Buat peran IAM dan pengguna untuk digunakan dengan agen CloudWatch - Amazon CloudWatch
Buat peran IAM untuk digunakan dengan CloudWatch agen di instans Amazon EC2Buat pengguna IAM untuk digunakan dengan CloudWatch agen di server lokal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran IAM dan pengguna untuk digunakan dengan agen CloudWatch

Akses ke AWS sumber daya memerlukan izin. Anda dapat membuat peran IAM dan pengguna yang menyertakan izin yang Anda perlukan bagi CloudWatch agen untuk menulis metrik CloudWatch dan agar CloudWatch agen dapat berkomunikasi dengan Amazon EC2 dan. AWS Systems Manager Anda menggunakan peran IAM di instans Amazon EC2, dan Anda menggunakan pengguna IAM dengan server on-premise.

Satu peran atau pengguna memungkinkan CloudWatch agen untuk diinstal pada server dan mengirim metrik ke CloudWatch. Peran atau pengguna lain diperlukan untuk menyimpan konfigurasi CloudWatch agen Anda di Systems Manager Parameter Store. Parameter Store memungkinkan beberapa server untuk menggunakan satu konfigurasi CloudWatch agen.

Kemampuan menulis ke Parameter Store adalah izin yang luas dan kuat. Anda harus menggunakannya hanya saat memerlukannya, dan tidak boleh dilampirkan ke beberapa instans dalam deployment Anda. Jika Anda menyimpan konfigurasi CloudWatch agen Anda di Parameter Store, kami merekomendasikan hal berikut:

  • Atur satu instans tempat Anda melakukan konfigurasi ini.

  • Gunakan peran IAM dengan izin untuk menulis ke Parameter Store hanya pada instans ini.

  • Gunakan peran IAM dengan izin untuk menulis ke Parameter Store hanya saat Anda bekerja dengan dan menyimpan file konfigurasi CloudWatch agen.

catatan

Kami baru-baru ini memodifikasi prosedur berikut dengan menggunakan kebijakan CloudWatchAgentServerPolicy dan kebijakan CloudWatchAgentAdminPolicy baru yang dibuat oleh Amazon, alih-alih mengharuskan pelanggan untuk membuat sendiri kebijakan ini. Untuk menggunakan kebijakan ini untuk menulis file konfigurasi agen ke Parameter Store lalu mengunduhnya dari Parameter Store, file konfigurasi agen Anda harus memiliki nama yang diawali dengan AmazonCloudWatch-. Jika Anda memiliki file konfigurasi CloudWatch agen dengan nama file yang tidak dimulaiAmazonCloudWatch-, kebijakan ini tidak dapat digunakan untuk menulis file ke Parameter Store atau untuk mengunduh file dari Parameter Store.

Buat peran IAM untuk digunakan dengan CloudWatch agen di instans Amazon EC2

Prosedur pertama membuat peran IAM yang harus Anda lampirkan ke setiap instans Amazon EC2 yang menjalankan CloudWatch agen. Peran ini memberikan izin untuk membaca informasi dari instance dan menuliskannya ke CloudWatch.

Prosedur kedua membuat peran IAM yang harus Anda lampirkan ke instans Amazon EC2 yang digunakan untuk membuat file konfigurasi CloudWatch agen. Langkah ini diperlukan jika Anda akan menyimpan file ini di Systems Manager Parameter Store sehingga server-server yang lain dapat menggunakannya. Peran ini memberikan izin untuk menulis ke Parameter Store, selain izin untuk membaca informasi dari instance dan menulisnya. CloudWatch Peran ini mencakup izin yang cukup untuk menjalankan CloudWatch agen serta menulis ke Parameter Store.

catatan

Parameter Store mendukung parameter-parameter yang ada di tingkat Standar dan Tingkat Lanjut. Tingkatan parameter ini tidak terkait dengan tingkat detail Dasar, Standar, dan Lanjutan yang tersedia dengan set metrik CloudWatch Agen yang telah ditentukan sebelumnya.

Untuk membuat peran IAM yang diperlukan untuk setiap server untuk menjalankan agen CloudWatch

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Peran lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Kasus penggunaan umum, pilih EC2, lalu pilih Berikutnya: Izin.

  5. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  6. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah AmazonSSM ManagedInstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.

  7. Pilih Berikutnya: Tag

  8. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  9. Untuk Nama peran, masukkan nama untuk peran baru Anda, seperti CloudWatchAgentServerRole atau nama lain yang Anda inginkan.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Konfirmasikan itu CloudWatchAgentServerPolicydan secara opsional AmazonSSM ManagedInstanceCore muncul di sebelah Kebijakan.

  12. Pilih Buat peran.

    Peran ini sekarang dibuat.

Prosedur berikut membuat peran IAM yang juga dapat menulis ke Parameter Store. Anda dapat menggunakan peran ini untuk menyimpan file konfigurasi agen di Parameter Store sehingga server lain dapat mengambilnya.

