CloudWatch 客服人員憑證偏好設定 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CloudWatch 客服人員憑證偏好設定

本節概述 CloudWatch 代理程式在與其他 AWS 服務和 通訊時用來取得憑證的憑證提供者鏈APIs。順序如下:

注意

數字 2 到 5 中列出的偏好設定與 中定義的偏好設定順序相同 AWS SDK。如需詳細資訊,請參閱 SDK 文件中的指定憑證

  1. 共用組態和憑證檔案,如 CloudWatch 客服人員common-config.toml檔案中所定義。如需詳細資訊,請參閱(選用) 修改代理或區域資訊的常見組態

  2. AWS SDK 環境變數

    重要

    在 Linux 上,如果您使用amazon-cloudwatch-agent-ctl指令碼執行 CloudWatch 代理程式,則指令碼會以systemd服務的形式啟動代理程式。在此情況下,客服人員AWS_SECRET_ACCESS_KEY無法存取環境變數HOME,例如 AWS_ACCESS_KEY_ID、 和 。

  3. 在 中找到的共用組態和憑證檔案 $HOME/%USERPROFILE%

    注意

    CloudWatch 代理程式會在 .aws/credentials $HOME 中尋找 Linux 和 MacOS,並在 %USERPROFILE% 中尋找 Windows。與 不同 AWS SDK,如果無法存取環境變數, CloudWatch 代理程式沒有確定主目錄的退避方法。這種行為的差異在於保持與 早期實作的向後相容性 AWS SDK。

    此外,與 中找到的共用憑證不同common-config.toml,如果 AWS SDK衍生的共用憑證過期並輪換, CloudWatch 代理程式不會自動提取更新後的憑證,並需要重新啟動代理程式才能執行此操作。

  4. 如果存在使用 Amazon Elastic Container Service 任務定義或 RunTask API操作的應用程式,則 AWS Identity and Access Management 任務的角色。

  5. 連接至 Amazon 執行個體的EC2執行個體設定檔。

最佳實務是,建議您在使用 CloudWatch 客服人員時,依下列順序指定憑證。

  1. 如果您的應用程式使用 Amazon Elastic Container Service 任務定義或 RunTask API操作,請使用IAM任務的角色。

  2. 如果您的應用程式在 Amazon EC2執行個體上執行,請使用 IAM角色。

  3. 使用 CloudWatch 代理程式common-config.toml檔案來指定憑證檔案。此憑證檔案與其他 和 使用的 AWS SDKs憑證檔案相同 AWS CLI。如果您已使用共用憑證檔案,也可以將其用於此目的。如果您使用 CloudWatch 代理程式common-config.toml的檔案提供它,則可確保代理程式在過期時將耗用輪換的憑證,並予以取代,而無需重新啟動代理程式。

  4. 使用環境變數。如果您在 Amazon EC2執行個體以外的電腦上執行開發工作,設定環境變數很有用。

注意

如果您將遙測傳送至 中說明的不同帳戶將指標、日誌和追蹤傳送到不同帳戶, CloudWatch 代理程式會使用本節所述的憑證提供者鏈來取得初始的一組憑證。然後,它會在role_arn CloudWatch 代理程式組態檔案中擔任 指定的IAM角色時使用這些憑證。