Erstellen Sie IAM-Rollen und -Benutzer für die Verwendung mit dem Agenten CloudWatch - Amazon CloudWatch
Erstellen Sie IAM-Rollen zur Verwendung mit dem CloudWatch Agenten auf Amazon-Instances EC2 Erstellen Sie IAM-Benutzer zur Verwendung mit dem CloudWatch Agenten auf lokalen Servern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie IAM-Rollen und -Benutzer für die Verwendung mit dem Agenten CloudWatch

Für den Zugriff auf AWS Ressourcen sind Genehmigungen erforderlich. Sie können IAM-Rollen und -Benutzer erstellen, die die Berechtigungen enthalten, die Sie für den CloudWatch Agenten zum Schreiben von Metriken CloudWatch und für die Kommunikation des CloudWatch Agenten mit Amazon EC2 und AWS Systems Manager benötigen. Sie verwenden IAM-Rollen auf EC2 Amazon-Instances und Sie verwenden IAM-Benutzer mit lokalen Servern.

Eine Rolle oder ein Benutzer ermöglicht es, den CloudWatch Agenten auf einem Server zu installieren und Metriken an diesen zu senden. CloudWatch Die andere Rolle oder der andere Benutzer wird benötigt, um Ihre CloudWatch Agentenkonfiguration im Systems Manager Parameter Store zu speichern. Der Parameterspeicher ermöglicht es mehreren Servern, eine CloudWatch Agentenkonfiguration zu verwenden.

Die Möglichkeit zum Schreiben von Daten in Parameter Store ist eine umfassende und mächtige Berechtigung. Sie sollten sie nur dann verwenden, wenn es wirklich nötig ist. Zudem darf sie nicht mehreren Instances in Ihrer Bereitstellung zugewiesen werden. Wenn Sie Ihre CloudWatch Agentenkonfiguration im Parameter Store speichern, empfehlen wir Folgendes:

  • Richten Sie eine Instance ein, in der Sie diese Konfiguration ausführen.

  • Verwenden Sie die IAM-Rolle mit Berechtigungen zum Schreiben zu Parameter Store nur auf dieser Instance.

  • Verwenden Sie die IAM-Rolle mit Schreibberechtigungen in den Parameter Store nur, während Sie mit der CloudWatch Agentenkonfigurationsdatei arbeiten und diese speichern.

Anmerkung

Wir haben die folgenden Verfahren kürzlich geändert, indem die neuen, von Amazon erstellten Richtlinien CloudWatchAgentServerPolicy und CloudWatchAgentAdminPolicy verwendet werden, anstatt dass Kunden diese Richtlinien selbst erstellen müssen. Damit die Agent-Konfigurationsdatei mithilfe dieser Richtlinien in Parameter Store geschrieben und dann von Parameter Store heruntergeladen werden kann, muss die Agent-Konfigurationsdatei einen Namen haben, der mit AmazonCloudWatch- beginnt. Wenn Sie über eine CloudWatch Agentenkonfigurationsdatei mit einem Dateinamen verfügen, der nicht mit beginntAmazonCloudWatch-, können diese Richtlinien nicht verwendet werden, um die Datei in den Parameter Store zu schreiben oder die Datei aus dem Parameter Store herunterzuladen.

Erstellen Sie IAM-Rollen zur Verwendung mit dem CloudWatch Agenten auf Amazon-Instances EC2

Das erste Verfahren erstellt die IAM-Rolle, die Sie jeder EC2 Amazon-Instance zuordnen müssen, auf der der CloudWatch Agent ausgeführt wird. Diese Rolle bietet Berechtigungen zum Lesen und Schreiben von Informationen aus der Instance. CloudWatch

Das zweite Verfahren erstellt die IAM-Rolle, die Sie der EC2 Amazon-Instance zuordnen müssen, die zur Erstellung der CloudWatch Agenten-Konfigurationsdatei verwendet wird. Dieser Schritt ist notwendig, wenn Sie diese Datei in Systems Manager Parameter Store speichern möchten, damit andere Server sie verwenden können. Diese Rolle bietet neben den Berechtigungen zum Lesen und Schreiben von Informationen aus der Instance auch Berechtigungen zum Schreiben in den Parameter Store. CloudWatch Diese Rolle umfasst ausreichende Berechtigungen, um den CloudWatch Agenten auszuführen und in den Parameter Store zu schreiben.