Izin untuk menulis ke Parameter Store memberikan akses luas. Peran ini seharusnya tidak dilampirkan ke semua server Anda, dan hanya administrator yang boleh menggunakannya. Setelah Anda membuat file konfigurasi agen dan menyalinnya ke Parameter Store, Anda harus melepaskan peran ini dari instans dan sebaliknya menggunakan CloudWatchAgentServerRole.

Untuk membuat peran IAM bagi administrator untuk menulis ke Parameter Store

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Peran lalu pilih Buat peran.

  3. Di bawah Pilih jenis entitas terpercaya, pilih AWS layanan.

  4. Segera di bawah Pilih layanan yang akan menggunakan peran ini, pilih EC2, lalu pilih Berikutnya: Izin.

  5. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentAdminPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  6. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah AmazonSSM ManagedInstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.

  7. Pilih Berikutnya: Tag

  8. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  9. Untuk Nama peran, masukkan nama untuk peran baru Anda, seperti CloudWatchAgentAdminRole atau nama lain yang Anda inginkan.

  10. (Opsional) Untuk Deskripsi peran, masukkan deskripsi.

  11. Konfirmasikan itu CloudWatchAgentAdminPolicydan secara opsional AmazonSSM ManagedInstanceCore muncul di sebelah Kebijakan.

  12. Pilih Buat peran.

    Peran ini sekarang dibuat.

Buat pengguna IAM untuk digunakan dengan CloudWatch agen di server lokal

Prosedur pertama menciptakan pengguna IAM yang Anda butuhkan untuk menjalankan CloudWatch agen. Pengguna ini memberikan izin untuk mengirim data ke CloudWatch.

Prosedur kedua membuat pengguna IAM yang dapat Anda gunakan saat membuat file konfigurasi CloudWatch agen. Gunakan prosedur ini untuk menyimpan file ini di Systems Manager Parameter Store sehingga server lain dapat menggunakannya. Pengguna ini memberikan izin untuk menulis ke Parameter Store, selain izin untuk menulis data ke. CloudWatch

catatan

Parameter Store mendukung parameter-parameter yang ada di tingkat Standar dan Tingkat Lanjut. Tingkatan parameter ini tidak terkait dengan tingkat detail Dasar, Standar, dan Lanjutan yang tersedia dengan set metrik CloudWatch Agen yang telah ditentukan sebelumnya.

Untuk membuat pengguna IAM diperlukan bagi CloudWatch agen untuk menulis data CloudWatch

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Pengguna, lalu pilih Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Untuk Jenis akses, pilih Akses terprogram, lalu pilih Berikutnya: Izin.

  5. Untuk Atur izin, pilih Lampirkan kebijakan yang ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak di sebelah AmazonSSM ManagedInstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. (Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.)

  8. Pilih Selanjutnya: Tanda.

  9. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  10. Konfirmasikan bahwa kebijakan yang benar dicantumkan, lalu pilih Buat pengguna.

  11. Di baris untuk pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup

Prosedur berikut membuat pengguna IAM yang juga dapat menulis ke Parameter Store. Jika ingin menyimpan file konfigurasi agen di Parameter Store sehingga server lain dapat menggunakannya, Anda perlu menggunakan pengguna IAM ini. Pengguna IAM ini memberikan izin untuk menulis ke Parameter Store. Pengguna ini juga memberikan izin untuk membaca informasi dari instance dan menuliskannya ke CloudWatch. Izin untuk menulis ke Systems Manager Parameter Store menyediakan akses luas. Pengguna IAM ini seharusnya tidak dilampirkan ke semua server Anda, dan hanya administrator yang boleh menggunakannya. Anda harus menggunakan pengguna IAM ini hanya ketika Anda menyimpan file konfigurasi agen di Parameter Store.

Untuk membuat pengguna IAM diperlukan untuk menyimpan file konfigurasi di Parameter Store dan mengirim informasi ke CloudWatch

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Pengguna, lalu pilih Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Untuk Jenis akses, pilih Akses terprogram, lalu pilih Berikutnya: Izin.

  5. Untuk Atur izin, pilih Lampirkan kebijakan yang ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentAdminPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Untuk menggunakan Systems Manager untuk menginstal atau mengkonfigurasi CloudWatch agen, pilih kotak centang di sebelah AmazonSSM ManagedInstanceCore. Kebijakan AWS terkelola ini memungkinkan instance untuk menggunakan fungsionalitas inti layanan Systems Manager. (Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan. Kebijakan ini tidak diperlukan jika Anda memulai dan mengonfigurasi agen hanya melalui baris perintah.)

  8. Pilih Selanjutnya: Tanda.

  9. (Opsional) Tambahkan satu atau beberapa pasangan nilai kunci tanda untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Berikutnya: Tinjauan.

  10. Konfirmasikan bahwa kebijakan yang benar dicantumkan, lalu pilih Buat pengguna.

  11. Di baris untuk pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup