPC 使用者指南》中的網際網路閘道

使用 VPC 端點

如果您使用 VPC 且想要在沒有公有網際網路存取的情況下使用 CloudWatch 代理程式,您可以為 CloudWatch 和 CloudWatch Logs 設定 VPC 端點。

在您的代理上設定的端點和連接埠如下所示:

  • 若您使用代理程式收集指標,您必須針對適當的區域將 CloudWatch 端點新增至允許清單。這些端點會列在 Amazon CloudWatch 端點和配額中。

  • 若您使用代理程式收集日誌,您必須針對適當的區域將 CloudWatch Logs 端點新增至允許清單。這些端點會列在 Amazon CloudWatch Logs 端點和配額中。

  • 若您使用 Systems Manager 安裝代理程式或參數存放區來存放組態檔案,您必須針對適當的區域將 Systems Manager 端點新增至允許清單。這些端點會列在 AWS Systems Manager 端點和配額中。