수동으로 CloudWatch를 데이터 소스로 추가 - Amazon Managed Grafana
CloudWatch 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

수동으로 CloudWatch를 데이터 소스로 추가

수동으로 CloudWatch 데이터 소스를 추가하는 방법

  1. Grafana 콘솔 사이드 메뉴에서 구성(톱니) 아이콘 위에 마우스를 올려 놓고 데이터 소스를 선택하세요.

  2. 데이터 소스 추가를 선택합니다.

  3. CloudWatch 데이터 소스를 선택하세요. 필요한 경우 검색 상자에서 CloudWatch를 입력하기 시작하면 해당 항목을 찾는 데 도움이 됩니다.

CloudWatch 설정

다음 CloudWatch 설정이 적용됩니다.

명칭

설명

Name

데이터 소스 이름. 패널 및 쿼리에서 데이터 소스를 보는 방법입니다.

Default

새 패널에 대해 사전에 선택할 데이터 소스를 지정합니다.

Default Region

쿼리 편집기에서 리전을 설정합니다. 쿼리별 기준으로 변경할 수 있습니다.

Namespaces of Custom Metrics

사용자 지정 지표의 CloudWatch 네임스페이스를 지정합니다. 쉼표로 구분된 여러 네임스페이스를 포함할 수 있습니다.

Auth Provider

자격 증명을 가져올 제공업체를 지정합니다.

Assume Role Arn

수임할 역할의 Amazon 리소스 이름(ARN)을 지정합니다.

External ID

(선택 사항) 외부 ID를 지정합니다. 외부 ID로 생성된 다른에서 역할을 수임 AWS 계정 하는 경우를 사용합니다.

Timeout

특별히 CloudWatch Logs 쿼리에 대한 제한 시간을 구성합니다.

X-Ray trace links

로그에 @xrayTraceId 필드가 포함된 경우 로그에서 링크를 자동으로 추가하려면 데이터 소스 구성의 X-Ray 추적 링크 섹션에서 X-Ray 데이터 소스를 연결합니다. X-Ray 데이터 소스가 이미 구성되어 있어야 합니다.

인증

Amazon Managed Grafana 및 CloudWatch 간 인증을 활성화하려면 Amazon Managed Grafana 콘솔을 사용하여 필요한 정책 및 권한을 빠르게 생성할 수 있습니다. 또는 자체 관리형 Grafana 서버에서와 동일한 몇 가지 방법을 사용하여 인증을 수동으로 설정할 수 있습니다.

Amazon Managed Grafana 데이터 소스 구성을 사용하여 정책을 빠르게 설정하려면 AWS 데이터 소스 구성을 사용하여 CloudWatch를 데이터 소스로 추가의 단계를 수행합니다.

권한을 수동으로 설정하려면 다음 섹션의 방법 중 하나를 사용합니다.

AWS 보안 인증

세 가지 인증 방법을 사용할 수 있습니다.

  • AWS SDK 기본값 - 워크스페이스에 연결된 역할에 정의된 권한을 사용합니다. 자세한 내용은 고객 관리형 권한 단원을 참조하십시오.

  • 액세스 및 보안 키 - AWS SDK for Go StaticProvider에 해당합니다. 주어진 액세스 키 ID 및 보안 암호 키를 사용하여 인증합니다. 이 방법에는 폴백이 없으며 제공된 키 페어가 작동하지 않으면 실패합니다.

IAM 역할

현재 CloudWatch에 대한 모든 액세스는 공식 AWS SDK를 사용하여 Grafana 백엔드에서 서버 측에서 수행됩니다. AWS SDK 기본 인증 방법을 선택하고 Grafana 서버가 실행 중인 경우 IAM 역할을 사용하여 인증을 자동으로 처리할 AWS수 있습니다.

자세한 내용은 IAM 역할을 참조하세요.

IAM 정책

Grafana는 CloudWatch 지표와 EC2 태그, 인스턴스, 리전을 읽을 수 있도록 IAM을 통해 부여된 권한이 필요합니다. 이러한 권한을 IAM 역할에 연결하고 역할 수임을 위해 기본 제공 Grafana 지원을 사용할 수 있습니다.

다음 코드 예제에서는 최소 정책을 보여줍니다.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

역할 수임

Assume Role ARN 필드를 사용하면 해당되는 경우 수임할 IAM 역할을 지정할 수 있습니다. 이 정보를 비워 두면 제공된 자격 증명을 직접 사용하며, 연결된 역할 또는 사용자에게 필요한 권한이 있어야 합니다. 이 필드가 비어 있지 않으면 제공된 자격 증명이 sts:AssumeRole 직접 호출을 수행하는 데 사용됩니다.