Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Voraussetzungen
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie den CloudWatch Agenten zum ersten Mal installieren.
## IAM-Rollen und Benutzer für den Agenten CloudWatch
Für den Zugriff auf AWS Ressourcen sind Berechtigungen erforderlich. Sie erstellen eine IAM-Rolle, einen IAM-Benutzer oder beides, um Berechtigungen zu erteilen, für die der CloudWatch Agent Metriken schreiben muss. CloudWatch
### Eine IAM-Rolle für Amazon-EC2-Instances erstellen
Wenn Sie den CloudWatch Agenten auf Amazon EC2 EC2-Instances ausführen möchten, erstellen Sie eine IAM-Rolle mit den erforderlichen Berechtigungen.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Stellen Sie sicher, dass unter **Trusted entity type (Typ der vertrauenswürdigen Entität auswählen** der **AWS -Service** ausgewählt ist.
1. Wählen Sie für **Anwendungsfall** die Option **EC2** unter **Häufige Anwendungsfälle**.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben **CloudWatchAgentServerPolicy**. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.
1. Wählen Sie **Weiter** aus.
1. Geben Sie unter **Rollenname** einen Namen für die Rolle ein, z. B. `CloudWatchAgentServerRole`. Geben Sie optional eine Beschreibung dafür ein. Wählen Sie dann **Create Role**.
(Optional) Wenn der Agent Protokolle an Logs senden soll und Sie möchten, dass der Agent Aufbewahrungsrichtlinien für diese Protokollgruppen festlegen kann, müssen Sie der Rolle die `logs:PutRetentionPolicy` entsprechende Berechtigung hinzufügen. CloudWatch
### Einen IAM-Benutzer für On-Premises-Server erstellen
Wenn Sie den CloudWatch Agenten auf lokalen Servern ausführen möchten, erstellen Sie einen IAM-Benutzer mit den erforderlichen Berechtigungen.
**Anmerkung**
Dieses Szenario erfordert IAM-Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Benutzer** und dann **Benutzer hinzufügen**.
1. Geben Sie den Benutzernamen für den neuen Benutzer an.
1. Wählen Sie **Access key - Programmatic access (Zugriffsschlüssel – programmgesteuerter Zugriff)** und **Next: Permissions (Weiter: Berechtigungen)** aus.
1. Wählen Sie **Vorhandene Richtlinien direkt zuordnen**.
1. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben **CloudWatchAgentServerPolicy**. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.
1. Wählen Sie **Weiter: Tags** aus.
1. Erstellen Sie optional Tags für den neuen IAM-Benutzer und wählen Sie dann **Weiter: Prüfung** aus.
1. Prüfen Sie, ob die richtigen Richtlinie aufgelistet ist, und klicken Sie auf **Benutzer erstellen**.
1. Klicken Sie neben dem Namen des neuen Benutzers auf **Show**. Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf **Schließen**.
### Anfügen einer IAM-Rolle an eine Amazon-EC2-Instance
Damit der CloudWatch Agent Daten von einer Amazon EC2 EC2-Instance senden kann, müssen Sie die von Ihnen erstellte IAM-Rolle an die Instance anhängen.
Weitere Informationen zum Anhängen einer IAM-Rolle an eine Instance finden Sie unter [Anhängen einer IAM-Rolle an eine Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) im Benutzerhandbuch von Amazon Elastic Compute Cloud.
### Erlauben Sie dem CloudWatch Agenten, eine Richtlinie zur Aufbewahrung von Protokollen festzulegen
Sie können den CloudWatch Agenten so konfigurieren, dass er die Aufbewahrungsrichtlinie für Protokollgruppen festlegt, an die er Protokollereignisse sendet. Wenn Sie dies tun, müssen Sie der IAM-Rolle oder dem Benutzer, den der Agent verwendet, die Berechtigung `logs:PutRetentionPolicy` gewähren. Der Agent verwendet eine IAM-Rolle für die Ausführung auf Amazon-EC2-Instances und nutzt für On-Premises-Server einen IAM-Benutzer.
