CloudWatch preferenza per le credenziali dell'agente - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudWatch preferenza per le credenziali dell'agente

Questa sezione descrive la catena di fornitori di credenziali utilizzata dall' CloudWatch agente per ottenere le credenziali quando comunica con altri servizi e. AWS APIs L'ordine è il seguente:

Nota

Le preferenze elencate nei numeri da due a cinque sono dello stesso ordine di preferenze definito in. AWS SDK Per ulteriori informazioni, vedete Specificazione delle credenziali nella SDK documentazione.

  1. File di configurazione e credenziali condivisi come definiti nel file dell' CloudWatch agente. common-config.toml Per ulteriori informazioni, consulta (Opzionale) Modifica della configurazione comune delle informazioni relative al proxy o alla regione.

  2. AWS SDKvariabili di ambiente

    Importante

    In Linux, se si esegue l' CloudWatch agente utilizzando lo amazon-cloudwatch-agent-ctl script, lo script avvia l'agente come systemd servizio. In questo caso, le variabili di ambiente come HOMEAWS_ACCESS_KEY_ID, e non AWS_SECRET_ACCESS_KEY sono accessibili dall'agente.

  3. File di configurazione e credenziali condivisi presenti in $HOME/%USERPROFILE%

    Nota

    L' CloudWatch agente $HOME cerca .aws/credentials Linux e macOS e cerca Windows. %USERPROFILE% A differenza di AWS SDK, l' CloudWatch agente non dispone di metodi di fallback per determinare la home directory se le variabili di ambiente sono inaccessibili. Questa differenza di comportamento serve a mantenere la retrocompatibilità con le implementazioni precedenti di. AWS SDK

    Inoltre, a differenza delle credenziali condivise presenti incommon-config.toml, se le credenziali condivise AWS SDK -derivate scadono e vengono ruotate, le credenziali rinnovate non vengono raccolte automaticamente dall' CloudWatch agente e richiedono il riavvio dell'agente per farlo.

  4. Un AWS Identity and Access Management ruolo per le attività se è presente un'applicazione che utilizza una definizione di attività o un' RunTask APIoperazione di Amazon Elastic Container Service.

  5. Un profilo di istanza collegato a un'EC2istanza Amazon.

Come best practice, ti consigliamo di specificare le credenziali nell'ordine seguente quando utilizzi l' CloudWatch agente.

  1. Usa IAM i ruoli per le attività se l'applicazione utilizza una definizione di attività o un' RunTask APIoperazione di Amazon Elastic Container Service.

  2. Usa IAM i ruoli se la tua applicazione viene eseguita su un'EC2istanza Amazon.

  3. Usa il common-config.toml file CloudWatch dell'agente per specificare il file delle credenziali. Questo file di credenziali è lo stesso utilizzato da altri AWS SDKs e da. AWS CLI Se stai già utilizzando un file di credenziali condiviso, puoi utilizzarlo anche per questo scopo. Se lo fornite utilizzando il common-config.toml file dell' CloudWatch agente, vi assicurate che l'agente utilizzi le credenziali ruotate quando scadono e vengano sostituite senza che sia necessario riavviare l'agente.

  4. Utilizzate variabili di ambiente. L'impostazione delle variabili di ambiente è utile se stai eseguendo lavori di sviluppo su un computer diverso da un'EC2istanza Amazon.

Nota

Se invii telemetria a un altro account come spiegato inInvio di parametri, log e tracce a un altro account, l' CloudWatch agente utilizza la catena di fornitori di credenziali descritta in questa sezione per ottenere il set iniziale di credenziali. Utilizza quindi tali credenziali quando assume il IAM ruolo specificato da nel file di configurazione dell'agente. role_arn CloudWatch