Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conditions préalables
Assurez-vous que les conditions préalables suivantes sont remplies avant d'installer l' CloudWatch agent pour la première fois.
## Rôles et utilisateurs IAM pour l'agent CloudWatch
L'accès aux AWS ressources nécessite des autorisations. Vous créez un rôle IAM, un utilisateur IAM, ou les deux pour accorder les autorisations dont l' CloudWatch agent a besoin pour écrire des métriques. CloudWatch
### Création d’un rôle IAM pour les instances Amazon EC2
Si vous souhaitez exécuter l' CloudWatch agent sur des instances Amazon EC2, créez un rôle IAM avec les autorisations nécessaires.
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Rôles**, puis **Créer un Rôle**.
1. Vérifiez que **AWS service** (Service ) est sélectionné sous **Trusted entity type** (Type d'entité de confiance).
1. Pour **Cas d’utilisation**, choisissez **EC2** sous **Cas d’utilisation courants**.
1. Choisissez **Suivant**.
1. Dans la liste des politiques, cochez la case située à côté de **CloudWatchAgentServerPolicy**. Si nécessaire, utilisez la zone de recherche pour trouver la politique.
1. Choisissez **Suivant**.
1. Dans le champ **Nom du rôle**, saisissez un nom unique pour votre rôle, par exemple `CloudWatchAgentServerRole`. Vous pouvez également lui donner une description. Puis choisissez **Create role (Créer un rôle)**.
(Facultatif) Si l'agent doit envoyer des CloudWatch journaux à Logs et que vous souhaitez qu'il soit en mesure de définir des politiques de conservation pour ces groupes de journaux, vous devez ajouter l'`logs:PutRetentionPolicy`autorisation au rôle.
### Création d’un utilisateur IAM pour les serveurs sur site
Si vous comptez exécuter l' CloudWatch agent sur des serveurs locaux, créez un utilisateur IAM doté des autorisations nécessaires.
**Note**
Dans ce scénario, l’utilisateur IAM doit disposer d’un accès programmatique et d’informations d’identification à long terme, ce qui peut présenter un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires.
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Utilisateurs**, puis **Ajouter des utilisateurs**.
1. Saisissez le nom d'utilisateur du nouvel utilisateur.
1. Sélectionnez **Access key - Programmatic access (Clé d'accès - Accès programmatique)**, puis choisissez **Next: Permissions (Suivant : Autorisations)**.
1. Choisissez **Attach existing policies directly (Attacher directement les politiques existantes)**.
1. Dans la liste des politiques, cochez la case située à côté de **CloudWatchAgentServerPolicy**. Si nécessaire, utilisez la zone de recherche pour trouver la politique.
1. Choisissez **Suivant : Balises**.
1. Vous pouvez éventuellement créer des balises pour le nouveau rôle IAM, puis choisir **Suivant : Examiner**.
1. Confirmez que la politique affichée est correcte et sélectionnez **Create user (Créer un utilisateur)**.
1. En regard du nom du nouvel utilisateur, choisissez **Show (Afficher)**. Copiez la clé d'accès et la clé secrète dans un fichier afin de pouvoir les utiliser lors de l'installation de l'agent. Choisissez **Close (Fermer)**.
### Association d’un rôle IAM à une instance Amazon EC2
Pour permettre à l' CloudWatch agent d'envoyer des données depuis une instance Amazon EC2, vous devez associer le rôle IAM que vous avez créé à l'instance.
Pour plus d’informations sur l’association d’un rôle IAM à une instance, consultez [Association d’un rôle IAM à une instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) dans le Guide de l’utilisateur Amazon Elastic Compute Cloud.
### Autoriser l' CloudWatch agent à définir une politique de conservation des journaux
Vous pouvez configurer l' CloudWatch agent pour définir la politique de rétention pour les groupes de journaux auxquels il envoie des événements de journal. Si vous faites cela, vous devez accorder `logs:PutRetentionPolicy` au rôle IAM ou à l'utilisateur que l'agent utilise. L'agent utilise un rôle IAM pour s'exécuter sur des instances Amazon EC2 et utilise un utilisateur IAM pour les serveurs sur site.
**Pour accorder au rôle IAM de l' CloudWatch agent l'autorisation de définir des politiques de conservation des journaux**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de gauche, choisissez **Rôles**.
1. Dans le champ de recherche, tapez le début du nom du rôle IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé le rôle. Il pourrait être nommé `CloudWatchAgentServerRole`.
Lorsque vous voyez le rôle, choisissez le nom du rôle.
1. Sous l'onglet **Permissions** (Autorisations), sélectionnez **Add permissions** (Ajouter des autorisations), **Create inline policy** (Créer une politique en ligne).
1. Cliquez sur l'onglet **JSON** et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. Choisissez **Examiner une politique**.
1. Pour **Name** (Nom), saisissez **CloudWatchAgentPutLogsRetention** ou un nom similaire, et choisissez **Create Policy** (Créer une politique).
**Pour autoriser l'utilisateur IAM de l' CloudWatch agent à définir des politiques de conservation des journaux**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de gauche, choisissez **Utilisateurs**.
1. Dans le champ de recherche, tapez le début du nom de l'utilisateur IAM de l' CloudWatch agent. Vous avez choisi ce nom lorsque vous avez créé l'utilisateur.
Lorsque vous voyez l'utilisateur, choisissez le nom de l'utilisateur.
1. Sous l'onglet **Permissions** (Autorisations), choisissez **Add inline policy **(Ajouter une politique en ligne).
1. Cliquez sur l'onglet **JSON** et copiez la politique suivante dans la zone, en remplaçant le JSON par défaut dans la zone :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. Choisissez **Examiner une politique**.
1. Pour **Name** (Nom), saisissez **CloudWatchAgentPutLogsRetention** ou un nom similaire, et choisissez **Create Policy** (Créer une politique).
## Exigences réseau
**Note**
Si le serveur se trouve dans un sous-réseau public, assurez-vous qu’il dispose d’un accès à une passerelle Internet. Si le serveur se trouve dans un sous-réseau privé, l’accès doit se faire via une passerelle NAT ou un point de terminaison VPC. Pour plus d’informations sur les passerelles NAT, consultez [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).
Vos instances Amazon EC2 doivent disposer d'un accès Internet sortant pour envoyer des données ou des journaux. CloudWatch CloudWatch Pour plus d’informations sur la configuration de l’accès à Internet, consultez [Passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) dans le Guide de l’utilisateur Amazon VPC.
### Utilisation de points de terminaison d’un VPC
Si vous utilisez un VPC et que vous souhaitez utiliser un CloudWatch agent sans accès public à Internet, vous pouvez configurer des points de terminaison VPC pour et des journaux. CloudWatch CloudWatch
Les points de terminaison et les ports à configurer sur votre proxy sont les suivants :
+ Si vous utilisez l'agent pour collecter des métriques, vous devez ajouter les CloudWatch points de terminaison des régions appropriées à la liste d'autorisation. Ces points de terminaison sont répertoriés dans la section [ CloudWatchPoints de terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/cw_region.html).
+ Si vous utilisez l'agent pour collecter des journaux, vous devez ajouter les points de terminaison CloudWatch des journaux pour les régions appropriées à la liste d'autorisation. Ces points de terminaison sont répertoriés dans les [points de terminaison et quotas Amazon CloudWatch Logs](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
+ Si vous utilisez Systems Manager pour installer l'agent ou Parameter Store pour stocker votre fichier de configuration, vous devez ajouter les points de terminaison Systems Manager pour les régions appropriées afin d'autoriser la liste. Ces points de terminaison sont répertoriés dans [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).