Prasyarat - Amazon CloudWatch
Peran IAM dan pengguna untuk agen CloudWatch Persyaratan jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Pastikan prasyarat berikut selesai sebelum memasang CloudWatch agen untuk pertama kalinya.

Peran IAM dan pengguna untuk agen CloudWatch

Akses ke AWS sumber daya memerlukan izin. Anda membuat peran IAM, pengguna IAM, atau keduanya untuk memberikan izin yang diperlukan CloudWatch agen untuk menulis metrik. CloudWatch

Buat peran IAM untuk instans Amazon EC2

Jika Anda akan menjalankan CloudWatch agen di EC2 instans Amazon, buat peran IAM dengan izin yang diperlukan.

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran dan kemudian Buat peran.

  3. Pastikan bahwa AWS layanan dipilih di bawah jenis entitas Tepercaya.

  4. Untuk kasus penggunaan, pilih EC2di bawah Kasus penggunaan umum.

  5. Pilih Berikutnya.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Pilih Berikutnya.

  8. Di Nama peran, masukkan nama untuk peran tersebut, sepertiCloudWatchAgentServerRole. Secara opsional, berikan deskripsi. Lalu pilih Buat peran.

(Opsional) Jika agen akan mengirim CloudWatch log ke Log dan Anda ingin agen dapat mengatur kebijakan retensi untuk grup log ini, Anda perlu menambahkan logs:PutRetentionPolicy izin ke peran tersebut.

Buat pengguna IAM untuk server lokal

Jika Anda akan menjalankan CloudWatch agen di server lokal, buat pengguna IAM dengan izin yang diperlukan.

catatan

Skenario ini mengharuskan pengguna IAM dengan akses terprogram dan kredensil jangka panjang, yang menghadirkan risiko keamanan. Untuk membantu mengurangi risiko ini, kami menyarankan agar Anda memberikan pengguna ini hanya izin yang mereka perlukan untuk melakukan tugas dan menghapus pengguna ini ketika mereka tidak lagi diperlukan.

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna dan kemudian Tambahkan pengguna.

  3. Masukkan nama pengguna untuk pengguna baru.

  4. Pilih Kunci akses - Akses terprogram dan pilih Berikutnya: Izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  6. Dalam daftar kebijakan, pilih kotak centang di sebelah CloudWatchAgentServerPolicy. Jika perlu, gunakan kotak pencarian untuk menemukan kebijakan.

  7. Pilih Berikutnya: Tanda.

  8. Secara opsional buat tag untuk IAM baru, lalu pilih Berikutnya: Tinjau.

  9. Konfirmasikan bahwa kebijakan yang benar telah dicantumkan, dan kemudian pilih Buat pengguna.

  10. Di samping nama pengguna baru, pilih Tampilkan. Salin kunci akses dan kunci rahasia ke file sehingga Anda dapat menggunakannya saat melakukan instalasi agen. Pilih Tutup

Melampirkan peran IAM ke instans Amazon EC2

Untuk mengaktifkan CloudWatch agen mengirim data dari EC2 instans Amazon, Anda harus melampirkan peran IAM yang Anda buat ke instance.

Untuk informasi selengkapnya tentang melampirkan peran IAM ke instance, lihat Melampirkan Peran IAM ke Instance di Panduan Pengguna Amazon. EC2

Mengizinkan CloudWatch agen menyetel kebijakan retensi log

Anda dapat mengonfigurasi CloudWatch agen untuk menyetel kebijakan penyimpanan untuk grup log tempat ia mengirim peristiwa log. Jika melakukan ini, Anda harus memberikan logs:PutRetentionPolicy kepada peran IAM atau pengguna yang digunakan agen. Agen menggunakan peran IAM untuk berjalan di EC2 instans Amazon, dan menggunakan pengguna IAM untuk server lokal.

Untuk memberikan izin peran IAM CloudWatch agen untuk menetapkan kebijakan penyimpanan log

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Di kotak pencarian, Ketik awal nama peran IAM CloudWatch agen. Anda memilih nama ini ketika Anda membuat peran tersebut. Itu bisa diberi namaCloudWatchAgentServerRole.

    Ketika Anda melihat peran, pilih nama peran.

  4. Di tab Izin, pilih Tambahkan izin, Buat kebijakan tidak terpisah.

  5. Pilih tab JSON dan kemudian salin kebijakan berikut ke dalam kotak, yang menggantikan JSON default dalam di kotak:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Pilih Tinjau kebijakan.

  7. Untuk Nama, masukkan CloudWatchAgentPutLogsRetention atau yang serupa, kemudian pilih Buat kebijakan.

Untuk memberikan izin kepada pengguna IAM CloudWatch agen untuk menetapkan kebijakan penyimpanan log

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi kiri, pilih Pengguna.

  3. Di kotak pencarian, Ketik awal nama pengguna IAM CloudWatch agen. Anda memilih nama ini ketika Anda membuat pengguna.

    Saat Anda melihat pengguna, pilih nama pengguna.

  4. Pada tab Izin, pilih Tambahkan kebijakan tak terpisahkan.

  5. Pilih tab JSON dan kemudian salin kebijakan berikut ke dalam kotak, yang menggantikan JSON default dalam di kotak:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Pilih Tinjau kebijakan.

  7. Untuk Nama, masukkan CloudWatchAgentPutLogsRetention atau yang serupa, kemudian pilih Buat kebijakan.

Persyaratan jaringan

catatan

Ketika server berada di subnet publik pastikan ada akses ke gateway internet. Ketika server berada di subnet pribadi, akses melalui gateway NAT atau VPC Endpoint. Untuk informasi lebih lanjut tentang gateway NAT, lihat. https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

EC2 Instans Amazon Anda harus memiliki akses internet keluar untuk mengirim data ke CloudWatch atau CloudWatch Log. Untuk informasi selengkapnya tentang cara mengonfigurasi akses internet, lihat Gateway Internet di Panduan Pengguna Amazon VPC.

Menggunakan titik akhir VPC

Jika Anda menggunakan VPC dan ingin menggunakan CloudWatch agen tanpa akses internet publik, Anda dapat mengonfigurasi titik akhir VPC untuk dan Log. CloudWatch CloudWatch

Titik akhir dan port yang harus dikonfigurasikan pada proksi Anda adalah sebagai berikut:

  • Jika Anda menggunakan agen untuk mengumpulkan metrik, Anda harus menambahkan CloudWatch titik akhir untuk Wilayah yang sesuai ke daftar izin. Titik akhir ini tercantum dalam CloudWatchtitik akhir dan kuota Amazon.

  • Jika Anda menggunakan agen untuk mengumpulkan log, Anda harus menambahkan titik akhir CloudWatch Log untuk Wilayah yang sesuai ke daftar izin. Titik akhir ini tercantum dalam titik akhir dan CloudWatch kuota Amazon Logs.

  • Jika Anda menggunakan Systems Manager untuk melakukan instalasi agen atau Parameter Store untuk menyimpan file konfigurasi Anda, Anda harus menambahkan titik akhir Systems Manager untuk Wilayah yang sesuai ke daftar izin. Titik akhir ini tercantum dalam titik akhir dan kuota AWS Systems Manager.