Criar funções e usuários do IAM para uso com o atendente do CloudWatch - Amazon CloudWatch
Criar funções do IAM a serem usadas com o atendente do CloudWatch em instâncias do Amazon EC2Criar usuários do IAM para usar com o atendente do CloudWatch em servidores on-premises

Criar funções e usuários do IAM para uso com o atendente do CloudWatch

O acesso aos recursos da AWS requer permissões. É possível criar funções e usuários do IAM que incluem as permissões necessárias para o atendente do CloudWatch gravar métricas no CloudWatch e para o atendente do CloudWatch se comunicar com o Amazon EC2 e o AWS Systems Manager. Utilize funções do IAM nas instâncias do Amazon EC2 e usuários do IAM em servidores on-premises.

Uma função ou um usuário permite que o atendente do CloudWatch seja instalado em um servidor e envie métricas ao CloudWatch. A outra função ou o outro usuário é necessário para armazenar sua configuração do atendente do CloudWatch no Systems Manager Parameter Store. O Parameter Store permite que vários servidores usem uma configuração do atendente do CloudWatch.

A capacidade de gravação no Parameter Store é uma permissão ampla e avançada. Você deve usá-la apenas quando necessário e não deve associá-la a várias instâncias em sua implantação. Se você armazenar sua configuração do atendente do CloudWatch no Parameter Store, recomendamos o seguinte:

  • Configure uma instância na qual executar essa configuração.

  • Use a função do IAM com permissões para gravar no Parameter Store somente nessa instância.

  • Use a função do IAM com permissões para gravar no Parameter Store somente enquanto estiver trabalhando com o arquivo de configuração do atendente do CloudWatch e salvando-o.

nota

Os seguintes procedimentos foram modificados recentemente usando as novas políticas CloudWatchAgentServerPolicy e CloudWatchAgentAdminPolicy criadas pela Amazon, em vez de exigir que os próprios clientes criem essas políticas. Para usar essas políticas a fim de gravar o arquivo de configuração do atendente no Parameter Store e baixá-lo do Parameter Store, o nome desse arquivo deverá começar com AmazonCloudWatch-. Caso você tenha um arquivo de configuração do atendente do CloudWatch com um nome de arquivo que não comece com AmazonCloudWatch-, essas políticas não poderão ser usadas para gravar o arquivo no Parameter Store nem baixá-lo do Parameter Store.

Criar funções do IAM a serem usadas com o atendente do CloudWatch em instâncias do Amazon EC2

O primeiro procedimento cria a função do IAM que você precisa associar a cada instância do Amazon EC2 que executará o atendente do CloudWatch. Essa função fornece permissões para ler informações da instância e gravá-las no CloudWatch.

O segundo procedimento cria a função do IAM que você deve anexar à instância do Amazon EC2 que está sendo usada para criar o arquivo de configuração do atendente do CloudWatch. Esta etapa será necessária se você for armazenar esse arquivo no Systems Manager Parameter Store para que outros servidores possam usá-lo. Essa função fornece permissões para gravar no Parameter Store, além de permissões para ler informações da instância e gravá-las no CloudWatch. Essa função inclui permissões suficientes para executar o atendente do CloudWatch, bem como para gravar no Parameter Store.

nota

O Parameter Store oferece suporte a parâmetros nos níveis padrão e avançado. Esses níveis de parâmetro não estão relacionados aos níveis básico, padrão e avançado de detalhes disponíveis nos conjuntos de métricas predefinidas do atendente do CloudWatch.

Para criar a função do IAM necessária para cada servidor executar o atendente do CloudWatch

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Funções e Criar função.

  3. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  4. Logo em Common use cases (Casos de uso comuns), selecione EC2 e Next: Permissions (Próximo: permissões).

  5. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  6. Para usar o Systems Manager com o intuito de instalar ou configurar o atendente do CloudWatch, marque a caixa ao lado de AmazonSSMManagedInstanceCore. Essa política gerenciada da AWS permite que uma instância use a funcionalidade básica do serviço Systems Manager. Se necessário, use a caixa de pesquisa para encontrar a política. Essa política não é necessária ao iniciar e configurar o atendente apenas por meio da linha de comando.

  7. Escolha Próximo: tags.

  8. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  9. Em Role name (Nome da função), insira um nome para a nova função, como CloudWatchAgentServerRole ou outro nome que você preferir.

  10. (Opcional ) Em Role description (Descrição da função), insira uma descrição.

  11. Confirme se CloudWatchAgentServerPolicy e, opcionalmente, AmazonSSMManagedInstanceCore aparecem ao lado de Policies (Políticas).

  12. Selecione Criar perfil.

    A função foi criada.

O procedimento a seguir cria a função do IAM que também pode gravar no Parameter Store. É possível usar essa função para armazenar o arquivo de configuração do atendente no Parameter Store para que outros servidores possam recuperá-lo.

As permissões para gravar no Parameter Store fornecem acesso amplo. Essa função não deve ser associada a todos os servidores, e apenas os administradores devem usá-la. Depois de criar o arquivo de configuração do atendente e copiá-lo no Parameter Store, você deve desvincular essa função da instância e usar CloudWatchAgentServerRole no lugar dela.

