# Requisitos previos
<a name="prerequisites"></a>

Asegúrese de que los siguientes requisitos previos estén completados antes de instalar el agente de CloudWatch por primera vez.

## Roles y usuarios de IAM para el agente de CloudWatch
<a name="iam-setup"></a>

Para obtener acceso a los recursos de AWS se necesitan permisos. Puede crear un rol de IAM, un usuario de IAM o ambos para conceder permisos que el agente de CloudWatch necesita para registrar métricas en CloudWatch.

### Crear un rol de IAM para las instancias de Amazon EC2
<a name="iam-role-ec2"></a>

Si va a ejecutar el agente de CloudWatch en instancias de Amazon EC2, cree un rol de IAM con los permisos necesarios.

1. Inicie sesión en AWS Management Console y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Roles** y, a continuación, **Crear rol**.

1. Asegúrese de que el **servicio de AWS** esté seleccionado en **Trusted entity type** (Tipo de entidad de confianza).

1. En **Caso de uso**, elija **EC2** bajo **Casos de uso comunes**.

1. Elija **Siguiente**.

1. En la lista de políticas, seleccione la casilla junto a **CloudWatchAgentServerPolicy**. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

1. Elija **Siguiente**.

1. En **Nombre del rol**, ingrese un nombre para su rol, por ejemplo, `CloudWatchAgentServerRole`. Si lo desea, proporcione una descripción. A continuación, elija **Crear rol**.

(Opcional) Si el agente va a enviar registros a CloudWatch Logs y desea que el agente pueda establecer políticas de retención para estos grupos de registros, debe agregar el permiso `logs:PutRetentionPolicy` al rol.

### Crear un usuario de IAM para los servidores en las instalaciones
<a name="iam-user-onprem"></a>

Si va a ejecutar el agente de CloudWatch en servidores en las instalaciones, cree un usuario de IAM con los permisos necesarios.

**nota**  
En este escenario, se requieren usuarios de IAM con acceso programático y credenciales de larga duración, lo que supone un riesgo de seguridad. Para ayudar a mitigar este riesgo, le recomendamos que brinde a estos usuarios únicamente los permisos que necesitan para realizar la tarea y que los elimine cuando ya no los necesiten.

1. Inicie sesión en AWS Management Console y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Usuarios** y, a continuación, **Agregar usuarios**.

1. Escriba el nombre de usuario del nuevo usuario.

1. Seleccione **Answer key - Programmatic access** (Clave de acceso: acceso mediante programación) y elija **Next: Permissions** (Siguiente: permisos).

1. Elija **Asociar políticas existentes directamente**.

1. En la lista de políticas, seleccione la casilla junto a **CloudWatchAgentServerPolicy**. Si es necesario, utilice el cuadro de búsqueda para encontrar la política.

1. Elija **Siguiente: etiquetas**.

1. Si así lo desea, cree etiquetas para el nuevo IAM y, a continuación, elija **Siguiente: revisar**.

1. Confirme que se muestra la política correcta y elija **Create user** (Crear usuario).

1. Junto al nombre del usuario nuevo, elija **Show**. Copie la clave de acceso y la clave secreta en un archivo para que pueda usarlas al instalar el agente. Seleccione **Cerrar**.

### Adjuntar un rol de IAM a una instancia de Amazon EC2
<a name="attach-iam-role"></a>

Para que el agente de CloudWatch pueda enviar datos desde una instancia de Amazon EC2, debe adjuntar un rol de IAM que haya creado a la instancia.

Para obtener más información sobre cómo adjuntar un rol de IAM a una instancia, consulte [Adjuntar un rol de IAM a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) en la Guía del usuario de Amazon Elastic Compute Cloud.

### Permitir que el agente de CloudWatch establezca la política de retención de registros
<a name="CloudWatch-Agent-PutLogRetention"></a>

Puede configurar el agente de CloudWatch de manera que establezca la política de retención de los grupos de registros a los cuales envía eventos de registro. Si hace esto, debe conceder la `logs:PutRetentionPolicy` al rol o el usuario de IAM que utiliza el agente. El agente utiliza un rol de IAM para ejecutarlo en las instancias de Amazon EC2 y un usuario de IAM para los servidores en las instalaciones.

**Para conceder al rol de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación izquierdo, elija **Roles**.

1. En el cuadro de búsqueda, escriba el principio del nombre del rol de IAM del agente de CloudWatch. Eligió este nombre cuando creó el rol. Podría llamarse `CloudWatchAgentServerRole`.

   Cuando vea el rol, elija su nombre.

1. En la pestaña **Permissions** (Permisos), elija **Add permissions** (Agregar permisos) y, luego, **Create inline policy** (Crear política insertada).

1. Elija la pestaña **JSON** y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. Elija **Revisar política**.

1. Para **Name** (Nombre), ingrese **CloudWatchAgentPutLogsRetention** o algo similar, y elija **Create policy** (Crear política).

**Para conceder al usuario de IAM del agente de CloudWatch permiso para establecer políticas de retención de registros**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación izquierdo, elija **Usuarios**.

1. En el cuadro de búsqueda, escriba el principio del nombre del usuario de IAM del agente de CloudWatch. Eligió este nombre cuando creó el usuario.

   Cuando vea al usuario, elija su nombre.

1. En la pestaña **Permissions** (Permisos), elija **Add inline policy** (Añadir política insertada).

1. Elija la pestaña **JSON** y copie la siguiente política en el cuadro, de manera que se reemplaza el JSON predeterminado del cuadro:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. Elija **Revisar política**.

1. Para **Name** (Nombre), ingrese **CloudWatchAgentPutLogsRetention** o algo similar, y elija **Create policy** (Crear política).

## Requisitos de red
<a name="network-requirements"></a>

**nota**  
Cuando el servidor esté en una subred pública, asegúrese de que haya acceso a una puerta de enlace de Internet. Cuando el servidor se encuentra en una subred privada, se accede a través de las puertas de enlace de NAT o del punto de conexión de VPC. Para más información sobre las puertas de enlace de NAT, consulte [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).

Las instancias de Amazon EC2 deben tener acceso a Internet de subida para poder enviar datos a CloudWatch o a CloudWatch Logs. Para obtener más información acerca de cómo configurar el acceso a Internet, consulte [Puertas de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) en la Guía del usuario de Amazon VPC.

### Uso de puntos de conexión de VPC
<a name="vpc-endpoints"></a>

Si utiliza una VPC y quiere utilizar el agente de CloudWatch sin acceso público a Internet, puede configurar los puntos de conexión de VPC para CloudWatch y CloudWatch Logs.

Los puntos de enlace y los puertos para configurar en su proxy son los siguientes:
+ Si va a utilizar el agente para recopilar métricas, debe añadir a la lista de permitidos los puntos de enlace de CloudWatch para las regiones apropiadas. Estos puntos de conexión se enumeran en los [puntos de conexión y las cuotas de Amazon CloudWatch.](https://docs.aws.amazon.com/general/latest/gr/cw_region.html)
+ Si va a utilizar el agente para recopilar registros, debe añadir a la lista de permitidos los puntos de enlace de CloudWatch para las regiones apropiadas. Estos puntos de conexión se enumeran en los [puntos de conexión y las cuotas de Registros de Amazon CloudWatch](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
+ Si va a utilizar el Systems Manager para instalar el agente o el almacén de parámetros para almacenar el archivo de configuración, debe añadir a la lista de permitidos los puntos de enlace del Systems Manager para las regiones apropiadas. Estos puntos de conexión se muestran en [Puntos de conexión de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).