Requisitos previos - Amazon CloudWatch
Roles y usuarios de IAM para el agente de CloudWatchRequisitos de red

Requisitos previos

Asegúrese de que los siguientes requisitos previos estén completados antes de instalar el agente de CloudWatch por primera vez.

Roles y usuarios de IAM para el agente de CloudWatch

Para obtener acceso a los recursos de AWS se necesitan permisos. Puede crear un rol de IAM, un usuario de IAM o ambos para conceder permisos que el agente de CloudWatch necesita para registrar métricas en CloudWatch.

Crear un rol de IAM para las instancias de Amazon EC2

Si va a ejecutar el agente de CloudWatch en instancias de Amazon EC2, cree un rol de IAM con los permisos necesarios.

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles y, a continuación, Crear rol.

  3. Asegúrese de que el servicio de AWS esté seleccionado en Trusted entity type (Tipo de entidad de confianza).

  4. En Caso de uso, elija EC2 bajo Casos de uso comunes.

  5. Elija Siguiente.

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. Elija Siguiente.

  8. En Nombre del rol, ingrese un nombre para su rol, por ejemplo, CloudWatchAgentServerRole. Si lo desea, proporcione una descripción. A continuación, elija Crear rol.

(Opcional) Si el agente va a enviar registros a CloudWatch Logs y desea que el agente pueda establecer políticas de retención para estos grupos de registros, debe agregar el permiso logs:PutRetentionPolicy al rol.

Crear un usuario de IAM para los servidores en las instalaciones

Si va a ejecutar el agente de CloudWatch en servidores en las instalaciones, cree un usuario de IAM con los permisos necesarios.

nota

En este escenario, se requieren usuarios de IAM con acceso programático y credenciales de larga duración, lo que supone un riesgo de seguridad. Para ayudar a mitigar este riesgo, le recomendamos que brinde a estos usuarios únicamente los permisos que necesitan para realizar la tarea y que los elimine cuando ya no los necesiten.

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Usuarios y, a continuación, Agregar usuarios.

  3. Escriba el nombre de usuario del nuevo usuario.

  4. Seleccione Answer key - Programmatic access (Clave de acceso: acceso mediante programación) y elija Next: Permissions (Siguiente: permisos).

  5. Elija Asociar políticas existentes directamente.

  6. En la lista de políticas, seleccione la casilla junto a CloudWatchAgentServerPolicy. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

  7. Elija Siguiente: etiquetas.

  8. Si así lo desea, cree etiquetas para el nuevo IAM y, a continuación, elija Siguiente: revisar.

  9. Confirme que se muestra la política correcta y elija Create user (Crear usuario).

  10. Junto al nombre del usuario nuevo, elija Show. Copie la clave de acceso y la clave secreta en un archivo para que pueda usarlas al instalar el agente. Seleccione Cerrar.

Adjuntar un rol de IAM a una instancia de Amazon EC2

Para que el agente de CloudWatch pueda enviar datos desde una instancia de Amazon EC2, debe adjuntar un rol de IAM que haya creado a la instancia.

Para más información sobre cómo adjuntar un rol de IAM a una instancia, consulte Adjuntar un rol de IAM a una instancia en la Guía del usuario de Amazon EC2.

Permitir que el agente de CloudWatch establezca la política de retención de registros

Puede configurar el agente de CloudWatch de manera que establezca la política de retención de los grupos de registros a los cuales envía eventos de registro. Si hace esto, debe conceder la logs:PutRetentionPolicy al rol o el usuario de IAM que utiliza el agente. El agente utiliza un rol de IAM para ejecutarlo en las instancias de Amazon EC2 y un usuario de IAM para los servidores en las instalaciones.

Para conceder al rol de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros

  1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Roles.

  3. En el cuadro de búsqueda, escriba el principio del nombre del rol de IAM del agente de CloudWatch. Eligió este nombre cuando creó el rol. Podría llamarse CloudWatchAgentServerRole.

    Cuando vea el rol, elija su nombre.

  4. En la pestaña Permissions (Permisos), elija Add permissions (Agregar permisos) y, luego, Create inline policy (Crear política insertada).

  5. Elija la pestaña JSON y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Elija Revisar política.

  7. Para Name (Nombre), ingrese CloudWatchAgentPutLogsRetention o algo similar, y elija Create policy (Crear política).

Para conceder al usuario de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, elija Usuarios.

  3. En el cuadro de búsqueda, escriba el principio del nombre del usuario de IAM del agente de CloudWatch. Eligió este nombre cuando creó el usuario.

    Cuando vea al usuario, elija su nombre.

  4. En la pestaña Permissions (Permisos), elija Add inline policy (Añadir política insertada).

  5. Elija la pestaña JSON y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Elija Revisar política.

  7. Para Name (Nombre), ingrese CloudWatchAgentPutLogsRetention o algo similar, y elija Create policy (Crear política).

Requisitos de red

nota

Cuando el servidor esté en una subred pública, asegúrese de que haya acceso a una puerta de enlace de Internet. Cuando el servidor se encuentra en una subred privada, se accede a través de las puertas de enlace de NAT o del punto de conexión de VPC. Para más información sobre las puertas de enlace de NAT, consulte https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html.

Las instancias de Amazon EC2 deben tener acceso a Internet de subida para poder enviar datos a CloudWatch o a CloudWatch Logs. Para obtener más información acerca de cómo configurar el acceso a Internet, consulte Puertas de enlace de Internet en la Guía del usuario de Amazon VPC.

Uso de puntos de conexión de VPC

Si utiliza una VPC y quiere utilizar el agente de CloudWatch sin acceso público a Internet, puede configurar los puntos de conexión de VPC para CloudWatch y CloudWatch Logs.

Los puntos de enlace y los puertos para configurar en su proxy son los siguientes:

  • Si va a utilizar el agente para recopilar métricas, debe añadir a la lista de permitidos los puntos de enlace de CloudWatch para las regiones apropiadas. Estos puntos de conexión se enumeran en los puntos de conexión y las cuotas de Amazon CloudWatch.

  • Si va a utilizar el agente para recopilar registros, debe añadir a la lista de permitidos los puntos de enlace de CloudWatch para las regiones apropiadas. Estos puntos de conexión se enumeran en los puntos de conexión y las cuotas de Registros de Amazon CloudWatch.

  • Si va a utilizar el Systems Manager para instalar el agente o el almacén de parámetros para almacenar el archivo de configuración, debe añadir a la lista de permitidos los puntos de enlace del Systems Manager para las regiones apropiadas. Estos puntos de conexión se muestran en Puntos de conexión de AWS Systems Manager.