Création de rôles et d'utilisateurs IAM à utiliser avec l'agent CloudWatch - Amazon CloudWatch
Créez des rôles IAM à utiliser avec l' CloudWatch agent sur les instances Amazon EC2 Création d'utilisateurs IAM à utiliser avec l' CloudWatch agent sur des serveurs locaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de rôles et d'utilisateurs IAM à utiliser avec l'agent CloudWatch

L'accès aux AWS ressources nécessite des autorisations. Vous pouvez créer des rôles et des utilisateurs IAM qui incluent les autorisations dont vous avez besoin pour que l' CloudWatch agent rédige des métriques CloudWatch et pour qu'il communique avec Amazon EC2 et AWS Systems Manager. CloudWatch Vous utilisez des rôles IAM sur les EC2 instances Amazon, et vous utilisez des utilisateurs IAM sur des serveurs sur site.

Un rôle ou un utilisateur permet d'installer l' CloudWatch agent sur un serveur et d'envoyer des métriques à CloudWatch. L'autre rôle ou utilisateur est nécessaire pour stocker la configuration de votre CloudWatch agent dans le magasin de paramètres de Systems Manager. Parameter Store permet à plusieurs serveurs d'utiliser une seule configuration d' CloudWatch agent.

La possibilité d'écrire dans le Parameter Store est une autorisation vaste et puissante. Elle ne doit être utilisée que lorsque vous en avez besoin, et ne doit pas être attachée à plusieurs instances dans votre déploiement. Si vous stockez la configuration de votre CloudWatch agent dans Parameter Store, nous vous recommandons ce qui suit :

  • Configurez une instance où vous effectuez cette configuration.

  • Utilisez le rôle IAM avec des autorisations pour écrire dans le Parameter Store uniquement sur cette instance.

  • Utilisez le rôle IAM avec les autorisations nécessaires pour écrire dans Parameter Store uniquement lorsque vous travaillez avec le fichier de configuration de l' CloudWatch agent et que vous l'enregistrez.

Note

Nous avons récemment modifié les procédures suivantes à l'aide des nouvelles politiques CloudWatchAgentServerPolicy et CloudWatchAgentAdminPolicy créées par Amazon, plutôt que d'exiger des clients qu'ils créent ces stratégies eux-mêmes. Pour utiliser ces stratégies pour écrire le fichier de configuration de l'agent dans le Parameter Store puis le télécharger à partir du Parameter Store, le nom de votre fichier de configuration d'agent doit commencer par AmazonCloudWatch-. Si vous disposez d'un fichier de configuration d' CloudWatch agent dont le nom ne commence pas parAmazonCloudWatch-, ces règles ne peuvent pas être utilisées pour écrire le fichier dans Parameter Store ou pour télécharger le fichier depuis Parameter Store.

Créez des rôles IAM à utiliser avec l' CloudWatch agent sur les instances Amazon EC2

La première procédure crée le rôle IAM que vous devez associer à chaque EC2 instance Amazon qui exécute l' CloudWatch agent. Ce rôle fournit des autorisations pour lire les informations de l'instance et les y écrire CloudWatch.

La deuxième procédure crée le rôle IAM que vous devez associer à l' EC2instance Amazon utilisée pour créer le fichier de configuration de l' CloudWatch agent. Cette étape est nécessaire si vous prévoyez de stocker ce fichier dans le Parameter Store du Systems Manager afin que d'autres serveurs puissent l'utiliser. Ce rôle fournit des autorisations pour écrire dans Parameter Store, en plus des autorisations pour lire les informations de l'instance et les y écrire CloudWatch. Ce rôle inclut des autorisations suffisantes pour exécuter l' CloudWatch agent ainsi que pour écrire dans Parameter Store.

Note

Le Parameter Store prend en charge les paramètres des niveaux Standard et Avancé. Ces niveaux de paramètres ne sont pas liés aux niveaux de détail de base, standard et avancé disponibles avec les ensembles de mesures prédéfinis par l' CloudWatch agent.

Pour créer le rôle IAM nécessaire à chaque serveur pour exécuter l'agent CloudWatch

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  4. Immédiatement sous Cas d'utilisation courants, sélectionnez EC2, puis cliquez sur Suivant : Autorisations.

  5. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  6. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté d'Amazon SSMManaged InstanceCore. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la politique. Cette politique n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.

  7. Sélectionnez Suivant : Étiquettes.

  8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  9. Pour Role name (Nom du rôle), entrez un nom pour votre nouveau rôle, par exemple CloudWatchAgentServerRole ou autre, en fonction de vos préférences.

  10. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  11. Confirmez-le CloudWatchAgentServerPolicyet Amazon SSMManaged InstanceCore apparaîtra éventuellement à côté des Politiques.

  12. Choisissez Create role (Créer un rôle).

    Le rôle est maintenant créé.

La procédure suivante crée le rôle IAM que vous pouvez également écrire dans le Parameter Store. Vous pouvez utiliser ce rôle pour stocker le fichier de configuration de l'agent dans le Parameter Store afin que d'autres serveurs puissent le récupérer.

