データソース CloudWatch として を手動で追加する - Amazon Managed Grafana
CloudWatch 設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データソース CloudWatch として を手動で追加する

CloudWatch データソースを手動で追加するには

  1. Grafana コンソールのサイドメニューで、設定 (歯車) アイコンにカーソルを合わせ、データソース を選択します。

  2. [データソースを追加する] を選択する。

  3. CloudWatch データソースを選択します。必要に応じて、CloudWatch検索ボックスに入力して検索に役立てることができます。

CloudWatch 設定

次の CloudWatch 設定が適用されます。

名前

説明

Name

データソース名。これは、パネルとクエリでデータソースを表示する方法です。

Default

新しいパネル用に事前に選択するデータソースを指定します。

Default Region

クエリエディタでリージョンを設定します。クエリごとに変更できます。

Namespaces of Custom Metrics

カスタムメトリクス CloudWatch の名前空間を指定します。カンマで区切られた複数の名前空間を含めることができます。

Auth Provider

認証情報を取得するプロバイダーを指定します。

Assume Role Arn

引き受けるロールの Amazon リソースネーム (ARN) を指定します。

External ID

(オプション) 外部 ID を指定します。外部 ID で AWS アカウント 作成された別の でロールを引き受ける場合は、 を使用します。

Timeout

CloudWatch Logs クエリ専用のタイムアウトを設定します。

X-Ray trace links

ログに @xrayTraceIdフィールドが含まれているときにログにリンクを自動的に追加するには、データソース設定の X-Ray トレースリンクセクションで X-Ray データソースをリンクします。X-Ray データソースが既に設定されている必要があります。

認証

Amazon Managed Grafana と 間の認証を有効にするには CloudWatch、Amazon Managed Grafana コンソールを使用して、必要なポリシーとアクセス許可をすばやく作成できます。または、自己管理型の Grafana サーバーと同じ方法の一部を使用して認証を手動でセットアップすることもできます。

Amazon Managed Grafana データソース設定を使用してポリシーをすばやくセットアップするには、「」のステップに従いますAWS データソース設定を使用してデータソース CloudWatch として を追加する

アクセス許可を手動で設定するには、次のセクションのメソッドのいずれかを使用します。

AWS 認証情報

3 つの異なる認証方法を使用できます。

  • AWS SDK デフォルト — ワークスペースにアタッチされているロールで定義されたアクセス許可を使用します。詳細については、「カスタマー管理アクセス許可」を参照してください。

  • アクセスキーとシークレットキー — に対応します AWS SDK for Go StaticProvider。指定されたアクセスキー ID とシークレットキーを使用して認証します。このメソッドにはフォールバックがなく、提供されたキーペアが機能しない場合に失敗します。

IAM ロール

現在、 へのアクセス CloudWatch はすべて、公式 AWS SDK を使用して Grafana バックエンドによってサーバー側で行われます。AWS SDK デフォルト認証方法を選択し、Grafana サーバーが で実行されている場合 AWS、IAM ロールを使用して認証を自動的に処理できます。

詳細については、「IAM ロール」を参照してください。

IAM ポリシー

Grafana では、 CloudWatch メトリクスと EC2 タグ、インスタンス、リージョンを読み取るために、IAM を通じて付与されたアクセス許可が必要です。これらのアクセス許可を IAM ロールにアタッチし、組み込みの Grafana サポートを使用してロールを引き受けることができます。

次のコード例は、最小限のポリシーを示しています。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

ロールを割り当てる

Assume Role ARN フィールドでは、引き受ける IAM ロールがあれば指定できます。これを空白のままにすると、提供された認証情報が直接使用され、関連するロールまたはユーザーには必要なアクセス許可が必要です。このフィールドが空白でない場合、提供された認証情報を使用して sts:AssumeRole コールを実行します。