Prérequis - Amazon CloudWatch
Rôles et utilisateurs IAM pour l'agent CloudWatch Exigences réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Assurez-vous que les conditions préalables suivantes sont remplies avant d'installer l' CloudWatch agent pour la première fois.

Rôles et utilisateurs IAM pour l'agent CloudWatch

L'accès aux AWS ressources nécessite des autorisations. Vous créez un rôle IAM, un utilisateur IAM, ou les deux pour accorder les autorisations dont l' CloudWatch agent a besoin pour écrire des métriques. CloudWatch

Création d'un rôle IAM pour les instances Amazon EC2

Si vous souhaitez exécuter l' CloudWatch agent sur des EC2 instances Amazon, créez un rôle IAM avec les autorisations nécessaires.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Vérifiez que AWS service (Service ) est sélectionné sous Trusted entity type (Type d'entité de confiance).

  4. Pour Cas d'utilisation, choisissez EC2sous Cas d'utilisation courants.

  5. Choisissez Suivant.

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Choisissez Suivant.

  8. Dans Nom du rôle, entrez le nom du rôle, tel queCloudWatchAgentServerRole. Vous pouvez également lui donner une description. Puis choisissez Create role (Créer un rôle).

(Facultatif) Si l'agent doit envoyer des CloudWatch journaux à Logs et que vous souhaitez qu'il soit en mesure de définir des politiques de conservation pour ces groupes de journaux, vous devez ajouter l'logs:PutRetentionPolicyautorisation au rôle.

Création d'un utilisateur IAM pour les serveurs locaux

Si vous comptez exécuter l' CloudWatch agent sur des serveurs locaux, créez un utilisateur IAM doté des autorisations nécessaires.

Note

Ce scénario nécessite que les utilisateurs IAM disposent d'un accès programmatique et d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation, sélectionnez Utilisateurs, puis Ajouter des utilisateurs.

  3. Saisissez le nom d'utilisateur du nouvel utilisateur.

  4. Sélectionnez Access key - Programmatic access (Clé d'accès - Accès programmatique), puis choisissez Next: Permissions (Suivant : Autorisations).

  5. Choisissez Attach existing policies directly (Attacher directement les politiques existantes).

  6. Dans la liste des politiques, cochez la case située à côté de CloudWatchAgentServerPolicy. Si nécessaire, utilisez la zone de recherche pour trouver la politique.

  7. Choisissez Suivant : Balises.

  8. Créez éventuellement des balises pour le nouvel IAM, puis choisissez Next : Review.

  9. Confirmez que la politique affichée est correcte et sélectionnez Create user (Créer un utilisateur).

  10. En regard du nom du nouvel utilisateur, choisissez Show (Afficher). Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez Close (Fermer).

Attacher un rôle IAM à une instance Amazon EC2

Pour permettre à l' CloudWatch agent d'envoyer des données depuis une EC2 instance Amazon, vous devez associer le rôle IAM que vous avez créé à l'instance.

Pour plus d'informations sur l'attachement d'un rôle IAM à une instance, consultez la section Attacher un rôle IAM à une instance dans le guide de EC2 l'utilisateur Amazon.

Autoriser l' CloudWatch agent à définir une politique de conservation des journaux

Vous pouvez configurer l' CloudWatch agent pour définir la politique de rétention pour les groupes de journaux auxquels il envoie des événements de journal. Si vous faites cela, vous devez accorder logs:PutRetentionPolicy au rôle IAM ou à l'utilisateur que l'agent utilise. L'agent utilise un rôle IAM pour s'exécuter sur les EC2 instances Amazon et utilise un utilisateur IAM pour les serveurs sur site.

Pour accorder au rôle IAM de l' CloudWatch agent l'autorisation de définir des politiques de conservation des journaux

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Dans le champ de recherche, tapez le début du nom du rôle IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé le rôle. Il pourrait être nommé CloudWatchAgentServerRole.

    Lorsque vous voyez le rôle, choisissez le nom du rôle.

  4. Sous l'onglet Permissions (Autorisations), sélectionnez Add permissions (Ajouter des autorisations), Create inline policy (Créer une politique en ligne).

  5. Cliquez sur l'onglet JSON et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Choisissez Examiner une politique.

  7. Pour Name (Nom), saisissez CloudWatchAgentPutLogsRetention ou un nom similaire, et choisissez Create Policy (Créer une politique).

Pour autoriser l'utilisateur IAM de l' CloudWatch agent à définir des politiques de conservation des journaux

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, choisissez Utilisateurs.

  3. Dans le champ de recherche, tapez le début du nom de l'utilisateur IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé l'utilisateur.

    Lorsque vous voyez l'utilisateur, choisissez le nom de l'utilisateur.

  4. Sous l'onglet Permissions (Autorisations), choisissez Add inline policy (Ajouter une politique en ligne).

  5. Cliquez sur l'onglet JSON et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Choisissez Examiner une politique.

  7. Pour Name (Nom), saisissez CloudWatchAgentPutLogsRetention ou un nom similaire, et choisissez Create Policy (Créer une politique).

Exigences réseau

Note

Lorsque le serveur se trouve dans un sous-réseau public, assurez-vous qu'il existe un accès à une passerelle Internet. Lorsque le serveur se trouve dans un sous-réseau privé, l'accès se fait via les passerelles NAT ou le point de terminaison VPC. Pour plus d'informations sur les passerelles NAT, consultezhttps://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html.

Vos EC2 instances Amazon doivent disposer d'un accès Internet sortant pour envoyer des données CloudWatch ou des CloudWatch journaux. Pour plus d'informations sur la configuration de l'accès à Internet, consultez Internet Gateways dans le guide de l'utilisateur Amazon VPC.

Utilisation de points de terminaison d'un VPC

Si vous utilisez un VPC et que vous souhaitez utiliser un CloudWatch agent sans accès public à Internet, vous pouvez configurer des points de terminaison VPC pour et des journaux. CloudWatch CloudWatch

Les points de terminaison et les ports à configurer sur votre proxy sont les suivants :

  • Si vous utilisez l'agent pour collecter des métriques, vous devez ajouter les CloudWatch points de terminaison des régions appropriées à la liste d'autorisation. Ces points de terminaison sont répertoriés dans la section CloudWatchPoints de terminaison et quotas Amazon.

  • Si vous utilisez l'agent pour collecter des journaux, vous devez ajouter les points de terminaison CloudWatch des journaux pour les régions appropriées à la liste d'autorisation. Ces points de terminaison sont répertoriés dans les points de terminaison et quotas Amazon CloudWatch Logs.

  • Si vous utilisez Systems Manager pour installer l'agent ou Parameter Store pour stocker votre fichier de configuration, vous devez ajouter les points de terminaison Systems Manager pour les régions appropriées afin d'autoriser la liste. Ces points de terminaison sont répertoriés dans la section Points de terminaison et quotas de AWS Systems Manager.