View a markdown version of this page

CloudWatch Präferenz für Agenten-Anmeldeinformationen - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Präferenz für Agenten-Anmeldeinformationen

In diesem Abschnitt wird die Anbieterkette für Anmeldeinformationen beschrieben, die der CloudWatch Agent verwendet, um Anmeldeinformationen bei der Kommunikation mit anderen AWS Diensten und APIs abzurufen. Die Reihenfolge ist wie folgt:

Anmerkung

Die in den Ziffern zwei bis fünf aufgeführten Einstellungen entsprechen der im AWS SDK definierten Reihenfolge. Weitere Informationen finden Sie unter Angeben von Anmeldeinformationen in der SDK-Dokumentation.

  1. Gemeinsam genutzte Konfigurations- und Anmeldeinformationsdateien, wie sie in der CloudWatch common-config.toml Agentendatei definiert sind. Weitere Informationen finden Sie unter Installieren Sie den CloudWatch Agenten mit AWS Systems Manager.

  2. AWS SDK-Umgebungsvariablen

    Wichtig

    Wenn Sie unter Linux den CloudWatch Agenten mithilfe des amazon-cloudwatch-agent-ctl Skripts ausführen, startet das Skript den Agenten als systemd Dienst. In diesem Fall kann der Agent nicht auf Umgebungsvariablen wie HOME, AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY zugreifen.

  3. Gemeinsame Konfigurations- und Anmeldeinformationen finden Sie in $HOME/%USERPROFILE%

    Anmerkung

    Der CloudWatch Agent sucht .aws/credentials $HOME unter Linux und macOS nach in und %USERPROFILE% unter Windows. Diese Umgebungsvariablen werden in das Home-Verzeichnis des Benutzers aufgelöst, unter dem der Agent ausgeführt wird: root unter Linux und macOS (oder dem, run_as_user falls konfiguriert) und LocalSystem unter Windows.

    Im Gegensatz zum AWS SDK verfügt der CloudWatch Agent nicht über Fallback-Methoden, um das Home-Verzeichnis zu ermitteln, falls auf die Umgebungsvariablen nicht zugegriffen werden kann. Dieser Unterschied im Verhalten dient der Aufrechterhaltung der Abwärtskompatibilität mit früheren Implementierungen des AWS -SDK.

    Im Gegensatz zu den gemeinsamen Anmeldeinformationen in common-config.toml gilt: Wenn die AWS SDK-derived gemeinsamen Anmeldeinformationen ablaufen und rotiert werden, werden die erneuerten Anmeldeinformationen nicht automatisch vom CloudWatch Agenten übernommen und erfordern dazu einen Neustart des Agenten.

  4. Eine AWS Identity and Access Management Rolle für Aufgaben, wenn eine Anwendung vorhanden ist, die eine Amazon Elastic Container Service-Aufgabendefinition oder eine RunTask API-Operation verwendet.

  5. Ein einer Amazon EC2-Instance hinzugefügtes Instance-Profil.

Als bewährte Methode empfehlen wir, dass Sie die Anmeldeinformationen in der folgenden Reihenfolge angeben, wenn Sie den CloudWatch Agenten verwenden.

  1. Verwenden Sie IAM-Rollen für Aufgaben, wenn Ihre Anwendung eine Amazon Elastic Container Service-Aufgabendefinition oder eine RunTask API-Operation verwendet.

  2. Verwenden Sie IAM-Rollen, wenn Ihre Anwendung auf einer Amazon-EC2-Instance ausgeführt wird.

  3. Verwenden Sie die CloudWatch common-config.toml Agentendatei, um die Anmeldeinformationsdatei anzugeben. Diese Anmeldeinformationsdatei ist dieselbe, die von anderen AWS SDKs und dem AWS CLI verwendet wird. Wenn Sie bereits eine freigegebene Anmeldeinformationsdatei verwenden, können Sie diese Datei auch für diesen Zweck verwenden. Wenn Sie sie mithilfe der CloudWatch common-config.toml Agentendatei bereitstellen, stellen Sie sicher, dass der Agent nach Ablauf der Anmeldedaten rotiert und ersetzt, ohne dass Sie den Agenten neu starten müssen.

  4. Umgebungsvariablen verwenden. Das Festlegen von Umgebungsvariablen ist dann sinnvoll, wenn Sie auf einem anderen Computer als einer Amazon-EC2-Instance entwickeln.

Anmerkung

Wenn Sie Telemetriedaten an ein anderes Konto senden, wie unter beschriebenMetriken, Protokolle und Ablaufverfolgungen an ein anderes Konto senden, verwendet der CloudWatch Agent die in diesem Abschnitt beschriebene Anbieterkette für Anmeldeinformationen, um die ersten Anmeldeinformationen abzurufen. Anschließend verwendet er diese Anmeldeinformationen, wenn er die role_arn in der CloudWatch Agentenkonfigurationsdatei angegebene IAM-Rolle annimmt.