CloudWatch preferensi kredensi agen - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudWatch preferensi kredensi agen

Bagian ini menguraikan rantai penyedia kredensi yang digunakan CloudWatch agen untuk mendapatkan kredensil saat berkomunikasi dengan layanan lain dan. AWS APIs Urutannya adalah sebagai berikut:

catatan

Preferensi yang tercantum dalam angka dua hingga lima adalah urutan preferensi yang sama seperti yang didefinisikan dalam AWS SDK. Untuk informasi selengkapnya, lihat Menentukan Kredensial dalam dokumentasi. SDK

  1. File konfigurasi dan kredensial bersama seperti yang didefinisikan dalam file CloudWatch agen. common-config.toml Untuk informasi selengkapnya, lihat (Opsional) Ubah Konfigurasi Umum untuk Informasi Proxy atau Wilayah.

  2. AWS SDKvariabel lingkungan

    penting

    Di Linux, jika Anda menjalankan CloudWatch agen menggunakan amazon-cloudwatch-agent-ctl skrip, skrip memulai agen sebagai systemd layanan. Dalam hal ini, variabel lingkungan sepertiHOME,AWS_ACCESS_KEY_ID, dan AWS_SECRET_ACCESS_KEY tidak dapat diakses oleh agen.

  3. File konfigurasi dan kredensial bersama yang ditemukan di $HOME/%USERPROFILE%

    catatan

    CloudWatch Agen $HOME mencari .aws/credentials di Linux dan macOS dan mencari Windows. %USERPROFILE% Berbeda dengan AWS SDK, CloudWatch agen tidak memiliki metode fallback untuk menentukan direktori home jika variabel lingkungan tidak dapat diakses. Perbedaan perilaku ini adalah untuk mempertahankan kompatibilitas mundur dengan implementasi sebelumnya dari. AWS SDK

    Selain itu, tidak seperti kredensyal bersama yang ditemukan dicommon-config.toml, jika kredensyal bersama yang AWS SDK diturunkan kedaluwarsa dan diputar, kredensyal yang diperbarui tidak secara otomatis diambil oleh CloudWatch agen dan memerlukan restart agen untuk melakukannya.

  4. AWS Identity and Access Management Peran untuk tugas jika ada aplikasi yang menggunakan definisi tugas Amazon Elastic Container Service atau RunTask API operasi.

  5. Profil instans yang dilampirkan ke EC2 instans Amazon.

Sebagai praktik terbaik, kami menyarankan Anda menentukan kredensyal dalam urutan berikut saat Anda menggunakan agen. CloudWatch

  1. Gunakan IAM peran untuk tugas jika aplikasi Anda menggunakan definisi tugas Amazon Elastic Container Service atau RunTask API operasi.

  2. Gunakan IAM peran jika aplikasi Anda berjalan pada EC2 instans Amazon.

  3. Gunakan common-config.toml file CloudWatch agen untuk menentukan file kredensial. File kredensial ini sama dengan yang digunakan oleh yang lain AWS SDKs dan file. AWS CLI Jika Anda sudah menggunakan file kredensial bersama, Anda juga dapat menggunakannya untuk tujuan ini. Jika Anda menyediakannya dengan menggunakan common-config.toml file CloudWatch agen, Anda memastikan bahwa agen akan menggunakan kredensi yang diputar ketika mereka kedaluwarsa dan diganti tanpa mengharuskan Anda me-restart agen.

  4. Gunakan variabel lingkungan. Menyetel variabel lingkungan berguna jika Anda melakukan pekerjaan pengembangan di komputer selain EC2 instance Amazon.

catatan

Jika Anda mengirim telemetri ke akun lain seperti yang dijelaskan dalamMengirim metrik, log, dan jejak ke akun lain, CloudWatch agen menggunakan rantai penyedia kredensil yang dijelaskan di bagian ini untuk mendapatkan kumpulan kredensil awal. Kemudian menggunakan kredensil tersebut ketika mengasumsikan IAM peran yang ditentukan oleh role_arn dalam file konfigurasi CloudWatch agen.