CloudWatch preferensi kredensi agen - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudWatch preferensi kredensi agen

Bagian ini menguraikan rantai penyedia kredensi yang digunakan CloudWatch agen untuk mendapatkan kredensil saat berkomunikasi dengan layanan lain dan. AWS APIs Urutannya adalah sebagai berikut:

catatan

Preferensi yang tercantum dalam angka dua hingga lima adalah urutan preferensi yang sama seperti yang didefinisikan dalam AWS SDK. Untuk informasi selengkapnya, lihat Menentukan Kredensial dalam dokumentasi SDK.

  1. File konfigurasi dan kredensyal bersama seperti yang didefinisikan dalam file CloudWatch agen. common-config.toml Untuk informasi selengkapnya, lihat (Opsional) Ubah Konfigurasi Umum untuk Informasi Proxy atau Wilayah.

  2. AWS Variabel lingkungan SDK

    penting

    Di Linux, jika Anda menjalankan CloudWatch agen menggunakan amazon-cloudwatch-agent-ctl skrip, skrip memulai agen sebagai systemd layanan. Dalam hal ini, variabel lingkungan sepertiHOME,AWS_ACCESS_KEY_ID, dan AWS_SECRET_ACCESS_KEY tidak dapat diakses oleh agen.

  3. File konfigurasi dan kredensial bersama yang ditemukan di $HOME/%USERPROFILE%

    catatan

    CloudWatch Agen $HOME mencari .aws/credentials di Linux dan macOS dan mencari Windows. %USERPROFILE% Berbeda dengan AWS SDK, CloudWatch agen tidak memiliki metode fallback untuk menentukan direktori home jika variabel lingkungan tidak dapat diakses. Perbedaan perilaku ini adalah untuk mempertahankan kompatibilitas mundur dengan implementasi SDK sebelumnya. AWS

    Selain itu, tidak seperti kredensyal bersama yang ditemukan dicommon-config.toml, jika kredensyal bersama yang AWS diturunkan SDK kedaluwarsa dan diputar, kredensyal yang diperbarui tidak secara otomatis diambil oleh agen dan memerlukan restart CloudWatch agen untuk melakukannya.

  4. AWS Identity and Access Management Peran untuk tugas jika ada aplikasi yang menggunakan definisi tugas Amazon Elastic Container Service atau operasi RunTask API.

  5. Profil instance yang dilampirkan ke EC2 instans Amazon.

Sebagai praktik terbaik, kami menyarankan Anda menentukan kredensil dalam urutan berikut saat Anda menggunakan agen. CloudWatch

  1. Gunakan peran IAM untuk tugas jika aplikasi Anda menggunakan definisi tugas Amazon Elastic Container Service atau operasi RunTask API.

  2. Gunakan peran IAM jika aplikasi Anda berjalan pada EC2 instans Amazon.

  3. Gunakan common-config.toml file CloudWatch agen untuk menentukan file kredensyal. File kredensyal ini sama dengan yang digunakan oleh yang lain AWS SDKs dan file. AWS CLI Jika Anda sudah menggunakan file kredensial bersama, Anda juga dapat menggunakannya untuk tujuan ini. Jika Anda menyediakannya dengan menggunakan common-config.toml file CloudWatch agen, Anda memastikan bahwa agen akan menggunakan kredensyal yang diputar ketika mereka kedaluwarsa dan diganti tanpa mengharuskan Anda untuk memulai ulang agen.

  4. Gunakan variabel lingkungan. Menyetel variabel lingkungan berguna jika Anda melakukan pekerjaan pengembangan di komputer selain EC2 instans Amazon.

catatan

Jika Anda mengirim telemetri ke akun lain seperti yang dijelaskan dalamMengirim metrik, log, dan jejak ke akun lain, CloudWatch agen menggunakan rantai penyedia kredensyal yang dijelaskan di bagian ini untuk mendapatkan kumpulan kredensyal awal. Kemudian menggunakan kredensil tersebut ketika mengasumsikan peran IAM yang ditentukan oleh role_arn dalam file konfigurasi agen. CloudWatch