Para criar a função do IAM para um administrador gravar no Parameter Store

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Funções e Criar função.

  3. Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).

  4. Imediatamente em Choose the service that will use this role (Escolher o serviço que usará essa função), selecione EC2 e Next: Permissions (Próximo: permissões).

  5. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentAdminPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  6. Para usar o Systems Manager com o intuito de instalar ou configurar o atendente do CloudWatch, marque a caixa ao lado de AmazonSSMManagedInstanceCore. Essa política gerenciada da AWS permite que uma instância use a funcionalidade básica do serviço Systems Manager. Se necessário, use a caixa de pesquisa para encontrar a política. Essa política não é necessária ao iniciar e configurar o atendente apenas por meio da linha de comando.

  7. Escolha Próximo: tags.

  8. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  9. Em Role name (Nome da função), insira um nome para a nova função, como CloudWatchAgentAdminRole ou outro nome que você preferir.

  10. (Opcional ) Em Role description (Descrição da função), insira uma descrição.

  11. Confirme se CloudWatchAgentAdminPolicy e, opcionalmente, AmazonSSMManagedInstanceCore aparecem ao lado de Policies (Políticas).

  12. Selecione Criar perfil.

    A função foi criada.

Criar usuários do IAM para usar com o atendente do CloudWatch em servidores on-premises

O primeiro procedimento cria o usuário do IAM necessário para executar o atendente do CloudWatch. Esse usuário fornece permissões para enviar dados ao CloudWatch.

O segundo procedimento cria o usuário do IAM que você pode usar ao criar o arquivo de configuração do atendente do CloudWatch. Use este procedimento para armazenar esse arquivo no Systems Manager Parameter Store para que outros servidores possam usá-lo. Esse usuário fornece permissões para gravar no Parameter Store, além de permissões para gravar dados no CloudWatch.

nota

O Parameter Store oferece suporte a parâmetros nos níveis padrão e avançado. Esses níveis de parâmetro não estão relacionados aos níveis básico, padrão e avançado de detalhes disponíveis nos conjuntos de métricas predefinidas do atendente do CloudWatch.

Para criar o usuário do IAM necessário para o atendente do CloudWatch gravar dados no CloudWatch

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Digite o nome para o novo usuário.

  4. Em Access type (Tipo de acesso), selecione Programmatic access (Acesso programático) e selecione Next: Permissions (Próximo: permissões).

  5. Em Set permissions (Definir permissões), selecione Attach existing policies directly (Anexar políticas existentes diretamente).

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. Para usar o Systems Manager com o intuito de instalar ou configurar o atendente do CloudWatch, marque a caixa ao lado de AmazonSSMManagedInstanceCore. Essa política gerenciada da AWS permite que uma instância use a funcionalidade básica do serviço Systems Manager. (Se necessário, use a caixa de pesquisa para localizar a política. Essa política não será necessária se você iniciar e configurar o atendente somente por meio da linha de comando.)

  8. Escolha Próximo: tags.

  9. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  10. Confirme se as políticas corretas estão listadas e selecione Create user (Criar usuário).

  11. Na linha para o novo usuário, selecione Show (Mostrar). Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha Fechar.

O procedimento a seguir cria o usuário do IAM que também pode gravar no Parameter Store. Você precisará usar esse usuário do IAM se for armazenar o arquivo de configuração do atendente no Parameter Store para que outros servidores possam usá-lo. Esse usuário do IAM fornece permissões para gravar no Parameter Store. Esse usuário fornece permissões para ler informações da instância e gravá-las no CloudWatch. As permissões para gravar no Systems Manager Parameter Store fornecem acesso amplo. Esse usuário do IAM não deve ser associado a todos os servidores, e apenas os administradores devem usá-lo. Use esse usuário do IAM somente quando for armazenar o arquivo de configuração do atendente no Parameter Store.

Para criar o usuário do IAM necessário para armazenar o arquivo de configuração no Parameter Store e enviar informações ao CloudWatch

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Digite o nome para o novo usuário.

  4. Em Access type (Tipo de acesso), selecione Programmatic access (Acesso programático) e selecione Next: Permissions (Próximo: permissões).

  5. Em Set permissions (Definir permissões), selecione Attach existing policies directly (Anexar políticas existentes diretamente).

  6. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentAdminPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  7. Para usar o Systems Manager com o intuito de instalar ou configurar o atendente do CloudWatch, marque a caixa ao lado de AmazonSSMManagedInstanceCore. Essa política gerenciada da AWS permite que uma instância use a funcionalidade básica do serviço Systems Manager. (Se necessário, use a caixa de pesquisa para localizar a política. Essa política não será necessária se você iniciar e configurar o atendente somente por meio da linha de comando.)

  8. Escolha Próximo: tags.

  9. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  10. Confirme se as políticas corretas estão listadas e selecione Create user (Criar usuário).

  11. Na linha para o novo usuário, selecione Show (Mostrar). Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha Fechar.