Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de l' CloudWatch agent avec un système Linux sécurisé (SELinux)
Si la sécurité renforcée par Linux (SELinux) est activée sur votre système, vous devez appliquer les politiques de sécurité appropriées pour garantir que l' CloudWatch agent s'exécute dans un domaine confiné.
## Conditions préalables
Avant de configurer SELinux pour l’agent, vérifiez que les **prérequis** suivants sont remplis :
**Pour remplir les conditions préalables à l'utilisation de l' CloudWatch agent avec SELinux**
1. Si ce n’est pas déjà fait, installez les packages de développement SELinux suivants :
```
sudo yum update
sudo yum install -y selinux-policy-devel policycoreutils-devel rpm-build git
```
1. Exécutez la commande suivante pour vérifier l’état de SELinux sur votre système :
```
sestatus
```
Exemple de sortie :
```
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Si vous constatez que SELinux est actuellement désactivé, procédez comme suit :
1. Ouvrez le fichier SELinux en saisissant la commande suivante :
```
sudo vi /etc/selinux/config
```
1. Définissez le paramètre `SELINUX` sur `permissive` ou `enforcing`. Par exemple :
```
SELINUX=enforcing
```
1. Enregistrez le fichier et redémarrez le système pour appliquer les modifications.
```
sudo reboot
```
1. Assurez-vous que l' CloudWatch agent fonctionne en tant que `systemd` service. Cela est nécessaire pour qu’il puisse fonctionner dans un domaine SELinux confiné.
```
sudo systemctl status amazon-cloudwatch-agent
```
Si l’agent est correctement configuré, la sortie doit indiquer qu’il est `active (running)` et `enabled` au démarrage.
## Configuration de SELinux pour l’agent
Une fois les prérequis terminés, vous pouvez configurer SELinux.
**Pour configurer SELinux pour l'agent CloudWatch**
1. Clonez la politique SELinux pour l' CloudWatch agent en saisissant la commande suivante :
```
git clone https://github.com/aws/amazon-cloudwatch-agent-selinux.git
```
1. Accédez au référentiel cloné, puis mettez à jour les autorisations du script en saisissant les commandes suivantes :
```
cd amazon-cloudwatch-agent-selinux
chmod +x amazon_cloudwatch_agent.sh
```
1. Utilisez `sudo` pour exécuter le script d’installation de la politique SELinux en saisissant la commande suivante. Pendant l’exécution, le script vous invite à saisir `y` ou `n` pour autoriser le redémarrage automatique. Ce redémarrage garantit que l’agent passe dans le domaine SELinux correct.
```
sudo ./amazon_cloudwatch_agent.sh
```
1. Si l' CloudWatch agent n'a pas encore été redémarré, redémarrez-le pour vous assurer qu'il passe au domaine SELinux approprié :
```
sudo systemctl restart amazon-cloudwatch-agent
```
1. Vérifiez que CloudWatch l'agent est en cours d'exécution dans le domaine confiné en saisissant la commande suivante :
```
ps -efZ | grep amazon-cloudwatch-agent
```
Si l'agent est correctement confiné, la sortie doit indiquer un SELinux-confined domaine au lieu de`unconfined_service_t`.
Voici un exemple de sortie lorsque l’agent est correctement confiné.
```
system_u:system_r:confined_t:s0 root 1234 1 0 12:00 ? 00:00:10 /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent
```
Une fois SELinux configuré, vous pouvez procéder à la configuration de l’agent afin qu’il collecte les métriques, les journaux et les suivis. Pour de plus amples informations, veuillez consulter [Création ou modification manuelle du fichier de configuration de CloudWatch l'agent](CloudWatch-Agent-Configuration-File-Details.md).