Cómo agregar CloudWatch manualmente como origen de datos - Amazon Managed Grafana
Configuración de CloudWatch

Cómo agregar CloudWatch manualmente como origen de datos

Cómo agregar manualmente el origen de datos de CloudWatch

  1. En el menú lateral de la consola de Grafana, coloque el cursor sobre el icono Configuración (engranaje) y, a continuación, seleccione Orígenes de datos.

  2. Elija Agregar origen de datos.

  3. Elija el origen de datos de CloudWatch. Si es necesario, puede empezar a escribir CloudWatch en el cuadro de búsqueda para ayudarlo a encontrarlo.

Configuración de CloudWatch

Se aplican las siguientes configuraciones de CloudWatch.

Nombre

Descripción

Name

El nombre del origen de datos. Así es como se ve el origen de datos en los paneles y las consultas.

Default

Designa el origen de datos que se preseleccionará para los nuevos paneles.

Default Region

Establezca la región en el editor de consultas. Se puede cambiar por consulta.

Namespaces of Custom Metrics

Especifica los espacios de nombres de CloudWatch de las métricas personalizadas. Puede incluir varios espacios de nombres, separados por comas.

Auth Provider

Especifica el proveedor para obtener las credenciales.

Assume Role Arn

Especifica el Nombre de recurso de Amazon (ARN) del rol que se asumirá.

External ID

(Opcional) Especifica el ID externo. Utilícelo si asume un rol en otra Cuenta de AWS que se ha creado con un ID externo.

Timeout

Configure el tiempo de espera específicamente para las consultas de Registros de CloudWatch.

X-Ray trace links

Para agregar enlaces automáticamente a los registros cuando el registro contenga el campo @xrayTraceId, enlace un origen de datos de X-Ray en la sección Enlace de rastro de X-Ray de la configuración del origen de datos. Ya debe tener configurado un origen de datos de X-Ray.

Autenticación

Para habilitar la autenticación entre Amazon Managed Grafana y CloudWatch, puede utilizar la consola de Amazon Managed Grafana para crear rápidamente las políticas y los permisos necesarios. Como alternativa, puede configurar manualmente la autenticación utilizando algunos de los mismos métodos que utilizaría en un servidor de Grafana autoadministrado.

Para usar la configuración del origen de datos de Amazon Managed Grafana para configurar rápidamente las políticas, siga los pasos que se indican en Uso de la configuración del origen de datos de AWS para agregar CloudWatch como origen de datos.

Para configurar los permisos manualmente, utilice uno de los métodos que se describen en la siguiente sección.

AWSCredenciales de

Hay tres métodos de autenticación diferentes disponibles.

  • SDK predeterminado de AWS: utiliza los permisos definidos en el rol asociado a su espacio de trabajo. Para obtener más información, consulte Permisos administrados por el cliente.

  • Clave de acceso y secreta: se corresponde con StaticProvider de AWS SDK para Go. Utiliza el ID de clave de acceso y la clave secreta que se proporcionan para autenticarse. Este método no tiene ninguna alternativa y generará un error si el par de claves proporcionado no funciona.

Roles de IAM

Actualmente, todo el acceso a CloudWatch se lleva a cabo desde el servidor mediante el backend de Grafana con el SDK de AWS oficial. Si elige el método de autenticación SDK predeterminado de AWS y su servidor de Grafana se ejecuta en AWS, puede usar los roles de IAM para gestionar la autenticación automáticamente.

Para obtener más información, consulte Roles de IAM.

Políticas de IAM

Grafana necesita permisos otorgados a través de IAM para poder leer las métricas de CloudWatch y las etiquetas, instancias y regiones de EC2. Puede adjuntar estos permisos a los roles de IAM y utilizar la compatibilidad integrada de Grafana para asumir roles.

En el siguiente código de ejemplo se muestra una política mínima.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowReadingMetricsFromCloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetInsightRuleReport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadingLogsFromCloudWatch",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:GetLogGroupFields",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:GetQueryResults",
                "logs:GetLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadingTagsInstancesRegionsFromEC2",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeTags",
                "ec2:DescribeInstances",
                "ec2:DescribeRegions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadingResourcesForTags",
            "Effect": "Allow",
            "Action": "tag:GetResources",
            "Resource": "*"
        },
        {
            "Sid": "AllowReadingAcrossAccounts",
            "Effect": "Allow",
            "Action": [
                "oam:ListSinks",
                "oam:ListAttachedLinks"
            ],
            "Resource": "*"
        }
    ]
}

Adopción de un rol

El campo Assume Role ARN le permite especificar qué rol de IAM quiere asumir, en caso de que lo haya. Si lo deja en blanco, las credenciales proporcionadas se utilizan directamente y el rol o usuario asociado debe tener los permisos necesarios. Si este campo no está en blanco, las credenciales proporcionadas se utilizan para efectuar una llamada sts:AssumeRole.