Crea IAM ruoli e utenti da utilizzare con l' CloudWatch agente - Amazon CloudWatch
Crea IAM ruoli da utilizzare con l' CloudWatch agente sulle EC2 istanze AmazonCrea IAM utenti da utilizzare con l' CloudWatch agente sui server locali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea IAM ruoli e utenti da utilizzare con l' CloudWatch agente

L'accesso alle AWS risorse richiede autorizzazioni. Puoi creare IAM ruoli e utenti che includono le autorizzazioni necessarie all' CloudWatch agente per scrivere metriche CloudWatch e all' CloudWatch agente per comunicare con Amazon EC2 e. AWS Systems Manager Usi IAM ruoli su EC2 istanze Amazon e usi IAM utenti con server locali.

Un ruolo o un utente consente l'installazione dell' CloudWatch agente su un server e l'invio dei parametri a. CloudWatch L'altro ruolo o utente è necessario per archiviare la configurazione CloudWatch dell'agente in Systems Manager Parameter Store. Parameter Store consente a più server di utilizzare la configurazione di un solo CloudWatch agente.

La possibilità di scrivere in Parameter Store è un'autorizzazione estesa e potente. È consigliabile utilizzarla solo quando necessaria. Inoltre, non dovrebbe essere collegata a più istanze della distribuzione. Se memorizzi la configurazione CloudWatch dell'agente in Parameter Store, ti consigliamo quanto segue:

  • Impostare un'istanza in cui si esegue questa configurazione.

  • Utilizza il IAM ruolo con autorizzazioni per scrivere su Parameter Store solo in questa istanza.

  • Utilizzate il IAM ruolo con autorizzazioni per scrivere su Parameter Store solo mentre state lavorando e salvando il file di configurazione dell' CloudWatch agente.

Nota

Abbiamo recentemente modificato le seguenti procedure utilizzando le nuove policy CloudWatchAgentServerPolicy e CloudWatchAgentAdminPolicy di Amazon, anziché richiedere ai clienti di creare tali policy. Per utilizzare queste policy per scrivere il file di configurazione dell'agente e quindi scaricarlo da Parameter Store, il file di configurazione dell'agente deve avere un nome che inizia con AmazonCloudWatch-. Se disponi di un file di configurazione CloudWatch dell'agente con un nome di file che non inizia conAmazonCloudWatch-, queste politiche non possono essere utilizzate per scrivere il file su Parameter Store o per scaricare il file da Parameter Store.

Crea IAM ruoli da utilizzare con l' CloudWatch agente sulle EC2 istanze Amazon

La prima procedura crea il IAM ruolo da assegnare a ciascuna EC2 istanza Amazon che esegue l' CloudWatch agente. Questo ruolo fornisce le autorizzazioni per leggere le informazioni dall'istanza e scriverle su CloudWatch.

La seconda procedura crea il IAM ruolo da allegare all'EC2istanza Amazon utilizzata per creare il file di configurazione dell' CloudWatch agente. Questa operazione è necessaria se si intende archiviare questo file in Systems Manager Parameter Store in modo che altri server possano utilizzarlo. Questo ruolo fornisce le autorizzazioni per la scrittura su Parameter Store, oltre alle autorizzazioni per leggere le informazioni dall'istanza e scriverle. CloudWatch Questo ruolo include le autorizzazioni sufficienti per eseguire l' CloudWatch agente e per scrivere su Parameter Store.

Nota

Parameter Store supporta i parametri nei livelli Standard e Advanced. Questi livelli di parametri non sono correlati ai livelli di dettaglio Basic, Standard e Advanced disponibili con i set di metriche predefiniti dell' CloudWatch agente.

Per creare il IAM ruolo necessario a ciascun server per eseguire l'agente CloudWatch

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli, quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Immediatamente in Casi d'uso comuni, scegli EC2, quindi scegli Avanti: Autorizzazioni.

  5. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  6. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, selezionare la casella accanto a mazonSSMManagedInstanceCoreA. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  9. Per Role name (Nome ruolo), inserire un nome per il nuovo ruolo, ad esempio CloudWatchAgentServerRole o un altro nome che preferisci.

  10. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  11. Confermalo CloudWatchAgentServerPolicye, facoltativamente, A mazonSSMManaged InstanceCore apparirà accanto a Policies.

  12. Scegli Create role (Crea ruolo).

    Il ruolo è ora creato.

La procedura seguente crea il IAM ruolo che può anche scrivere su Parameter Store. Puoi usare questo ruolo per archiviare il file di configurazione dell'agente in Parameter Store in modo possa essere recuperato da altri server.

Le autorizzazioni per la scrittura in Parameter Store concedono un ampio accesso. Questo ruolo non deve essere collegato a tutti i server e deve essere utilizzato solo dagli amministratori. Una volta creato il file di configurazione dell'agente e copiato in Parameter Store, devi scollegare questo ruolo dall'istanza e utilizzare invece CloudWatchAgentServerRole.

