翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データソース CloudWatch として を手動で追加する
CloudWatch データソースを手動で追加するには
-
Grafana コンソールのサイドメニューで、設定 (歯車) アイコンにカーソルを合わせ、データソース を選択します。
-
[データソースを追加する] を選択する。
-
CloudWatch データソースを選択します。必要に応じて、
CloudWatch
検索ボックスに入力して検索に役立てることができます。
CloudWatch 設定
次の CloudWatch 設定が適用されます。
名前 |
説明 |
---|---|
|
データソース名。これは、パネルとクエリでデータソースを表示する方法です。 |
|
新しいパネル用に事前に選択するデータソースを指定します。 |
|
クエリエディタでリージョンを設定します。クエリごとに変更できます。 |
|
カスタムメトリクス CloudWatch の名前空間を指定します。カンマで区切られた複数の名前空間を含めることができます。 |
|
認証情報を取得するプロバイダーを指定します。 |
|
引き受けるロールの Amazon リソースネーム (ARN) を指定します。 |
|
(オプション) 外部 ID を指定します。外部 ID で AWS アカウント 作成された別の でロールを引き受ける場合は、 を使用します。 |
|
CloudWatch Logs クエリ専用のタイムアウトを設定します。 |
|
ログに |
認証
Amazon Managed Grafana と 間の認証を有効にするには CloudWatch、Amazon Managed Grafana コンソールを使用して、必要なポリシーとアクセス許可をすばやく作成できます。または、自己管理型の Grafana サーバーと同じ方法の一部を使用して認証を手動でセットアップすることもできます。
Amazon Managed Grafana データソース設定を使用してポリシーをすばやくセットアップするには、「」のステップに従いますAWS データソース設定を使用してデータソース CloudWatch として を追加する。
アクセス許可を手動で設定するには、次のセクションのメソッドのいずれかを使用します。
AWS 認証情報
3 つの異なる認証方法を使用できます。
-
AWS SDK デフォルト — ワークスペースにアタッチされているロールで定義されたアクセス許可を使用します。詳細については、「カスタマー管理アクセス許可」を参照してください。
-
アクセスキーとシークレットキー — に対応します AWS SDK for Go
StaticProvider
。指定されたアクセスキー ID とシークレットキーを使用して認証します。このメソッドにはフォールバックがなく、提供されたキーペアが機能しない場合に失敗します。
IAM ロール
現在、 へのアクセス CloudWatch はすべて、公式 AWS SDK を使用して Grafana バックエンドによってサーバー側で行われます。AWS SDK デフォルト認証方法を選択し、Grafana サーバーが で実行されている場合 AWS、IAM ロールを使用して認証を自動的に処理できます。
詳細については、「IAM ロール」を参照してください。
IAM ポリシー
Grafana では、 CloudWatch メトリクスと EC2 タグ、インスタンス、リージョンを読み取るために、IAM を通じて付与されたアクセス許可が必要です。これらのアクセス許可を IAM ロールにアタッチし、組み込みの Grafana サポートを使用してロールを引き受けることができます。
次のコード例は、最小限のポリシーを示しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadingMetricsFromCloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Sid": "AllowReadingLogsFromCloudWatch", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Sid": "AllowReadingTagsInstancesRegionsFromEC2", "Effect": "Allow", "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"], "Resource": "*" }, { "Sid": "AllowReadingResourcesForTags", "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Sid": "AllowReadingAcrossAccounts", "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
ロールを割り当てる
Assume Role ARN
フィールドでは、引き受ける IAM ロールがあれば指定できます。これを空白のままにすると、提供された認証情報が直接使用され、関連するロールまたはユーザーには必要なアクセス許可が必要です。このフィールドが空白でない場合、提供された認証情報を使用して sts:AssumeRole
コールを実行します。