CloudWatch preferenza per le credenziali dell'agente - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudWatch preferenza per le credenziali dell'agente

Questa sezione descrive la catena di fornitori di credenziali utilizzata dall' CloudWatch agente per ottenere le credenziali quando comunica con altri servizi e. AWS APIs L'ordine è il seguente:

Nota

Le preferenze elencate nei numeri da due a cinque hanno lo stesso ordine di preferenze definito nell' AWS SDK. Per ulteriori informazioni, consulta Specificazione delle credenziali nella documentazione SDK.

  1. File di configurazione e credenziali condivisi come definiti nel file dell'agente. CloudWatch common-config.toml Per ulteriori informazioni, consulta (Opzionale) Modifica della configurazione comune delle informazioni relative al proxy o alla regione.

  2. AWS Variabili di ambiente SDK

    Importante

    In Linux, se si esegue l' CloudWatch agente utilizzando lo amazon-cloudwatch-agent-ctl script, lo script avvia l'agente come systemd servizio. In questo caso, le variabili di ambiente come HOMEAWS_ACCESS_KEY_ID, e non AWS_SECRET_ACCESS_KEY sono accessibili dall'agente.

  3. File di configurazione e credenziali condivisi presenti in $HOME/%USERPROFILE%

    Nota

    L' CloudWatch agente $HOME cerca .aws/credentials Linux e macOS e cerca Windows. %USERPROFILE% A differenza dell' AWS SDK, l' CloudWatch agente non dispone di metodi di fallback per determinare la home directory se le variabili di ambiente sono inaccessibili. Questa differenza di comportamento serve a mantenere la retrocompatibilità con le implementazioni precedenti dell'SDK. AWS

    Inoltre, a differenza delle credenziali condivise presenti incommon-config.toml, se le credenziali condivise AWS derivate dall'SDK scadono e vengono ruotate, le credenziali rinnovate non vengono raccolte automaticamente dall' CloudWatch agente e richiedono il riavvio dell'agente per farlo.

  4. Un AWS Identity and Access Management ruolo per le attività se è presente un'applicazione che utilizza una definizione di attività di Amazon Elastic Container Service o un'operazione RunTask API.

  5. Un profilo di istanza collegato a un' EC2 istanza Amazon.

Come best practice, ti consigliamo di specificare le credenziali nell'ordine seguente quando utilizzi l' CloudWatch agente.

  1. Usa i ruoli IAM per le attività se la tua applicazione utilizza una definizione di attività di Amazon Elastic Container Service o un'operazione RunTask API.

  2. Usa i ruoli IAM se la tua applicazione viene eseguita su un' EC2 istanza Amazon.

  3. Usa il common-config.toml file CloudWatch dell'agente per specificare il file delle credenziali. Questo file di credenziali è lo stesso utilizzato da altri AWS SDKs e da. AWS CLI Se stai già utilizzando un file di credenziali condiviso, puoi utilizzarlo anche per questo scopo. Se lo fornite utilizzando il common-config.toml file dell' CloudWatch agente, vi assicurate che l'agente utilizzi le credenziali ruotate quando scadono e vengano sostituite senza che sia necessario riavviare l'agente.

  4. Utilizzate le variabili di ambiente. L'impostazione delle variabili di ambiente è utile se stai eseguendo lavori di sviluppo su un computer diverso da un' EC2 istanza Amazon.

Nota

Se invii telemetria a un altro account come spiegato inInvio di parametri, log e tracce a un altro account, l' CloudWatch agente utilizza la catena di fornitori di credenziali descritta in questa sezione per ottenere il set iniziale di credenziali. Utilizza quindi tali credenziali quando assume il ruolo IAM specificato da nel file di configurazione dell'agente. role_arn CloudWatch