Anmerkung

Parameter Store unterstützt Parameter in den Stufen „Standard“ und „Advanced“. Diese Parameterschichten haben nichts mit den Detailstufen Basic, Standard und Advanced zu tun, die in den vordefinierten Metriksätzen des CloudWatch Agenten verfügbar sind.

Um die IAM-Rolle zu erstellen, die für jeden Server zur Ausführung des CloudWatch Agenten erforderlich ist

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen.

  3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  4. Wählen EC2Sie unmittelbar unter Allgemeine Anwendungsfälle die Option und anschließend Weiter: Berechtigungen aus.

  5. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  6. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben Amazon SSMManaged InstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.

  7. Wählen Sie Weiter: Tags aus.

  8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  9. Geben Sie unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B. CloudWatchAgentServerRole, oder einen anderen von Ihnen bevorzugten Namen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

  11. Bestätigen Sie dies CloudWatchAgentServerPolicyund optional SSMManaged InstanceCore wird Amazon neben Richtlinien angezeigt.

  12. Wählen Sie Rolle erstellen aus.

    Die Rolle wird jetzt erstellt.

In der folgenden Prozedur wird die IAM-Rolle erstellt, die auch in Parameter Store schreiben kann. Sie können diese Rolle verwenden, um die Agent-Konfigurationsdatei in Parameter Store zu speichern, sodass andere Server sie abrufen können.

Die Berechtigungen zum Schreiben in Parameter Store bieten umfassende Befugnisse. Diese Rolle darf nicht allen Ihren Servern zugewiesen werden. Sie darf nur von Administratoren verwendet werden. Nachdem Sie die Agentenkonfigurationsdatei erstellt und sie zu Parameter Store kopiert haben, sollten Sie diese Rolle von der Instance trennen und stattdessen CloudWatchAgentServerRole verwenden.

So erstellen Sie die IAM-Rolle für einen Administrator zum Schreiben in den Parameterspeicher

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen und dann Rolle erstellen.

  3. Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.

  4. Wählen Sie unmittelbar unter Wählen Sie den Dienst aus, der diese Rolle verwenden soll die Option EC2und anschließend Weiter: Berechtigungen aus.

  5. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentAdminPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  6. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben Amazon SSMManaged InstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.

  7. Wählen Sie Weiter: Tags aus.

  8. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  9. Geben Sie unter Role name (Rollenname) einen Namen für Ihre neue Rolle, wie z. B. CloudWatchAgentAdminRole, oder einen anderen von Ihnen bevorzugten Namen ein.

  10. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung ein.

  11. Bestätigen Sie dies CloudWatchAgentAdminPolicyund optional SSMManaged InstanceCore wird Amazon neben Richtlinien angezeigt.

  12. Wählen Sie Rolle erstellen aus.

    Die Rolle wird jetzt erstellt.

Erstellen Sie IAM-Benutzer zur Verwendung mit dem CloudWatch Agenten auf lokalen Servern

Das erste Verfahren erstellt den IAM-Benutzer, den Sie zum Ausführen des CloudWatch Agenten benötigen. Dieser Benutzer stellt Berechtigungen für das Senden von Daten an CloudWatch bereit.

Das zweite Verfahren erstellt den IAM-Benutzer, den Sie beim Erstellen der CloudWatch Agenten-Konfigurationsdatei verwenden können. Verwenden Sie dieses Verfahren, um in diese Datei in Systems Manager Parameter Store zu speichern, sodass andere Server sie verwenden können. Dieser Benutzer bietet zusätzlich zu den Berechtigungen zum Schreiben von Daten Berechtigungen zum Schreiben in den Parameter Store. CloudWatch

Anmerkung

Parameter Store unterstützt Parameter in den Stufen „Standard“ und „Advanced“. Diese Parameterschichten haben nichts mit den Detailebenen Basic, Standard und Advanced zu tun, die in den vordefinierten Metriksätzen von CloudWatch Agent verfügbar sind.

