CloudWatch Präferenz für Agenten-Anmeldeinformationen - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Präferenz für Agenten-Anmeldeinformationen

In diesem Abschnitt wird die Anbieterkette für Anmeldeinformationen beschrieben, die der CloudWatch Agent verwendet, um Anmeldeinformationen abzurufen, wenn er mit anderen AWS Diensten kommuniziert undAPIs. Die Reihenfolge ist wie folgt:

Anmerkung

Die in den Nummern zwei bis fünf aufgeführten Einstellungen entsprechen der in der definierten Reihenfolge AWS SDK. Weitere Informationen finden Sie in der SDK Dokumentation unter Anmeldeinformationen angeben.

  1. Gemeinsam genutzte Konfigurations- und Anmeldeinformationsdateien, wie sie in der CloudWatch common-config.toml Agentendatei definiert sind. Weitere Informationen finden Sie unter (Optional) Ändern der gemeinsamen Konfiguration für Proxy- oder Regionsangaben.

  2. AWS SDK-Umgebungsvariablen

    Wichtig

    Wenn Sie unter Linux den CloudWatch Agenten mithilfe des amazon-cloudwatch-agent-ctl Skripts ausführen, startet das Skript den Agenten als systemd Dienst. In diesem Fall kann der Agent nicht auf Umgebungsvariablen wie HOMEAWS_ACCESS_KEY_ID, und AWS_SECRET_ACCESS_KEY zugreifen.

  3. Gemeinsam genutzte Konfigurations- und Anmeldeinformationsdateien befinden sich in $HOME/%USERPROFILE%

    Anmerkung

    Der CloudWatch Agent sucht nach .aws/credentials in $HOME für Linux und macOS und sucht %USERPROFILE% nach Windows. Im Gegensatz zu verfügt der CloudWatch Agent nicht über Fallback-Methoden AWS SDK, um das Home-Verzeichnis zu ermitteln, falls auf die Umgebungsvariablen nicht zugegriffen werden kann. Dieser Unterschied im Verhalten besteht darin, die Abwärtskompatibilität mit früheren Implementierungen von aufrechtzuerhalten. AWS SDK

    Wenn die von AWS SDK -abgeleiteten gemeinsamen Anmeldeinformationen ablaufen und rotiert werdencommon-config.toml, werden die erneuerten Anmeldeinformationen im Gegensatz zu den gemeinsamen Anmeldeinformationen in außerdem nicht automatisch vom CloudWatch Agenten übernommen und erfordern dazu einen Neustart des Agenten.

  4. Eine AWS Identity and Access Management Rolle für Aufgaben, wenn eine Anwendung vorhanden ist, die eine Amazon Elastic Container Service-Aufgabendefinition oder einen RunTask API Vorgang verwendet.

  5. Ein Instance-Profil, das an eine EC2 Amazon-Instance angehängt ist.

Als bewährte Methode empfehlen wir, dass Sie die Anmeldeinformationen in der folgenden Reihenfolge angeben, wenn Sie den CloudWatch Agenten verwenden.

  1. Verwenden Sie IAM Rollen für Aufgaben, wenn Ihre Anwendung eine Amazon Elastic Container Service-Aufgabendefinition oder einen RunTask API Vorgang verwendet.

  2. Verwenden Sie IAM Rollen, wenn Ihre Anwendung auf einer EC2 Amazon-Instance läuft.

  3. Verwenden Sie die CloudWatch common-config.toml Agentendatei, um die Anmeldeinformationsdatei anzugeben. Bei dieser Anmeldeinformationsdatei handelt es sich um dieselbe, die von other AWS SDKs und der verwendet wird AWS CLI. Wenn Sie bereits eine Datei mit gemeinsam genutzten Anmeldeinformationen verwenden, können Sie sie auch für diesen Zweck verwenden. Wenn Sie sie mithilfe der CloudWatch common-config.toml Agentendatei bereitstellen, stellen Sie sicher, dass der Agent die Anmeldeinformationen nach deren Ablauf rotiert und ersetzt, ohne dass Sie den Agenten neu starten müssen.

  4. Umgebungsvariablen verwenden. Das Setzen von Umgebungsvariablen ist nützlich, wenn Sie Entwicklungsarbeiten auf einem anderen Computer als einer EC2 Amazon-Instance durchführen.

Anmerkung

Wenn Sie Telemetriedaten an ein anderes Konto senden, wie unter beschriebenMetriken, Protokolle und Ablaufverfolgungen an ein anderes Konto senden, verwendet der CloudWatch Agent die in diesem Abschnitt beschriebene Anbieterkette für Anmeldeinformationen, um die ersten Anmeldeinformationen abzurufen. Anschließend verwendet er diese Anmeldeinformationen, wenn er die role_arn in der CloudWatch Agentenkonfigurationsdatei angegebene IAM Rolle annimmt.