手动添加 CloudWatch 为数据源 - Amazon Managed Grafana
CloudWatch 设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动添加 CloudWatch 为数据源

手动添加 CloudWatch 数据源

  1. 在 Grafana 控制台的侧面菜单中,将鼠标悬停配置(齿轮)图标上,然后选择数据源。

  2. 选择添加数据来源

  3. 选择CloudWatch数据源。如有必要,您可以开始CloudWatch在搜索框中键入内容以帮助您找到它。

CloudWatch 设置

以下 CloudWatch 设置适用。

名称

描述

Name

数据源名称。这就是您在面板和查询中查看数据源的方式。

Default

为新面板指定要预先选择的数据源。

Default Region

在查询编辑器中设置区域。可以根据每个查询进行更改。

Namespaces of Custom Metrics

指定自定义 CloudWatch 指标的命名空间。可以包含多个以逗号分隔的命名空间。

Auth Provider

指定要获取凭证的提供商。

Assume Role Arn

指定要担任的角色的 Amazon 资源名称 (ARN)。

External ID

(可选)指定外部 ID。如果您在使用外部 ID 创建的另一个角色中扮演角色 AWS 账户 ,则使用此选项。

Timeout

专门为 CloudWatch 日志查询配置超时时间。

X-Ray trace links

要在日志包含@xrayTraceId字段时自动在日志中添加链接,请在数据源配置的 X-Ra y 跟踪链接部分中链接 X-R ay 数据源。您必须已经配置了 X-Ray 数据源

身份验证

要在亚马逊托管 Grafana CloudWatch 和之间启用身份验证,您可以使用亚马逊托管 Grafana 控制台快速创建所需的策略和权限。或者,您可以使用一些与在自我管理的 Grafana 服务器上相同的方法手动设置身份验证。

要使用 Amazon Managed Grafana 数据源配置来快速设置策略,请按照中的步骤进行操作。使用 AWS 数据源配置添加 CloudWatch 为数据源

要手动设置权限,请使用下一节中的方法之一。

AWS 凭证

有三种不同的身份验证方法可供选择。

  • AWS SDK 默认-使用在附加到您的工作空间的角色中定义的权限。有关更多信息,请参阅 客户管理的权限

  • 访问权限和私有密钥 — 对应于 AWS SDK for Go StaticProvider。使用给定的访问密钥 ID 和密钥进行身份验证。此方法没有任何后备方法,如果提供的密钥对(key pair)不起作用,则该方法将失败。

IAM 角色

目前,所有访问 CloudWatch 均由Grafana后端使用官方SDK在服务器端完成。 AWS 如果您选择 AWS SDK 默认身份验证方法,并且您的 Grafana 服务器正在运行 AWS,则可以使用 IAM 角色自动处理身份验证。

有关更多信息,请参阅 IAM 角色

IAM 策略

Grafana 需要通过 IAM 授予的权限才能 CloudWatch 读取指标和 EC2 标签、实例和区域。您可以将这些权限附加到 IAM 角色,并使用内置的 Grafana 支持来代入角色。

以下代码示例显示了一个最低限度的策略。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

代入角色

Assume Role ARN字段允许您指定要担任的 IAM 角色(如果有)。如果将此项留空,则直接使用所提供的凭证,并且关联的角色或用户应具有所需的权限。如果此字段不为空,则使用提供的凭据执行sts:AssumeRole呼叫。