Um den IAM-Benutzer zu erstellen, in den der CloudWatch Agent Daten schreiben kann CloudWatch

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add User (Benutzer hinzufügen) aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an.

  4. Wählen Sie für Access type (Zugriffstyp) die Option Programmatic access (Programmgesteuerter Zugriff) und wählen Sie dann Next: Permissions (Nächster Schritt: Berechtigungen).

  5. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentServerPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kästchen neben Amazon SSMManaged InstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. (Verwenden Sie bei Bedarf das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.)

  8. Wählen Sie Weiter: Tags aus.

  9. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  10. Bestätigen Sie, dass die richtigen Richtlinien aufgelistet werden, und klicken Sie auf Create user (Benutzer erstellen).

  11. Wählen Sie in der Zeile für den neuen Benutzer die Option Show (Anzeigen). Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.

In der folgenden Prozedur wird der IAM-Benutzer erstellt, der auch in Parameter Store schreiben kann. Sie müssen diesen IAM-Benutzer verwenden, wenn Sie vorhaben, die Agentenkonfigurationsdatei in Parameter Store zu speichern. Dieser IAM-Benutzer bietet Berechtigungen zum Schreiben in Parameter Store. Dieser Benutzer bietet auch Berechtigungen zum Lesen von Informationen auf der Instanz und zum Schreiben in CloudWatch. Die Berechtigungen zum Schreiben in Systems Manager Parameter Store bieten umfassende Befugnisse. Dieser IAM-Benutzer darf nicht allen Ihren Servern zugewiesen werden. Er darf nur von Administratoren verwendet werden. Verwenden Sie diesen IAM-Benutzer nur, wenn Sie die Agent-Konfigurationsdatei in Parameter Store speichern.

Um den IAM-Benutzer zu erstellen, müssen Sie die Konfigurationsdatei im Parameter Store speichern und Informationen an senden CloudWatch

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Users (Benutzer) und dann Add User (Benutzer hinzufügen) aus.

  3. Geben Sie den Benutzernamen für den neuen Benutzer an.

  4. Wählen Sie für Access type (Zugriffstyp) die Option Programmatic access (Programmgesteuerter Zugriff) und wählen Sie dann Next: Permissions (Nächster Schritt: Berechtigungen).

  5. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus.

  6. Aktivieren Sie in der Liste der Richtlinien das Kontrollkästchen neben CloudWatchAgentAdminPolicy. Verwenden Sie ggf. das Suchfeld, um die Richtlinie zu finden.

  7. Um Systems Manager zur Installation oder Konfiguration des CloudWatch Agenten zu verwenden, aktivieren Sie das Kontrollkästchen neben Amazon SSMManaged InstanceCore. Diese AWS verwaltete Richtlinie ermöglicht es einer Instanz, die Kernfunktionen des Systems Manager Manager-Service zu verwenden. (Verwenden Sie bei Bedarf das Suchfeld, um die Richtlinie zu finden. Diese Richtlinie ist nicht erforderlich, wenn Sie den Agenten nur über die Befehlszeile starten und konfigurieren.)

  8. Wählen Sie Weiter: Tags aus.

  9. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, zu verfolgen oder zu steuern und wählen Sie dann Next: Review (Weiter: Prüfen) aus.

  10. Bestätigen Sie, dass die richtigen Richtlinien aufgelistet werden, und klicken Sie auf Create user (Benutzer erstellen).

  11. Wählen Sie in der Zeile für den neuen Benutzer die Option Show (Anzeigen). Kopieren Sie den Zugriffsschlüssel und den geheimen Schlüssel in eine Datei, damit Sie sie bei der Installation des Agenten verwenden können. Klicken Sie auf Schließen.