# Pré-requisitos
<a name="prerequisites"></a>

Certifique-se de que os pré-requisitos apresentados a seguir sejam atendidos antes de instalar o agente do CloudWatch pela primeira vez.

## Perfis e usuários do IAM para o agente do CloudWatch
<a name="iam-setup"></a>

O acesso aos recursos da AWS requer permissões. Você cria uma função do IAM, um usuário do IAM ou ambos para conceder permissões necessárias para o atendente do CloudWatch gravar métricas no CloudWatch.

### Criação de um perfil do IAM para instâncias do Amazon EC2
<a name="iam-role-ec2"></a>

Se você for executar o agente do CloudWatch em instâncias do Amazon EC2, crie um perfil do IAM com as permissões necessárias.

1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Perfis** e, em seguida, **Criar perfil**.

1. Verifique se o **serviço da AWS** está selecionado em **Trusted entity type** (Tipo de entidade confiável).

1. Em **Caso de uso**, escolha **EC2** em **Casos de uso comuns**.

1. Escolha **Próximo**.

1. Na lista de políticas, marque a caixa de seleção ao lado de **CloudWatchAgentServerPolicy**. Se necessário, use a caixa de pesquisa para encontrar a política.

1. Escolha **Próximo**.

1. Em **Nome do perfil**, insira um nome exclusivo para o perfil, como `CloudWatchAgentServerRole`. Como opção, atribua uma descrição a ela. Então, escolha **Criar perfil**.

(Opcional) Se o atendente for enviar logs para o CloudWatch Logs e você quiser que ele possa definir políticas de retenção para esses grupos de log, será necessário adicionar a permissão `logs:PutRetentionPolicy` para a função.

### Criação de um usuário do IAM para servidores on-premises
<a name="iam-user-onprem"></a>

Se você for executar o agente do CloudWatch em servidores on-premises, crie um usuário do IAM com as permissões necessárias.

**nota**  
Este cenário precisa de usuários do IAM com acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.

1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Usuários** e, em seguida, **Adicionar usuários**.

1. Digite o nome para o novo usuário.

1. Selecione **Access key – Programmatic access** (Chave de acesso – Acesso programático) e escolha **Next: Permissions** (Próximo: Permissões).

1. Escolha **Anexar políticas existentes diretamente**.

1. Na lista de políticas, marque a caixa de seleção ao lado de **CloudWatchAgentServerPolicy**. Se necessário, use a caixa de pesquisa para encontrar a política.

1. Escolha **Próximo: tags**.

1. Opcionalmente, crie etiquetas destinadas ao novo IAM e, em seguida, escolha **Próximo: Revisar**.

1. Confirme se as políticas corretas estão listadas e selecione **Create user** (Criar usuário).

1. Ao lado do nome no novo usuário, escolha **Mostrar**. Copie a chave de acesso e a chave secreta em um arquivo para que você possa usá-las ao instalar o atendente. Escolha **Fechar**.

### Anexação de um perfil do IAM a uma instância do Amazon EC2
<a name="attach-iam-role"></a>

Para possibilitar que o agente do CloudWatch envie dados provenientes de uma instância do Amazon EC2, você deve anexar o perfil do IAM criado à instância.

Para obter mais informações sobre como anexar um perfil do IAM a uma instância, consulte [Anexar um perfil do IAM a uma instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) no Guia do usuário do Amazon Elastic Compute Cloud.

### Permitir que o atendente do CloudWatch defina a política de retenção de logs
<a name="CloudWatch-Agent-PutLogRetention"></a>

É possível configurar o atendente do CloudWatch para definir a política de retenção para grupos de logs para os quais ele envia eventos de log. Se você fizer isso, deve conceder o `logs:PutRetentionPolicy` à função do IAM ou ao usuário que o atendente usa. O atendente usa uma função do IAM para executar em instâncias do Amazon EC2 e usa um usuário do IAM para servidores on-premises.

**Para conceder permissão à função do IAM do atendente do CloudWatch para definir políticas de retenção de log**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, selecione **Perfis**.

1. Na caixa de pesquisa, digite o início do nome da função do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar a função. Ele pode se chamar `CloudWatchAgentServerRole`.

   Quando você vir a função, escolha o nome da função.

1. Na guia **Permissions** (Permissões), escolha **Add permissions** (Adicionar permissões), **Create inline policy** (Criar política em linha).

1. Escolha a guia **JSON** e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. Selecione **Revisar política**.

1. Em **Name** (Nome), insira **CloudWatchAgentPutLogsRetention** ou algo semelhante e escolha **Create policy** (Criar política).

**Para conceder permissão ao usuário do IAM do atendente do CloudWatch para definir políticas de retenção de log**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Usuários**.

1. Na caixa de pesquisa, digite o início do nome do usuário do IAM do atendente do CloudWatch. Você escolheu esse nome ao criar o usuário.

   Quando você vir o usuário, escolha o nome do usuário.

1. Na guia **Permissions** (Permissões), escolha **Add inline policy** (Adicionar política em linha).

1. Escolha a guia **JSON** e copie a seguinte política na caixa, substituindo o JSON padrão na caixa:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. Escolha **Revisar política**.

1. Em **Name** (Nome), insira **CloudWatchAgentPutLogsRetention** ou algo semelhante e escolha **Create policy** (Criar política).

## Requisitos de rede
<a name="network-requirements"></a>

**nota**  
Quando o servidor estiver em uma sub-rede pública, certifique-se de que haja acesso a um gateway da internet. Quando o servidor estiver em uma sub-rede privada, o acesso será feito por meio dos gateways NAT ou do endpoint da VPC. Para obter mais informações sobre gateways NAT, consulte [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html).

Suas instâncias do Amazon EC2 devem ter acesso à Internet de saída para enviar dados ao CloudWatch ou ao CloudWatch Logs. Para obter mais informações sobre como configurar o acesso à internet, consulte [Gateways da internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) no Guia do usuário da Amazon VPC.

### Usar endpoints da VPC
<a name="vpc-endpoints"></a>

Se você estiver usando uma VPC e desejar usar o agente do CloudWatch sem acesso à internet pública, pode configurar endpoints da VPC para o CloudWatch e o CloudWatch Logs.

Os endpoints e portas para configurar em seu proxy são os seguintes:
+ Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em [Endpoints e cotas do Amazon CloudWatch](https://docs.aws.amazon.com/general/latest/gr/cw_region.html).
+ Se estiver usando o atendente para coletar métricas, você deverá incluir os endpoints de logs do CloudWatch das regiões apropriadas na lista de permissões. Esses endpoints estão listados em [Endpoints e cotas do Amazon CloudWatch Logs](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html).
+ Se estiver usando o Systems Manager para instalar o atendente ou o Parameter Store para armazenar o arquivo de configuração, você deverá adicionar os endpoints do Systems Manager das regiões apropriadas na lista de permissões. Esses endpoints estão listados em [AWS Systems Manager endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html).