Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Vérification des conditions requises pour Container Insights dans CloudWatch Avant d'installer Container Insights sur Amazon EKS ou Kubernetes, vérifiez les points suivants. Ces prérequis s'appliquent que vous utilisiez l' CloudWatch agent ou AWS Distro pour OpenTelemetry configurer Container Insights sur des clusters Amazon EKS. + Vous disposez d'un cluster Amazon EKS ou Kubernetes fonctionnel avec des nœuds attachés dans l'une des régions prenant en charge Container Insights pour Amazon EKS et Kubernetes. Pour obtenir la liste des régions prises en charge, consultez [Container Insights](ContainerInsights.md). + `kubectl` est installé et en cours d'exécution. Pour plus d'informations, consultez [Installation de `kubectl`](https://docs.aws.amazon.com/eks/latest/userguide/install-kubectl.html) dans le *Guide de l'utilisateur Amazon EKS*. + Si vous utilisez Kubernetes en cours d'exécution au AWS lieu d'Amazon EKS, les conditions préalables suivantes sont également nécessaires : + Assurez-vous que votre cluster Kubernetes a activé le contrôle d'accès basé sur les rôles (RBAC). Pour plus d'informations, consultez [Using RBAC Authorization (Utilisation des autorisations de contrôle d'accès basé sur les rôle)](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) dans la documentation Reference de Kubernetes. + Votre Kubelet a activé le mode d'autorisation Webhook. Pour plus d'informations, consultez [Kubelet authentication/authorization (Authentification/autorisation Kubelet)](https://kubernetes.io/docs/reference/access-authn-authz/kubelet-authn-authz/) dans la documentation Reference de Kubernetes. Vous devez également accorder des autorisations IAM pour permettre à vos nœuds de travail Amazon EKS d'envoyer des métriques et des journaux à CloudWatch. Il existe deux façons de procéder : + Attachez une politique au rôle IAM de vos composants master. Cela fonctionne pour les clusters Amazon EKS et autres clusters Kubernetes. + Utilisez un rôle IAM pour les comptes de service pour le cluster et attachez la politique à ce rôle. Cela ne fonctionne que pour les clusters Amazon EKS. La première option accorde des autorisations CloudWatch pour l'ensemble du nœud, tandis que l'utilisation d'un rôle IAM pour le compte de service donne CloudWatch accès uniquement aux pods daemonset appropriés. **Attacher une politique au rôle IAM de vos composants master** Procédez comme suit pour attacher la politique au rôle IAM de vos composants master. Cela fonctionne à la fois pour les clusters Amazon EKS et les clusters Kubernetes en dehors d'Amazon EKS. **Pour ajouter la politique nécessaire au rôle IAM pour vos composants master** 1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Sélectionnez l'une des instances de composant master, puis choisissez le rôle IAM dans la description. 1. Sur la page du rôle IAM, choisissez **Attach policies (Attacher des politiques)**. 1. Dans la liste des politiques, cochez la case située à côté de **CloudWatchAgentServerPolicy**. Si nécessaire, utilisez la zone de recherche pour trouver cette politique. 1. Choisissez **Attacher des politiques**. Si vous exécutez un cluster Kubernetes à l'extérieur d'Amazon EKS, il est possible que vous n'ayez pas encore de rôle IAM attaché à vos composants master. Si tel est le cas, vous devez d'abord attacher le rôle IAM à l'instance, puis ajouter la politique comme expliqué dans les étapes précédentes. Pour plus d’informations sur l’association d’un rôle à une instance, consultez [Association d’un rôle IAM à une instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) dans le *guide de l’utilisateur Amazon EC2*. Si vous exécutez un cluster Kubernetes en dehors d'Amazon EKS et que vous souhaitez collecter le volume EBS IDs dans les métriques, vous devez ajouter une autre politique au rôle IAM attaché à l'instance. Ajoutez les éléments suivants en tant que politique en ligne. Pour plus d'informations, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'utilisateur IAM*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeVolumes" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ **Utilisation d'un rôle de compte de service IAM** Cette méthode fonctionne uniquement sur les clusters Amazon EKS. **Pour autoriser l' CloudWatch utilisation d'un rôle de compte de service IAM** 1. Si vous ne l'avez pas déjà fait, activez les rôles IAM pour les comptes de service sur votre cluster. Pour plus d'informations, consultez [Activation des rôles IAM pour les comptes de service sur votre cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). 1. Si vous ne l'avez pas encore fait, configurez le compte de service pour utiliser un rôle IAM. Pour plus d'informations, consultez [Configuration d'un compte de service Kubernetes pour assumer un rôle IAM](https://docs.aws.amazon.com/eks/latest/userguide/associate-service-account-role.html). Lorsque vous créez le rôle, associez la stratégie **CloudWatchAgentServerPolicy**IAM au rôle en plus de la stratégie que vous créez pour le rôle. En outre, le compte de service Kubernetes associé associé à ce rôle doit être créé dans l'espace de `amazon-cloudwatch` noms, où les daemonsets CloudWatch et Fluent Bit seront déployés dans les prochaines étapes 1. Si vous ne l'avez pas déjà fait, associez le rôle IAM à un compte de service de votre cluster. Pour plus d'informations, consultez [Configuration d'un compte de service Kubernetes pour assumer un rôle IAM](https://docs.aws.amazon.com/eks/latest/userguide/associate-service-account-role.html).