Cree roles de IAM y usuarios para utilizarlos con el agente de CloudWatch - Amazon CloudWatch
Permitir que el agente de CloudWatch establezca la política de retención de registros

Cree roles de IAM y usuarios para utilizarlos con el agente de CloudWatch

Para obtener acceso a los recursos de AWS se necesitan permisos. Puede crear un rol de IAM, un usuario de IAM o ambos para conceder permisos que el agente de CloudWatch necesita para registrar métricas en CloudWatch. Si va a utilizar el agente en instancias de Amazon EC2, debe crear un rol de IAM. Si va a utilizar el agente servidores en las instalaciones, debe crear un usuario de IAM.

nota

Recientemente, modificamos los siguientes procedimientos con las nuevas políticas CloudWatchAgentServerPolicy y CloudWatchAgentAdminPolicy creadas por Amazon en lugar de pedir a los clientes que creen estas políticas ellos mismos. Para registrar archivos y descargar archivos desde el almacén de parámetros, las políticas que Amazon ha creado solo admiten archivos con nombres que comiencen con AmazonCloudWatch-. Si tiene un archivo de configuración del agente de CloudWatch con un nombre de archivo que no empieza con AmazonCloudWatch-, estas políticas no se pueden utilizar para registrar el archivo en el almacén de parámetros o descargarlo de allí.

Si va a ejecutar el agente de CloudWatch en instancias de Amazon EC2, siga estos pasos para crear el rol de IAM necesario. Este rol proporciona permisos para leer información de la instancia y registrarla en CloudWatch.

Para crear el rol de IAM necesario para ejecutar el agente de CloudWatch en las instancias EC2

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, seleccione Roles y, a continuación, seleccione Create Role (Crear roles).

  3. Asegúrese de que el servicio de AWS esté seleccionado en Trusted entity type (Tipo de entidad de confianza).

  4. Para Use case (Caso de uso), elija EC2 bajo el título Common use cases (Casos de uso comunes).

  5. Elija Siguiente.

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. (Opcional) Si el agente envía registros de seguimiento a X-Ray, también debe asignar el rol a la política AWSXRayDaemonWriteAccess. Para ello, busque la política en la lista y active la casilla de verificación que hay al lado.

  8. Elija Siguiente.

  9. En Role name (Nombre del rol), escriba el nombre del rol, como CloudWatchAgentServerRole. Si lo desea, proporcione una descripción. A continuación, elija Crear rol.

    Se crea el rol.

  10. (Opcional) Si el agente va a enviar registros a CloudWatch Logs y desea que el agente pueda establecer políticas de retención para estos grupos de registros, debe agregar el permiso logs:PutRetentionPolicy al rol. Para obtener más información, consulte Permitir que el agente de CloudWatch establezca la política de retención de registros.

Si va a ejecutar el agente de CloudWatch en servidores en las instalaciones, siga estos pasos para crear el usuario de IAM necesario.

aviso

En este escenario, se requieren usuarios de IAM con acceso programático y credenciales de larga duración, lo que supone un riesgo de seguridad. Para ayudar a mitigar este riesgo, le recomendamos que brinde a estos usuarios únicamente los permisos que necesitan para realizar la tarea y que los elimine cuando ya no los necesiten. Las claves de acceso se pueden actualizar si es necesario. Para más información consulte Actualización de las claves de acceso en la Guía de usuario de IAM.

Para crear el usuario de IAM necesario para que el agente de CloudWatch se ejecute en servidores en las instalaciones

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Users (Usuarios) y, luego, Add users (Agregar usuarios).

  3. Escriba el nombre de usuario del nuevo usuario.

  4. Seleccione Answer key - Programmatic access (Clave de acceso: acceso mediante programación) y elija Next: Permissions (Siguiente: permisos).

  5. Elija Asociar políticas existentes directamente.

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. (Opcional) Si el agente va a rastrear a X-Ray, también debe asignar a la función la política AWSXRayDaemonWriteAccess. Para ello, busque la política en la lista y active la casilla de verificación que hay al lado.

  8. Elija Siguiente: etiquetas.

  9. Si así lo desea, cree etiquetas para el nuevo usuario de IAM y, a continuación, elija Next: Review (Siguiente: revisar).

  10. Confirme que se muestra la política correcta y elija Create user (Crear usuario).

  11. Junto al nombre del usuario nuevo, elija Show. Copie la clave de acceso y la clave secreta en un archivo para que pueda usarlas al instalar el agente. Seleccione Cerrar.

Permitir que el agente de CloudWatch establezca la política de retención de registros

Puede configurar el agente de CloudWatch de manera que establezca la política de retención de los grupos de registros a los cuales envía eventos de registro. Si hace esto, debe conceder la logs:PutRetentionPolicy al rol o el usuario de IAM que utiliza el agente. El agente utiliza un rol de IAM para ejecutarlo en las instancias de Amazon EC2 y un usuario de IAM para los servidores en las instalaciones.

Para conceder al rol de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Roles.

  3. En el cuadro de búsqueda, escriba el principio del nombre del rol de IAM del agente de CloudWatch. Eligió este nombre cuando creó el rol. Podría llamarse CloudWatchAgentServerRole.

    Cuando vea el rol, elija su nombre.

  4. En la pestaña Permissions (Permisos), elija Add permissions (Agregar permisos) y, luego, Create inline policy (Crear política insertada).

  5. Elija la pestaña JSON y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Elija Revisar política.

  7. Para Name (Nombre), ingrese CloudWatchAgentPutLogsRetention o algo similar, y elija Create policy (Crear política).

Para conceder al usuario de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Usuarios.

  3. En el cuadro de búsqueda, escriba el principio del nombre del usuario de IAM del agente de CloudWatch. Eligió este nombre cuando creó el usuario.

    Cuando vea al usuario, elija su nombre.

  4. En la pestaña Permissions (Permisos), elija Add inline policy (Añadir política insertada).

  5. Elija la pestaña JSON y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Elija Revisar política.

  7. Para Name (Nombre), ingrese CloudWatchAgentPutLogsRetention o algo similar, y elija Create policy (Crear política).