Préférences en matière d’informations d’identification de l’agent CloudWatch
Cette section décrit la chaîne de fournisseurs d’informations d’identification utilisée par l’agent CloudWatch pour obtenir des informations d’identification lors de la communication avec d’autres services et API AWS. L’ordre de priorité est le suivant :
Note
Les préférences répertoriées aux numéros deux à cinq correspondent à l’ordre de préférence défini dans le kit SDK AWS. Pour plus d’informations, consultez Spécification des informations d’identification dans la documentation du kit SDK.
-
Fichiers de configuration et d’informations d’identification partagés tels que définis dans le fichier
common-config.tomlde l’agent CloudWatch. Pour de plus amples informations, consultez Installation de l’agent CloudWatch à l’aide de AWS Systems Manager. -
Variables d’environnement du kit SDK AWS
Important
Sous Linux, si vous exécutez l’agent CloudWatch à l’aide du script
amazon-cloudwatch-agent-ctl, celui-ci démarre l’agent en tant que servicesystemd. Dans ce cas, les variables d’environnement telles queHOME,AWS_ACCESS_KEY_IDetAWS_SECRET_ACCESS_KEYne sont pas accessibles par l’agent. -
Fichiers de configuration et d’informations d’identification partagés trouvés dans
$HOME/%USERPROFILE%Note
L’agent CloudWatch recherche
.aws/credentialsdans$HOMEpour Linux et MacOS, et dans%USERPROFILE%pour Windows. Contrairement au kit SDK AWS, l’agent CloudWatch ne dispose pas de mécanismes de secours pour déterminer le répertoire personnel si ces variables d’environnement ne sont pas accessibles. Cette différence de comportement permet de préserver la compatibilité ascendante avec les implémentations antérieures du kit SDK AWS.De plus, contrairement aux informations d’identification partagées trouvées dans
common-config.toml, si les informations d’identification partagées dérivées du kit SDK AWS expirent et sont renouvelées, les informations d’identification renouvelées ne sont pas automatiquement récupérées par l’agent CloudWatch et nécessitent un redémarrage de l’agent pour ce faire. -
Un rôle AWS Identity and Access Management pour les tâches doit être utilisé lorsqu’une application s’exécute à partir d’une définition de tâche Amazon Elastic Container ou lorsqu’elle est lancée à l’aide de l’opération d’API RunTask.
-
Un profil d'instance IAM attaché à une instance Amazon EC2
Comme bonne pratique, nous vous recommandons de spécifier les informations d’identification dans l’ordre suivant lorsque vous utilisez l’agent CloudWatch.
-
Utilisez des rôles IAM pour les tâches si votre application utilise une définition de tâche Amazon Elastic Container Service ou l’API RunTask.
-
Utilisez des rôles IAM si votre application s’exécute sur une instance Amazon EC2.
-
Utilisez le fichier
common-config.tomlde l’agent CloudWatch pour spécifier le fichier d’informations d’identification. Ce fichier d’informations d’identification est le même que celui utilisé par les autres kits SDK AWS et la AWS CLI. Si vous utilisez déjà un fichier d’informations d’identification partagées, vous pouvez utiliser ce fichier à cette fin. Si vous les fournissez à l’aide du fichiercommon-config.tomlde l’agent CloudWatch, vous vous assurez que l’agent utilisera les informations d’identification modifiées lorsqu’elles expireront et qu’elles seront remplacées sans que vous ayez à redémarrer l’agent. -
Utiliser des variables d’environnement. La définition de variables d’environnement est utile si vous effectuez des tâches de développement sur un ordinateur autre qu’une instance Amazon EC2.
Note
Si vous envoyez des données de télémétrie à un autre compte, comme expliqué dans Envoi de métriques, de journaux et de traces à un autre compte, l’agent CloudWatch utilise la chaîne de fournisseurs d’informations d’identification décrite dans cette section pour obtenir le jeu initial d’informations d’identification. Il utilise ensuite ces informations d’identification lorsqu’il assume le rôle IAM spécifié par role_arn dans le fichier de configuration de l’agent CloudWatch.
