本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动添加 CloudWatch 为数据源
手动添加 CloudWatch 数据源
-
在 Grafana 控制台的侧面菜单中,将鼠标悬停在配置(齿轮)图标上,然后选择数据源。
-
选择添加数据来源。
-
选择CloudWatch数据源。如有必要,您可以开始
CloudWatch
在搜索框中键入内容以帮助您找到它。
CloudWatch 设置
以下 CloudWatch 设置适用。
名称 |
描述 |
---|---|
|
数据源名称。这就是您在面板和查询中查看数据源的方式。 |
|
为新面板指定要预先选择的数据源。 |
|
在查询编辑器中设置区域。可以根据每个查询进行更改。 |
|
指定自定义 CloudWatch 指标的命名空间。可以包含多个以逗号分隔的命名空间。 |
|
指定要获取凭证的提供商。 |
|
指定要担任的角色的 Amazon 资源名称 (ARN)。 |
|
(可选)指定外部 ID。如果您在使用外部 ID 创建的另一个角色中扮演角色 AWS 账户 ,则使用此选项。 |
|
专门为 CloudWatch 日志查询配置超时时间。 |
|
要在日志包含 |
身份验证
要在亚马逊托管 Grafana CloudWatch 和之间启用身份验证,您可以使用亚马逊托管 Grafana 控制台快速创建所需的策略和权限。或者,您可以使用一些与在自我管理的 Grafana 服务器上相同的方法手动设置身份验证。
要使用 Amazon Managed Grafana 数据源配置来快速设置策略,请按照中的步骤进行操作。使用 AWS 数据源配置添加 CloudWatch 为数据源
要手动设置权限,请使用下一节中的方法之一。
AWS 凭证
有三种不同的身份验证方法可供选择。
-
AWS SDK 默认-使用在附加到您的工作空间的角色中定义的权限。有关更多信息,请参阅 客户管理的权限。
-
访问权限和私有密钥 — 对应于 AWS SDK for Go
StaticProvider
。使用给定的访问密钥 ID 和密钥进行身份验证。此方法没有任何后备方法,如果提供的密钥对(key pair)不起作用,则该方法将失败。
IAM 角色
目前,所有访问 CloudWatch 均由Grafana后端使用官方SDK在服务器端完成。 AWS 如果您选择 AWS SDK 默认身份验证方法,并且您的 Grafana 服务器正在运行 AWS,则可以使用 IAM 角色自动处理身份验证。
有关更多信息,请参阅 IAM 角色。
IAM 策略
Grafana 需要通过 IAM 授予的权限才能 CloudWatch 读取指标和 EC2 标签、实例和区域。您可以将这些权限附加到 IAM 角色,并使用内置的 Grafana 支持来代入角色。
以下代码示例显示了一个最低限度的策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReadingMetricsFromCloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Sid": "AllowReadingLogsFromCloudWatch", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Sid": "AllowReadingTagsInstancesRegionsFromEC2", "Effect": "Allow", "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"], "Resource": "*" }, { "Sid": "AllowReadingResourcesForTags", "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Sid": "AllowReadingAcrossAccounts", "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
代入角色
该Assume Role ARN
字段允许您指定要担任的 IAM 角色(如果有)。如果将此项留空,则直接使用所提供的凭证,并且关联的角色或用户应具有所需的权限。如果此字段不为空,则使用提供的凭据执行sts:AssumeRole
呼叫。