# 前提条件
CloudWatch エージェントを初めてインストールする場合は、事前に以下の前提条件が満たされていることを確認してください。
## CloudWatch エージェント用の IAM ロールとユーザー
AWS リソースにアクセスするには、アクセス権限が必要です。IAM ロール、IAM ユーザー、またはその両方を作成して、CloudWatch エージェントが CloudWatch にメトリクスを書き込むために必要なアクセス許可を付与します。
### Amazon EC2 インスタンス用の IAM ロールを作成する
Amazon EC2 インスタンスで CloudWatch エージェントを実行する場合は、IAM ロールを作成して必要なアクセス許可を付与します。
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。
1. ナビゲーションペインで、**[ロール]**、**[ロールを作成]** の順に選択します。
1. **[信頼されたエンティティタイプ]** で、**[AWS のサービス]** が選択されていることを確認します。
1. **[ユースケース]** の **[一般的なユースケース]** で、**[EC2]** を選択します。
1. [**次へ**] を選択します。
1. ポリシーのリストで、[**CloudWatchAgentServerPolicy**] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。
1. [**次へ**] を選択します。
1. **[Role name]** (ロール名) に、このロールの名前 (`CloudWatchAgentServerRole` など) を入力します。必要に応じて説明を入力します。続いて、[**Create role**] を選択します。
(オプション) エージェントが CloudWatch Logs にログを送信する予定であり、エージェントがこれらのロググループの保持ポリシーを設定できるようにする場合は、ロールに `logs:PutRetentionPolicy` 許可を追加する必要があります。
### オンプレミスサーバー用に IAM ユーザーを作成する
オンプレミスサーバーで CloudWatch エージェントを実行する場合は、IAM ユーザーを作成して必要なアクセス許可を付与します。
**注記**
このシナリオでは、プログラムによるアクセスと長期的な認証情報を持つ IAM ユーザーが必要です。これはセキュリティ上のリスクをもたらします。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーは削除することをお勧めします。
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で AWS マネジメントコンソールにサインインして、IAM コンソールを開きます。
1. ナビゲーションペインで、**[ユーザー]**、**[ユーザーを追加]** の順に選択します。
1. 新しいユーザーのユーザー名を入力します。
1. **[Access key - Programmatic access]** (アクセスキー - プログラムによるアクセス)、**[Next: Permissions]** (次へ: 許可) の順に選択します。
1. **[Attach existing policies directly (既存のポリシーを直接アタッチする)**] を選択します。
1. ポリシーのリストで、[**CloudWatchAgentServerPolicy**] の横にあるチェックボックスを選択します。必要に応じて、検索ボックスを使用してポリシーを見つけます。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. 必要に応じて、新しい IAM のタグを作成し、**[次へ: 確認]** を選択します。
1. 適切なポリシーがリストされていることを確認し、**[Create user]** (ユーザーを作成) を選択します。
1. 新しいユーザーの名前の横にある [**Show**] を選択します。エージェントのイントール時に使用できるように、アクセスキーとシークレットキーをファイルにコピーします。[**閉じる**] を選択してください。
### Amazon EC2 インスタンスに IAM ロールをアタッチする
CloudWatch エージェントで、Amazon EC2 インスタンスのデータを送信できるようにするには、作成した IAM ロールをインスタンスにアタッチする必要があります。
IAM ロールをインスタンスにアタッチする方法の詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「[Amazon EC2 の IAM ロール](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)」を参照してください。
### CloudWatch エージェントによるログの保持ポリシーの設定を許可
CloudWatch エージェントを構成して、ログイベントの送信先となるロググループ用の保持ポリシーを設定できます。これを実行する場合は、エージェントが使用する IAM ロールまたはユーザに `logs:PutRetentionPolicy` を付与する必要があります。エージェントは IAM ロールを使用して Amazon EC2 インスタンスで実行し、オンプレミスのサーバーに IAM ユーザーを使用します。
**CloudWatch エージェントの IAM ロールにログの保持ポリシーを設定するための許可を付与するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左のナビゲーションペインで、**[Roles (ロール)]** を選択してください。
1. 検索ボックスで、CloudWatch エージェントの IAM ロールの名前の先頭を入力します。この名前は、ロールの作成時に選択されました。`CloudWatchAgentServerRole` という名前が付けられる場合があります。
ロールが表示されたら、ロールの名前を選択します。
1. **[Permissions]** (許可) タブで、**[Add permissions]** (許可の追加)、**[Create inline policy]** (インラインポリシーの作成) をクリックします。
1. **[JSON]** タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. **[ポリシーの確認]** を選択します。
1. **[Name]** (名前) で、**CloudWatchAgentPutLogsRetention** などと入力し、**[Create policy]** (ポリシーを作成) を選択します。
**CloudWatch エージェントの IAM ユーザーにログ保持ポリシーを設定するための許可を付与するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) を開きます。
1. 左のナビゲーションペインで、**[ユーザー]** を選択します。
1. 検索ボックスで、CloudWatch エージェントの IAM ユーザーの名前の先頭を入力します。この名前は、ユーザーの作成時に選択されました。
ユーザーが表示されたら、ユーザーの名前を選択します。
1. [**アクセス許可**] タブで [**インラインポリシーの追加**] を選択します。
1. **[JSON]** タブを選択し、次のポリシーをボックスにコピーして、ボックスのデフォルトの JSON を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:PutRetentionPolicy",
"Resource": "*"
}
]
}
```
------
1. **[ポリシーの確認]** を選択します。
1. **[Name]** (名前) で、**CloudWatchAgentPutLogsRetention** などと入力し、**[Create policy]** (ポリシーを作成) を選択します。
## ネットワークの要件
**注記**
サーバーがパブリックサブネット内にあるときは、インターネットゲートウェイにアクセスできることを確認してください。サーバーがプライベートサブネット内にあるときは、NAT ゲートウェイまたは VPC エンドポイントを介してアクセスされます。詳細については、「[https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)」を参照してください。
CloudWatch または CloudWatch Logs にデータを送信するには、Amazon EC2 インスタンスにアウトバウンドインターネットアクセスが必要です。インターネットアクセスの詳しい設定方法については、「Amazon VPC ユーザーガイド」の「[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)」を参照してください。
### VPC エンドポイントの使用
VPC を使用しているときに、パブリックインターネットからアクセスすることなく CloudWatch エージェントを使用できるようにする場合は、CloudWatch および CloudWatch Logs 用に VPC エンドポイントを設定できます。
プロキシで設定するエンドポイントとポートは、次のとおりです。
+ エージェントを使用してメトリクスを収集する場合は、適切なリージョンの CloudWatch エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「[Amazon CloudWatch エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cw_region.html)」に記載されています。
+ エージェントを使用してログを収集する場合は、適切なリージョンの CloudWatch Logs エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「[Amazon CloudWatch Logs エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)」に記載されています。
+ Systems Manager を使用してエージェントをインストールするか、Parameter Store を使用して設定ファイルを保存する場合は、適切なリージョンの Systems Manager エンドポイントを許可リストに追加する必要があります。これらのエンドポイントは、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」に記載されています。