Añadir manualmente CloudWatch como fuente de datos - Amazon Managed Grafana
CloudWatch configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir manualmente CloudWatch como fuente de datos

Para añadir manualmente la fuente CloudWatch de datos

  1. En el menú lateral de la consola de Grafana, coloca el cursor sobre el icono de Configuración (engranaje) y, a continuación, selecciona Fuentes de datos.

  2. Elija Agregar origen de datos.

  3. Elige la fuente de CloudWatchdatos. Si es necesario, puede empezar a escribir CloudWatch en el cuadro de búsqueda para ayudarle a encontrarla.

CloudWatch configuración

Se aplican los siguientes CloudWatch ajustes.

Nombre

Descripción

Name

El nombre de la fuente de datos. Así es como se ve la fuente de datos en los paneles y las consultas.

Default

Designa la fuente de datos que se preseleccionará para los nuevos paneles.

Default Region

Defina la región en el editor de consultas. Se puede cambiar por consulta.

Namespaces of Custom Metrics

Especifica los espacios de CloudWatch nombres de las métricas personalizadas. Puede incluir varios espacios de nombres, separados por comas.

Auth Provider

Especifica el proveedor para obtener las credenciales.

Assume Role Arn

Especifica el nombre de recurso de Amazon (ARN) del rol que se va a asumir.

External ID

(Opcional) Especifica el ID externo. Utilícelo si asume un rol en otro Cuenta de AWS que se ha creado con un identificador externo.

Timeout

Configure el tiempo de espera específicamente para las consultas CloudWatch de registros.

X-Ray trace links

Para añadir enlaces automáticamente a los registros cuando el registro contenga el @xrayTraceId campo, vincule una fuente de datos de rayos X en la sección de enlaces de rastreo de rayos X de la configuración de la fuente de datos. Debe tener ya configurada una fuente de datos de X-Ray.

Autenticación

Para habilitar la autenticación entre Amazon Managed Grafana y CloudWatch, puede utilizar la consola de Amazon Managed Grafana para crear rápidamente las políticas y los permisos necesarios. Como alternativa, puede configurar manualmente la autenticación utilizando algunos de los mismos métodos que utilizaría en un servidor Grafana autogestionado.

Para usar la configuración de la fuente de datos de Grafana gestionada por Amazon para configurar rápidamente las políticas, sigue los pasos que se indican. Use la configuración de la fuente de AWS datos para agregarla CloudWatch como fuente de datos

Para configurar los permisos manualmente, utilice uno de los métodos de la siguiente sección.

Credenciales de AWS

Hay tres métodos de autenticación diferentes disponibles.

  • AWS SDK predeterminado: utiliza los permisos definidos en el rol asociado a tu espacio de trabajo. Para obtener más información, consulte Permisos gestionados por el cliente.

  • Acceso y clave secreta: corresponde a AWS SDK for Go StaticProvider. Utiliza el ID de clave de acceso y la clave secreta proporcionados para autenticarse. Este método no tiene ninguna alternativa y fallará si el par de claves proporcionado no funciona.

Roles de IAM

Actualmente, todo el acceso CloudWatch se realiza desde el lado del servidor mediante el backend de Grafana utilizando el SDK oficial. AWS Si eliges el método de autenticación predeterminado del AWS SDK y tu servidor de Grafana está funcionando AWS, puedes usar las funciones de IAM para gestionar la autenticación automáticamente.

Para obtener más información, consulte Roles de IAM.

Políticas de IAM

Grafana necesita permisos otorgados a través de IAM para poder leer CloudWatch métricas y etiquetas, instancias y regiones de EC2. Puede adjuntar estos permisos a las funciones de IAM y utilizar el soporte integrado de Grafana para asumir funciones.

El siguiente ejemplo de código muestra una política mínima. 


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Adopción de un rol

El Assume Role ARN campo le permite especificar qué función de IAM debe asumir, si la hay. Si lo deja en blanco, las credenciales proporcionadas se utilizan directamente y el rol o usuario asociado debe tener los permisos necesarios. Si este campo no está en blanco, las credenciales proporcionadas se utilizan para realizar una sts:AssumeRole llamada.