View a markdown version of this page

Pré-requisitos - Amazon CloudWatch
Perfis e usuários do IAM para o agente do CloudWatchRequisitos de rede

Pré-requisitos

Certifique-se de que os pré-requisitos apresentados a seguir sejam atendidos antes de instalar o agente do CloudWatch pela primeira vez.

Perfis e usuários do IAM para o agente do CloudWatch

O acesso aos recursos da AWS requer permissões. Você cria uma função do IAM, um usuário do IAM ou ambos para conceder permissões necessárias para o atendente do CloudWatch gravar métricas no CloudWatch.

Criação de um perfil do IAM para instâncias do Amazon EC2

Se você for executar o agente do CloudWatch em instâncias do Amazon EC2, crie um perfil do IAM com as permissões necessárias.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis.

  3. Escolha Criar Perfil.

  4. Verifique se o serviço da AWS está selecionado em Tipo de entidade confiável. Em Caso de uso, selecione EC2. Escolha Próximo.

  5. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política.

  6. Escolha Próximo.

  7. Em Nome do perfil, insira um nome exclusivo para o perfil, como CloudWatchAgentServerRole. Selecione Criar perfil.

(Opcional) Se o atendente for enviar logs para o CloudWatch Logs e você quiser que ele possa definir políticas de retenção para esses grupos de log, será necessário adicionar a permissão logs:PutRetentionPolicy para a função.

Criação de um usuário do IAM para servidores on-premises

Se você for executar o agente do CloudWatch em servidores on-premises, crie um usuário do IAM com as permissões necessárias.

nota

Este cenário precisa de usuários do IAM com acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários e, em seguida, Adicionar usuários.

  3. Digite o nome para o novo usuário. Selecione Access key – Programmatic access (Chave de acesso – Acesso programático) e escolha Next: Permissions (Próximo: Permissões).

  4. Escolha Anexar políticas existentes diretamente.

  5. Na lista de políticas, marque a caixa de seleção ao lado de CloudWatchAgentServerPolicy. Se necessário, use a caixa de pesquisa para encontrar a política. Escolha Próximo: tags.

  6. (Opcional) Crie tags para o novo usuário do IAM. Escolha Próximo: revisar. Confirme que a política correta está listada e selecione Criar usuário.

  7. Ao lado do nome no novo usuário, escolha Mostrar. Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha Fechar.

Anexar um perfil do IAM a uma instância do Amazon EC2

Para possibilitar que o agente do CloudWatch envie dados provenientes de uma instância do Amazon EC2, você deve anexar o perfil do IAM criado à instância.

Para saber mais sobre a anexação de um perfil do IAM a uma instância, consulte Anexar um perfil do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud.

Permitir que o atendente do CloudWatch defina a política de retenção de logs

É possível configurar o atendente do CloudWatch para definir a política de retenção para grupos de logs para os quais ele envia eventos de log. Se você fizer isso, deve conceder o logs:PutRetentionPolicy à função do IAM ou ao usuário que o atendente usa. O atendente usa uma função do IAM para executar em instâncias do Amazon EC2 e usa um usuário do IAM para servidores on-premises.

Para conceder permissões de retenção de log ao perfil do IAM do agente

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, selecione Perfis.

  3. Na caixa de pesquisa, insira o início do nome do perfil do IAM do agente do CloudWatch. Você escolheu esse nome ao criar a função. Ele pode se chamar CloudWatchAgentServerRole.

    Quando você vir a função, escolha o nome da função.

  4. Na guia Permissions (Permissões), escolha Add permissions (Adicionar permissões), Create inline policy (Criar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Escolha Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).

Para conceder permissões de retenção de log ao usuário do IAM do agente

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Usuários.

  3. Na caixa de pesquisa, insira o início do nome do usuário do IAM do agente do CloudWatch. Você escolheu esse nome ao criar o usuário.

    Quando você vir o usuário, escolha o nome do usuário.

  4. Na guia Permissions (Permissões), escolha Add inline policy (Adicionar política em linha).

  5. Escolha a guia JSON e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Selecione Revisar política.

  7. Em Name (Nome), insira CloudWatchAgentPutLogsRetention ou algo semelhante e escolha Create policy (Criar política).

Requisitos de rede

nota

Quando o servidor estiver em uma sub-rede pública, certifique-se de que haja acesso a um gateway da internet. Quando o servidor estiver em uma sub-rede privada, o acesso será feito por meio dos gateways NAT ou do endpoint da VPC. Para obter mais informações sobre gateways NAT;, consulte https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html.

Suas instâncias do Amazon EC2 devem ter acesso à Internet de saída para enviar dados ao CloudWatch ou ao CloudWatch Logs. Para obter mais informações sobre como configurar o acesso à internet, consulte Gateways da internet no Guia do usuário da Amazon VPC.

Usar endpoints da VPC

Se você estiver usando uma VPC e desejar usar o agente do CloudWatch sem acesso à internet pública, pode configurar endpoints da VPC para o CloudWatch e o CloudWatch Logs.

Os endpoints e portas para configurar em seu proxy são os seguintes:

  • Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em Endpoints e cotas do Amazon CloudWatch.

  • Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints de logs do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em Endpoints e cotas do Amazon CloudWatch Logs.

  • Se estiver usando o Systems Manager para instalar o atendente ou o Parameter Store para armazenar o arquivo de configuração, você deverá adicionar os endpoints do Systems Manager das regiões apropriadas na lista de permissões. Esses endpoints estão listados em AWS Systems Manager endpoints and quotas.