Per creare il IAM ruolo che un amministratore può scrivere su Parameter Store

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli, quindi Crea ruolo.

  3. In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli AWS service (Servizio).

  4. Immediatamente in Scegli il servizio che utilizzerà questo ruolo, scegli EC2, quindi scegli Avanti: Autorizzazioni.

  5. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentAdminPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  6. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, selezionare la casella accanto a mazonSSMManagedInstanceCoreA. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. Se necessario, utilizzare la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  9. Per Role name (Nome ruolo), inserire un nome per il nuovo ruolo, ad esempio CloudWatchAgentAdminRole o un altro nome che preferisci.

  10. (Facoltativo) Per Role Description (Descrizione ruolo), immetti una descrizione.

  11. Confermalo CloudWatchAgentAdminPolicye, facoltativamente, A mazonSSMManaged InstanceCore apparirà accanto a Policies.

  12. Scegli Create role (Crea ruolo).

    Il ruolo è ora creato.

Crea IAM utenti da utilizzare con l' CloudWatch agente sui server locali

La prima procedura crea l'IAMutente necessario per eseguire l' CloudWatch agente. Questo utente fornisce le autorizzazioni per l'invio di dati a CloudWatch.

La seconda procedura crea l'utente IAM che è possibile utilizzare durante la creazione del file di configurazione dell'agente CloudWatch. Utilizzare questa procedura per archiviare il file in Systems Manager Parameter Store in modo che possa essere utilizzato da altri server. Questo utente fornisce le autorizzazioni di scrittura su Parameter Store, oltre alle autorizzazioni per scrivere dati. CloudWatch

Nota

Parameter Store supporta i parametri nei livelli Standard e Advanced. Questi livelli di parametri non sono correlati ai livelli di dettaglio Basic, Standard e Advanced disponibili con i set di metriche predefiniti dell' CloudWatch agente.

Per creare l'IAMutente necessario all' CloudWatch agente su cui scrivere i dati CloudWatch

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Users (Utenti), quindi scegli Add user (Aggiungi utente).

  3. Immetti il nome del nuovo utente.

  4. Per Access type (Tipo di accesso), seleziona Programmatic access (Accesso programmatico), quindi scegli Next: Permissions (Successivo: autorizzazioni).

  5. Per Set permissions (Imposta autorizzazioni), scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, selezionare la casella accanto a mazonSSMManagedInstanceCoreA. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. (Se necessario, usa la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.)

  8. Scegli Successivo: Tag.

  9. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  10. Verificare che siano elencate le policy corrette, quindi scegli Create user (Crea utente).

  11. Nella riga per il nuovo utente, scegli Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.

La procedura seguente crea l'IAMutente che può anche scrivere su Parameter Store. Se intendi archiviare il file di configurazione dell'agente in Parameter Store in modo che altri server possano utilizzarlo, devi utilizzare questo IAM utente. Questo IAM utente fornisce le autorizzazioni per la scrittura su Parameter Store. Questo ruolo fornisce inoltre le autorizzazioni per la lettura di informazioni dall'istanza e per la loro scrittura in CloudWatch. Le autorizzazioni per la scrittura in Systems Manager Parameter Store concedono un ampio accesso. Questo utente IAM non deve essere collegato a tutti i server e deve essere utilizzato solo dagli amministratori. È necessario utilizzare questo IAM utente solo quando si archivia il file di configurazione dell'agente in Parameter Store.

Per creare l'IAMutente è necessario memorizzare il file di configurazione in Parameter Store e inviare informazioni a CloudWatch

  1. Accedere a AWS Management Console e aprire la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Users (Utenti), quindi scegli Add user (Aggiungi utente).

  3. Immetti il nome del nuovo utente.

  4. Per Access type (Tipo di accesso), seleziona Programmatic access (Accesso programmatico), quindi scegli Next: Permissions (Successivo: autorizzazioni).

  5. Per Set permissions (Imposta autorizzazioni), scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentAdminPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. Per utilizzare Systems Manager per installare o configurare l' CloudWatch agente, selezionare la casella di controllo accanto a mazonSSMManagedInstanceCoreA. Questa policy AWS gestita consente a un'istanza di utilizzare le funzionalità principali del servizio Systems Manager. (Se necessario, usa la casella di ricerca per trovare la policy. Questa policy non è necessaria se avvii e configuri l'agente solo tramite la riga di comando.)

  8. Scegli Successivo: Tag.

  9. (Facoltativo) Aggiungere una o più coppie tag-valore chiave per organizzare, monitorare o controllare l'accesso per questo ruolo, quindi scegli Next: Review (Successivo: Rivedi).

  10. Verificare che siano elencate le policy corrette, quindi scegli Create user (Crea utente).

  11. Nella riga per il nuovo utente, scegli Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.