**Um der IAM-Rolle des CloudWatch Agenten die Berechtigung zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Geben Sie in das Suchfeld den Anfang des Namens der IAM-Rolle des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen der Rolle gewählt haben. Ein möglicher Name ist `CloudWatchAgentServerRole`.
Wenn Sie die Rolle sehen, wählen Sie den Namen der Rolle aus.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Optionen **Berechtigungen hinzufügen** und dann **Create Inline Policy (Inline-Richtlinie erstellen)** aus.
1. Wählen Sie die Registerkarte **JSON** aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie für **Name** die Bezeichnung **CloudWatchAgentPutLogsRetention** oder etwas ähnliches ein und wählen Sie dann **Create policy** (Richtlinie erstellen) aus.
**Um dem IAM-Benutzer des CloudWatch Agenten die Erlaubnis zu erteilen, Richtlinien zur Aufbewahrung von Protokollen festzulegen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im linken Navigationsbereich **Benutzer** aus.
1. Geben Sie in das Suchfeld den Anfang des Namens des IAM-Benutzers des CloudWatch Agenten ein. Das ist der Name, den Sie beim Erstellen des Benutzers gewählt haben.
Wenn Sie den Benutzer sehen, wählen Sie den Namen des Benutzers aus.
1. Wählen Sie auf der Registerkarte **Permissions** (Berechtigungen) die Option **Add inline policy** (Eingebundene Richtlinie hinzufügen).
1. Wählen Sie die Registerkarte **JSON** aus und kopieren Sie die folgende Richtlinie in das Feld. Dabei ersetzen Sie den Standard-JSON-Code im Feld:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie für **Name** die Bezeichnung **CloudWatchAgentPutLogsRetention** oder etwas ähnliches ein und wählen Sie dann **Create policy** (Richtlinie erstellen) aus.
## Netzwerkanforderungen
**Anmerkung**
Wenn sich der Server in einem öffentlichen Subnetz befindet, stellen Sie sicher, dass Zugriff auf ein Internet-Gateway besteht. Wenn sich der Server in einem privaten Subnetz befindet, erfolgt der Zugriff über die NAT-Gateways oder den VPC-Endpunkt. Weitere Informationen zu NAT-Gateways finden Sie unter [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).
Ihre Amazon EC2 EC2-Instances müssen über ausgehenden Internetzugang verfügen, um Daten an CloudWatch oder CloudWatch Logs senden zu können. Weitere Informationen dazu, wie Sie den Internetzugang konfigurieren, finden Sie unter [Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) im Benutzerhandbuch zu Amazon VPC.
### Verwenden eines VPC-Endpunkts
Wenn Sie eine VPC verwenden und einen CloudWatch Agenten ohne öffentlichen Internetzugang verwenden möchten, können Sie VPC-Endpunkte für CloudWatch und Logs konfigurieren. CloudWatch
Folgende auf Ihrem Proxy zu konfigurierende Endpunkte und Ports sind möglich:
+ Wenn Sie den Agenten zum Sammeln von Metriken verwenden, müssen Sie die CloudWatch Endpunkte für die entsprechenden Regionen zur Zulassungsliste hinzufügen. Diese Endpunkte sind unter [ CloudWatchAmazon-Endpunkte und](https://docs.aws.amazon.com/general/latest/gr/cw_region.html) Kontingente aufgeführt.
+ Wenn Sie den Agenten zum Sammeln von Protokollen verwenden, müssen Sie die CloudWatch Logs-Endpunkte für die entsprechenden Regionen zur Zulassungsliste hinzufügen. Diese Endpunkte sind in [Amazon CloudWatch Logs Endpoints and](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) Quotas aufgeführt.
+ Wenn Sie den Agenten mit dem Systems Manager installieren oder die Konfigurationsdatei mit Parameter Store speichern, müssen Sie die Systems-Manager-Endpunkte für die entsprechenden Regionen zur Allow-Liste hinzufügen. Diese Endpunkte sind unter [AWS -Systems-Manager-Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html) aufgeführt.