CloudWatch 에이전트 자격 증명 기본 설정 - Amazon CloudWatch

CloudWatch 에이전트 자격 증명 기본 설정

이 섹션에서는 CloudWatch 에이전트가 다른 AWS 서비스 및 API와 통신할 때 자격 증명을 얻기 위해 사용하는 자격 증명 공급자 체인을 간략하게 설명합니다. 순서는 다음과 같습니다.

참고

다음 2~5번에 나열된 기본 설정은 AWS SDK에 정의된 기본 설정 순서와 동일합니다. 자세한 내용은 SDK 설명서의 자격 증명 지정을 참조하세요.

  1. CloudWatch 에이전트의 common-config.toml 파일에 정의된 공유 구성 및 자격 증명 파일. 자세한 내용은 (선택 사항) 프록시 또는 리전 정보에 대한 일반 구성 수정 단원을 참조하십시오.

  2. AWS SDK 환경 변수

    중요

    Linux에서 amazon-cloudwatch-agent-ctl 스크립트를 사용하여 CloudWatch 에이전트를 실행하는 경우 스크립트는 에이전트를 systemd 서비스로 시작합니다. 이 경우 HOME, AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY 등과 같은 환경 변수는 에이전트에서 액세스할 수 없습니다.

  3. $HOME/%USERPROFILE%에서 찾은 공유 구성 및 자격 증명 파일

    참고

    CloudWatch 에이전트는 Linux와 macOS의 경우 $HOME에서 .aws/credentials를 찾고 Windows의 경우 %USERPROFILE%을 찾습니다. AWS SDK와 달리 CloudWatch 에이전트에는 환경 변수에 액세스할 수 없는 경우 홈 디렉터리를 확인하는 대체 방법이 없습니다. 이러한 차이는 AWS SDK의 이전 버전과의 호환성을 유지하기 위한 것입니다.

    또한 common-config.toml에 있는 공유 자격 증명과 달리 AWS SDK에서 파생된 공유 자격 증명이 만료되어 교체된 경우 CloudWatch 에이전트가 갱신된 자격 증명을 자동으로 선택하지 않으므로 에이전트를 다시 시작해야 합니다.

  4. Amazon Elastic Container Service 태스크 정의 또는 RunTask API 작업을 사용하는 애플리케이션이 있는 경우 태스크에 대한 AWS Identity and Access Management 역할.

  5. Amazon EC2 인스턴스에 연결된 인스턴스 프로파일.

모범 사례로 CloudWatch 에이전트를 사용할 때 자격 증명을 다음 순서로 지정하는 것이 가장 좋습니다.

  1. 애플리케이션이 Amazon Elastic Container Service 태스크 정의 또는 RunTask API 작업을 사용하는 경우 태스크에 IAM 역할을 사용합니다.

  2. 애플리케이션이 Amazon EC2 인스턴스에서 실행되는 경우 IAM 역할을 사용합니다.

  3. CloudWatch 에이전트 common-config.toml 파일을 사용하여 자격 증명 파일을 지정합니다. 이 자격 증명 파일은 다른 AWS SDK 및 AWS CLI에서 사용하는 것과 동일합니다. 공유 자격 증명 파일을 이미 사용 중인 경우 이 용도로 해당 파일을 사용할 수도 있습니다. CloudWatch 에이전트의 common-config.toml 파일을 사용하여 제공하는 경우 에이전트가 만료될 때 교체된 자격 증명을 사용하고 에이전트를 재시작할 필요 없이 교체되도록 합니다.

  4. 환경 변수를 사용합니다. 환경 변수 설정은 Amazon EC2 인스턴스 이외의 컴퓨터에서 개발 작업을 수행 중인 경우에 유용합니다.

참고

다른 계정에 지표, 로그, 추적 전송에서 설명하는 것과 같이 다른 계정으로 원격 측정을 전송하는 경우 CloudWatch 에이전트는 이 섹션에서 설명하는 자격 증명 공급자 체인을 사용하여 초기 자격 증명 세트를 얻습니다. 이후 CloudWatch 에이전트 구성 파일에서 role_arn에 의해 지정된 IAM 역할을 수임할 때 해당 자격 증명을 사용합니다.