Crea ruoli e utenti IAM da utilizzare con l' CloudWatch agente - Amazon CloudWatch
Consentire all' CloudWatch agente di impostare una politica di conservazione dei log

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea ruoli e utenti IAM da utilizzare con l' CloudWatch agente

L'accesso alle AWS risorse richiede autorizzazioni. Crei un ruolo IAM, un utente IAM o entrambi per concedere le autorizzazioni su cui l' CloudWatch agente deve scrivere le metriche. CloudWatch Se intendi utilizzare l'agente su EC2 istanze Amazon, devi creare un ruolo IAM. Se intendi usare l'agente nelle istanze dei server locali, dovrai creare un utente IAM.

Nota

Abbiamo recentemente modificato le seguenti procedure utilizzando le nuove policy CloudWatchAgentServerPolicy e CloudWatchAgentAdminPolicy di Amazon, anziché richiedere ai clienti di creare tali policy. Per scrivere i file e per eseguire il download dei file da Parameter Store, le policy create da Amazon supportano solo i file con nomi che iniziano con AmazonCloudWatch-. Se disponi di un file di configurazione CloudWatch dell'agente con un nome di file che non inizia conAmazonCloudWatch-, queste policy non possono essere utilizzate per scrivere il file su Parameter Store o scaricarlo da Parameter Store.

Se intendi eseguire l' CloudWatch agente su EC2 istanze Amazon, utilizza i seguenti passaggi per creare il ruolo IAM necessario. Questo ruolo fornisce le autorizzazioni per leggere le informazioni dall'istanza e scriverle su. CloudWatch

Per creare il ruolo IAM necessario per eseguire l' CloudWatch agente sulle istanze EC2

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, scegli Roles (Ruoli) e Create role (Crea ruolo).

  3. Assicurati di aver selezionato AWS service (Servizio) in Trusted entity type (Tipo di entità attendibile).

  4. Per Caso d'uso, scegli EC2in Casi d'uso comuni,

  5. Scegli Next (Successivo).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. (Facoltativo) Se l'agente invia tracce a X-Ray, è necessario assegnare al ruolo anche la AWSXRayDaemonWriteAccesspolicy. Per farlo, individua la policy nell'elenco e seleziona la relativa casella di controllo.

  8. Scegli Next (Successivo).

  9. In Nome ruolo, inserisci un nome per il ruolo, ad esempioCloudWatchAgentServerRole. Se desiderato, fornire una descrizione. Quindi seleziona Create role (Crea ruolo).

    Il ruolo è ora creato.

  10. (Facoltativo) Se l'agente intende inviare i log a CloudWatch Logs e desideri che sia in grado di impostare le politiche di conservazione per questi gruppi di log, devi aggiungere l'logs:PutRetentionPolicyautorizzazione al ruolo. Per ulteriori informazioni, consulta Consentire all' CloudWatch agente di impostare una politica di conservazione dei log.

Se intendi eseguire l' CloudWatch agente su server locali, utilizza i seguenti passaggi per creare l'utente IAM necessario.

avvertimento

Questo scenario richiede agli utenti IAM accesso programmatico e credenziali a lungo termine, il che presenta un rischio per la sicurezza. Per ridurre questo rischio, si consiglia di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari. Le chiavi di accesso possono essere aggiornate se necessario. Per ulteriori informazioni, consulta Update access keys nella IAM User Guide.

Per creare l'utente IAM necessario per l'esecuzione CloudWatch dell'agente sui server locali

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, scegli Users (Utenti), quindi Add users (Aggiungi utenti).

  3. Immetti il nome del nuovo utente.

  4. Seleziona Access key - Programmatic access (Chiave di accesso - Accesso programmatico) e scegli Next: Permissions (Successivo: Autorizzazioni).

  5. Scegli Attach existing policies directly (Collega direttamente le policy esistenti).

  6. Nell'elenco delle politiche, seleziona la casella di controllo accanto a CloudWatchAgentServerPolicy. Se necessario, utilizzare la casella di ricerca per trovare la policy.

  7. (Facoltativo) Se l'agente ha intenzione di effettuare un tracciamento su X-Ray, è necessario assegnare al ruolo anche la AWSXRayDaemonWriteAccesspolicy. Per farlo, individua la policy nell'elenco e seleziona la relativa casella di controllo.

  8. Scegli Successivo: Tag.

  9. Facoltativamente, crea i tag per il nuovo utente IAM, quindi scegli Next: Review (Successivo: Rivedi).

  10. Conferma che sia elencata la policy corretta, quindi scegli Create user (Crea utente).

  11. Accanto al nome del nuovo utente, seleziona Show (Mostra). Copiare la chiave di accesso e la chiave segreta in un file, in modo da poterle utilizzare durante l'installazione dell'agente. Scegli Chiudi.

Consentire all' CloudWatch agente di impostare una politica di conservazione dei log

È possibile configurare l' CloudWatch agente per impostare la politica di conservazione per i gruppi di log a cui invia gli eventi di registro. Se esegui questa operazione, devi concedere l'autorizzazione logs:PutRetentionPolicy al ruolo o all'utente IAM utilizzato dall'agente. L'agente utilizza un ruolo IAM per l'esecuzione su EC2 istanze Amazon e utilizza un utente IAM per i server locali.

Per concedere al ruolo IAM dell' CloudWatch agente l'autorizzazione a impostare le politiche di conservazione dei log

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella casella di ricerca, digita l'inizio del nome del ruolo IAM dell' CloudWatch agente. Hai scelto questo nome al momento della creazione del ruolo. Potrebbe essere denominato CloudWatchAgentServerRole.

    Quando viene visualizzato il nome del ruolo in questione, sceglilo.

  4. Nella scheda Permissions (Autorizzazioni), scegli Add permissions (Aggiungi autorizzazioni), Create inline policy (Crea policy in linea).

  5. Scegli la scheda JSON e copia la seguente policy nella casella, sostituendo il JSON predefinito:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Scegli Verifica policy.

  7. Nel campo Name (Nome), inserisci CloudWatchAgentPutLogsRetention o un nome simile e scegli Create policy (Crea policy).

Per concedere all'utente IAM dell' CloudWatch agente l'autorizzazione a impostare le politiche di conservazione dei log

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Users (Utenti).

  3. Nella casella di ricerca, digita l'inizio del nome dell'utente IAM dell' CloudWatch agente. Hai scelto questo nome al momento della creazione dell'utente.

    Quando vedi l'utente, scegli il suo nome.

  4. Nella scheda Permissions (Autorizzazioni) scegli Add inline policy (Aggiungi policy inline).

  5. Scegli la scheda JSON e copia la seguente policy nella casella, sostituendo il JSON predefinito:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. Scegli Verifica policy.

  7. Nel campo Name (Nome), inserisci CloudWatchAgentPutLogsRetention o un nome simile e scegli Create policy (Crea policy).