Les autorisations d'écriture dans le Parameter Store offrent un accès étendu. Ce rôle ne doit pas être attaché à tous vos serveurs et seuls les administrateurs doivent l'utiliser. Une fois le fichier de configuration d'agent créé et copié dans le Parameter Store, vous devez détacher ce rôle de l'instance et utiliser CloudWatchAgentServerRole à la place.

Pour créer le rôle IAM afin de permettre à un administrateur d'écrire dans le Parameter Store

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Sous Select type of trusted entity (Sélectionner le type d'entité approuvée), choisissez service AWS .

  4. Immédiatement sous Choisissez le service qui utilisera ce rôle, choisissez EC2, puis cliquez sur Suivant : Autorisations.

  5. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentAdminPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  6. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté d'Amazon SSMManaged InstanceCore. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la politique. Cette politique n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.

  7. Sélectionnez Suivant : Étiquettes.

  8. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  9. Pour Role name (Nom du rôle), entrez un nom pour votre nouveau rôle, par exemple CloudWatchAgentAdminRole ou autre, en fonction de vos préférences.

  10. (Facultatif) Pour Role description (Description du rôle), entrez une description.

  11. Confirmez-le CloudWatchAgentAdminPolicyet Amazon SSMManaged InstanceCore apparaîtra éventuellement à côté des Politiques.

  12. Choisissez Create role (Créer un rôle).

    Le rôle est maintenant créé.

Création d'utilisateurs IAM à utiliser avec l' CloudWatch agent sur des serveurs locaux

La première procédure crée l'utilisateur IAM dont vous avez besoin pour exécuter l' CloudWatch agent. Cet utilisateur fournit les autorisations pour envoyer les données à CloudWatch.

La seconde procédure crée l'utilisateur IAM que vous pouvez utiliser lors de la création du fichier de configuration de l' CloudWatchagent. Utilisez cette procédure pour stocker ce fichier dans le Parameter Store du Systems Manager afin que d'autres serveurs puissent l'utiliser. Cet utilisateur fournit des autorisations d'écriture dans Parameter Store, en plus des autorisations d'écriture de données CloudWatch.

Note

Le Parameter Store prend en charge les paramètres des niveaux Standard et Avancé. Ces niveaux de paramètres ne sont pas liés aux niveaux de détail de base, standard et avancé disponibles avec les ensembles de mesures prédéfinis par l' CloudWatch agent.

Pour créer l'utilisateur IAM nécessaire à l' CloudWatch agent pour écrire des données dans CloudWatch

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Saisissez le nom d'utilisateur du nouvel utilisateur.

  4. Pour Access type (Type d'accès), choisissez Programmatic access (Accès programmatique), puis Next: Permissions (Suivant : Autorisations).

  5. Pour Set permissions (Définir les autorisations), sélectionnez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté d'Amazon SSMManaged InstanceCore. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la stratégie. Cette stratégie n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.)

  8. Sélectionnez Suivant : Étiquettes.

  9. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  10. Confirmez que les stratégies affichées sont correctes et sélectionnez Create user (Créer un utilisateur).

  11. Sur la ligne correspondant au nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).

La procédure suivante crée l'utilisateur IAM qui peut également écrire dans le Parameter Store. Vous devez utiliser cet utilisateur IAM si vous comptez stocker le fichier de configuration d'agent dans le Parameter Store afin que d'autres serveurs puissent l'utiliser. Cet utilisateur IAM fournit des autorisations pour l'écriture dans le Parameter Store. Cet utilisateur fournit également des autorisations pour la lecture des informations depuis l'instance et son écriture dans CloudWatch. Les autorisations d'écriture dans le Parameter Store du Systems Manager offrent un accès étendu. Cet utilisateur IAM ne doit pas être attaché à tous vos serveurs et seuls les administrateurs doivent l'utiliser. Vous devez utiliser cet utilisateur IAM uniquement lorsque vous stockez le fichier de configuration d'agent dans le Parameter Store.

Pour créer l'utilisateur IAM nécessaire pour stocker le fichier de configuration dans Parameter Store et envoyer des informations à CloudWatch

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Saisissez le nom d'utilisateur du nouvel utilisateur.

  4. Pour Access type (Type d'accès), choisissez Programmatic access (Accès programmatique), puis Next: Permissions (Suivant : Autorisations).

  5. Pour Set permissions (Définir les autorisations), sélectionnez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentAdminPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Pour utiliser Systems Manager afin d'installer ou de configurer l' CloudWatch agent, cochez la case à côté d'Amazon SSMManaged InstanceCore. Cette politique AWS gérée permet à une instance d'utiliser les fonctionnalités principales du service Systems Manager. Si nécessaire, utilisez la zone de recherche pour trouver la stratégie. Cette stratégie n'est pas nécessaire si vous lancez et configurez l'agent uniquement via la ligne de commande.)

  8. Sélectionnez Suivant : Étiquettes.

  9. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissez Next: Review (Suivant : Vérifier).

  10. Confirmez que les stratégies affichées sont correctes et sélectionnez Create user (Créer un utilisateur).

  11. Sur la ligne correspondant au nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).