手動新增 CloudWatch 做為資料來源 - Amazon Managed Grafana
CloudWatch 設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

手動新增 CloudWatch 做為資料來源

手動新增 CloudWatch 資料來源

  1. 在 Grafana 主控台側邊選單中,將滑鼠游標移至組態 (齒輪) 圖示,然後選擇資料來源

  2. 選擇新增資料來源

  3. 選擇 CloudWatch 資料來源。如有必要,您可以開始CloudWatch在搜尋方塊中輸入 ,以協助您找到它。

CloudWatch 設定

下列 CloudWatch 設定適用。

名稱

描述

Name

資料來源名稱。這是您在面板和查詢中看到資料來源的方式。

Default

指定要為新面板預先選取的資料來源。

Default Region

在查詢編輯器中設定區域。可以根據每個查詢進行變更。

Namespaces of Custom Metrics

指定自訂指標的 CloudWatch 命名空間。可包含多個命名空間,以逗號分隔。

Auth Provider

指定要取得登入資料的提供者。

Assume Role Arn

指定要擔任的角色的 Amazon Resource Name (ARN)。

External ID

(選用) 指定外部 ID。如果您在使用外部 ID 建立 AWS 帳戶 的另一個 中擔任角色,請使用 。

Timeout

特別為 CloudWatch Logs 查詢設定逾時。

X-Ray trace links

若要在日誌包含 @xrayTraceId 欄位時自動在日誌中新增連結,請在資料來源組態的 X-Ray 追蹤連結區段中連結 X-Ray 資料來源。您必須已設定 X-Ray 資料來源

身分驗證

若要在 Amazon Managed Grafana 和 CloudWatch 之間啟用身分驗證,您可以使用 Amazon Managed Grafana 主控台快速建立所需的政策和許可。或者,您可以使用一些與自我管理 Grafana 伺服器相同的方法來手動設定身分驗證。

若要使用 Amazon Managed Grafana 資料來源組態來快速設定政策,請遵循 中的步驟使用 AWS 資料來源組態將 CloudWatch 新增為資料來源

若要手動設定許可,請使用下節中的其中一個方法。

AWS 登入資料

有三種不同的身分驗證方法可用。

  • AWS SDK 預設 — 使用連接至工作區的角色中定義的許可。如需詳細資訊,請參閱客戶管理的許可

  • 存取和私密金鑰 — 對應至 適用於 Go 的 AWS SDK StaticProvider。使用指定的存取金鑰 ID 和私密金鑰進行身分驗證。此方法沒有任何備用,如果提供的金鑰對無法運作,則 將會失敗。

IAM 角色

目前,Grafana 後端會使用官方 AWS SDK 完成對 CloudWatch 的所有存取。如果您選擇 AWS SDK 預設身分驗證方法,且您的 Grafana 伺服器正在執行 AWS,則可以使用 IAM 角色自動處理身分驗證。

如需詳細資訊,請參閱 IAM 角色

IAM 政策

Grafana 需要透過 IAM 授予的許可,才能讀取 CloudWatch 指標和 EC2 標籤、執行個體和區域。您可以將這些許可連接到 IAM 角色,並使用內建的 Grafana 支援來擔任角色。

下列程式碼範例顯示最少的政策。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadingMetricsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingLogsFromCloudWatch",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
      "Effect": "Allow",
      "Action": ["ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions"],
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingResourcesForTags",
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Sid": "AllowReadingAcrossAccounts",
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

擔任角色

Assume Role ARN 欄位可讓您指定要擔任的 IAM 角色,如果有的話。如果您將此保留空白,則會直接使用提供的登入資料,且相關聯的角色或使用者應具備必要的許可。如果此欄位不是空白的,則提供的登入資料會用來執行sts:AssumeRole呼叫。