手動新增 CloudWatch 為資料來源 - Amazon Managed Grafana
CloudWatch 設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

手動新增 CloudWatch 為資料來源

手動新增資 CloudWatch 料來源

  1. 在 Grafana 主控台側邊功能表中,將滑鼠暫留在 [設定 (齒輪)] 圖示上,然後選擇 [資料來源]。

  2. 選擇新增資料來源

  3. 選擇資CloudWatch料來源。如有必要,您可以開始CloudWatch在搜索框中鍵入以幫助您找到它。

CloudWatch 設定

下列 CloudWatch 設定適用。

名稱

描述

Name

資料來源名稱。這是您在面板和查詢中查看數據源的方式。

Default

指定要為新面板預先選取的資料來源。

Default Region

在查詢編輯器中設定「區域」。可以根據每個查詢進行更改。

Namespaces of Custom Metrics

指定自訂度量的 CloudWatch 命名空間。可以包含多個命名空間,以逗號分隔。

Auth Provider

指定要取得認證的提供者。

Assume Role Arn

指定要承擔之角色的 Amazon 資源名稱 (ARN)。

External ID

(選擇性) 指定外部 ID。如果您在另一個已使用外部 ID 建立的角色中扮演角色,請使用 AWS 帳戶 此選項。

Timeout

專門針對 CloudWatch 記錄查詢設定逾時。

X-Ray trace links

若要在記錄檔包含@xrayTraceId欄位時自動在記錄檔中新增連結,請在資料來源組態的 X-Ray 追蹤連結區段中連結 X-Ray 資料來源。您必須已設定 X-Ray 資料來源

身分驗證

若要在 Amazon 受管 Grafana 和之間啟用身份驗證 CloudWatch,您可以使用 Amazon 受管的 Grafana 主控台快速建立所需的政策和許可。或者,您也可以使用與自我管理的 Grafana 伺服器相同的一些方法來手動設定驗證。

若要使用 Amazon 受管的 Grafana 資料來源組態快速設定政策,請遵循中的步驟。使用 AWS 資料來源規劃新增 CloudWatch 為資料來源

若要手動設定權限,請使用下一節中的其中一種方法。

AWS 登入資料

有三種不同的驗證方法可用。

  • AWS SDK 預設值 — 使用在附加至工作區的角色中定義的權限。如需詳細資訊,請參閱 客戶管理的權限

  • 存取和密碼金鑰 — 對應於 AWS SDK for Go StaticProvider. 使用給定的訪問密鑰 ID 和密鑰進行身份驗證。此方法沒有任何後備,如果提供的 key pair 不起作用將失敗。

IAM 角色

目前,所有存取都 CloudWatch 是由 Grafana 後端使用官方 AWS SDK 在伺服器端完成。如果您選擇 AWS SDK 預設驗證方法,且您的 Grafana 伺服器正在執行 AWS,則可以使用 IAM 角色自動處理身份驗證。

如需詳細資訊,請參閱 IAM 角色

IAM 政策

Grafana 需要透過 IAM 授予許可,才能讀取 CloudWatch 指標和 EC2 標籤、執行個體和區域。您可以將這些許可附加到 IAM 角色,並針對假設角色使用內建的 Grafana 支援。

下列程式碼範例顯示最小原則。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

擔任角色

Assume Role ARN欄位可讓您指定要承擔的 IAM 角色 (如果有的話)。如果將此項保留空白,則會直接使用提供的認證,而相關聯的角色或使用者應具有必要的權限。如果此欄位不為空白,則會使用提供的認證來執行sts:AssumeRole呼叫。