CloudWatch Präferenz für Agenten-Anmeldeinformationen - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Präferenz für Agenten-Anmeldeinformationen

In diesem Abschnitt wird die Anbieterkette für Anmeldeinformationen beschrieben, die der CloudWatch Agent verwendet, um Anmeldeinformationen zu erhalten, wenn er mit anderen AWS Diensten kommuniziert und APIs. Die Reihenfolge ist wie folgt:

Anmerkung

Die in den Ziffern zwei bis fünf aufgeführten Einstellungen entsprechen der im AWS SDK definierten Reihenfolge. Weitere Informationen finden Sie unter Angeben von Anmeldeinformationen in der SDK-Dokumentation.

  1. Gemeinsam genutzte Konfigurations- und Anmeldeinformationsdateien, wie sie in der CloudWatch common-config.toml Agentendatei definiert sind. Weitere Informationen finden Sie unter Installieren Sie den CloudWatch Agenten mit AWS Systems Manager.

  2. AWS SDK-Umgebungsvariablen

    Wichtig

    Wenn Sie unter Linux den CloudWatch Agenten mithilfe des amazon-cloudwatch-agent-ctl Skripts ausführen, startet das Skript den Agenten als systemd Dienst. In diesem Fall kann der Agent nicht auf Umgebungsvariablen wie HOME, AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY zugreifen.

  3. Gemeinsame Konfigurations- und Anmeldeinformationen finden Sie in $HOME/%USERPROFILE%

    Anmerkung

    Der CloudWatch Agent sucht nach .aws/credentials in $HOME für Linux und macOS und sucht %USERPROFILE% nach Windows. Im Gegensatz zum AWS SDK verfügt der CloudWatch Agent nicht über Fallback-Methoden, um das Home-Verzeichnis zu ermitteln, falls auf die Umgebungsvariablen nicht zugegriffen werden kann. Dieser Unterschied im Verhalten besteht darin, die Abwärtskompatibilität mit früheren Implementierungen des SDK aufrechtzuerhalten. AWS

    Wenn die vom AWS SDK abgeleiteten gemeinsamen Anmeldeinformationen ablaufen und rotiert werdencommon-config.toml, werden die erneuerten Anmeldeinformationen im Gegensatz zu den gemeinsamen Anmeldeinformationen in außerdem nicht automatisch vom CloudWatch Agenten übernommen und erfordern dazu einen Neustart des Agenten.

  4. Eine AWS Identity and Access Management Rolle für Aufgaben, wenn eine Anwendung vorhanden ist, die eine Amazon Elastic Container Service-Aufgabendefinition oder eine RunTask API-Operation verwendet.

  5. Ein Instance-Profil, das an eine EC2 Amazon-Instance angehängt ist.

Als bewährte Methode empfehlen wir, dass Sie die Anmeldeinformationen in der folgenden Reihenfolge angeben, wenn Sie den CloudWatch Agenten verwenden.

  1. Verwenden Sie IAM-Rollen für Aufgaben, wenn Ihre Anwendung eine Amazon Elastic Container Service-Aufgabendefinition oder eine RunTask API-Operation verwendet.

  2. Verwenden Sie IAM-Rollen, wenn Ihre Anwendung auf einer EC2 Amazon-Instance ausgeführt wird.

  3. Verwenden Sie die CloudWatch common-config.toml Agentendatei, um die Anmeldeinformationsdatei anzugeben. Diese Anmeldeinformationsdatei ist dieselbe, die von other AWS SDKs und der verwendet wird AWS CLI. Wenn Sie bereits eine freigegebene Anmeldeinformationsdatei verwenden, können Sie diese Datei auch für diesen Zweck verwenden. Wenn Sie sie mithilfe der CloudWatch common-config.toml Agentendatei bereitstellen, stellen Sie sicher, dass der Agent die Anmeldeinformationen nach deren Ablauf rotiert und ersetzt, ohne dass Sie den Agenten neu starten müssen.

  4. Umgebungsvariablen verwenden. Das Setzen von Umgebungsvariablen ist nützlich, wenn Sie Entwicklungsarbeiten auf einem anderen Computer als einer EC2 Amazon-Instance durchführen.

Anmerkung

Wenn Sie Telemetriedaten an ein anderes Konto senden, wie unter beschriebenMetriken, Protokolle und Ablaufverfolgungen an ein anderes Konto senden, verwendet der CloudWatch Agent die in diesem Abschnitt beschriebene Anbieterkette für Anmeldeinformationen, um die ersten Anmeldeinformationen abzurufen. Anschließend verwendet er diese Anmeldeinformationen, wenn er die role_arn in der CloudWatch Agentenkonfigurationsdatei angegebene IAM-Rolle annimmt.