先決條件 - Amazon CloudWatch
適用於 CloudWatch 代理程式的 IAM 角色和使用者網路需求

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件

在第一次安裝 CloudWatch 代理程式之前,請確定滿足下列先決條件。

適用於 CloudWatch 代理程式的 IAM 角色和使用者

存取 AWS 資源需要許可。您可以建立 IAM 角色、IAM 使用者,或同時建立兩者來授予 CloudWatch 代理程式將指標寫入 CloudWatch 時所需要的許可。

針對 Amazon EC2 執行個體建立 IAM 角色

若您要在 Amazon EC2 執行個體上執行 CloudWatch 代理程式,請使建立具備必要許可的 IAM 角色。

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇角色,然後選擇建立角色

  3. 確定在 Trusted entity type (受信任實體類型) 下,選取 AWS service ( 服務)。

  4. 對於使用案例,在常用使用案例下選擇 EC2

  5. 選擇下一步

  6. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 選擇下一步

  8. 角色名稱中,為您的角色輸入名稱,例如 CloudWatchAgentServerRole。您可以選擇性地給予它一個描述。然後選擇 Create role (建立角色)。

(選用) 如果代理程式要將日誌傳送到 CloudWatch Logs,並且您希望代理程式能夠為這些日誌群組設定保留政策,則您需要將 logs:PutRetentionPolicy 許可新增至角色。

為內部部署伺服器建立 IAM 使用者

若您要在內部部署伺服器上執行 CloudWatch 代理程式,請建立必要具備必要許可的 IAM 使用者。

注意

此種情況需要具備程式化存取權限且擁有長期憑證的 IAM 使用者,此舉將構成安全風險。為了協助降低此風險,建議您只為這些使用者提供執行任務所需的許可,並在不再需要這些使用者時將其移除。

  1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇使用者,然後選擇新增使用者

  3. 為新使用者輸入使用者名稱。

  4. 選取 Access key - Programmatic access (存取金鑰 - 程式設計存取),然後選擇 Next: Permissions (下一步:許可)。

  5. 選擇直接連接現有政策

  6. 在政策清單中,選取 CloudWatchAgentServerPolicy 旁的核取方塊。如有需要,請使用搜尋方塊來尋找政策。

  7. 選擇下一步:標籤

  8. (選用) 為新 IAM 建立標籤,然後選擇下一步:檢閱

  9. 確認列出的是正確的政策,然後選擇 Create user (建立使用者)。

  10. 在新使用者名稱的旁邊,選擇 Show (顯示)。將存取金鑰和秘密金鑰複製至檔案,以便在安裝代理程式時使用。選擇關閉

將 IAM 角色連結至 Amazon EC2 執行個體

若要啟用 CloudWatch 代理程式來從 Amazon EC2 執行個體傳送資料,必須將您建立的 IAM 角色連結到執行個體。

如需有關將 IAM 角色連結至執行個體的詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的將 IAM 角色連結至執行個體

允許 CloudWatch 代理程式設定日誌保留政策

您可以設定 CloudWatch 代理程式,以便為代理程式向其傳送日誌事件的日誌群組設定保留政策。如果您這樣做,您必須將 logs:PutRetentionPolicy 授予代理程式使用的 IAM 角色或使用者。代理程式使用 IAM 角色在 Amazon EC2 執行個體上執行,並為內部部署伺服器使用 IAM 使用者。

授予 CloudWatch 代理程式的 IAM 角色設定日誌保留政策的許可

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 角色名稱的開頭。您可以在建立角色時選擇此名稱。其可能被命名為 CloudWatchAgentServerRole

    如果您看到該角色,請選擇角色的名稱。

  4. Permissions (許可) 索引標籤中,依次選擇 Add permissions (新增許可)、Create inline policy (建立內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。

授予 CloudWatch 代理程式的 IAM 使用者設定日誌保留政策的許可

  1. 登入 AWS 管理主控台 並開啟位於 https://https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Users (使用者)

  3. 在搜尋方塊中,輸入 CloudWatch 代理程式 IAM 使用者名稱的開頭。您可以在建立使用者時選擇此名稱。

    如果您看到該使用者,請選擇使用者的名稱。

  4. 針對 Permissions (許可) 索引標籤,選擇 Add inline policy (新增內嵌政策)。

  5. 選擇 JSON 索引標籤並將以下政策複製到方塊中,以便替換方塊中的預設 JSON:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "logs:PutRetentionPolicy",
      "Resource": "*"
    }
  ]
}

  6. 選擇檢閱政策

  7. 對於 Name (名稱),輸入 CloudWatchAgentPutLogsRetention 或類似的內容,然後選擇 Create policy (建立政策)。

網路需求

注意

當伺服器位於公有子網路時,請確定可存取網際網路閘道。當伺服器位於私有子網路時,透過 NAT 閘道或 VPC 端點存取。如需有關 NAT 閘道的詳細資訊,請參閱https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

您的 Amazon EC2 執行個體必須擁有傳出網際網路存取,才能將資料傳送到 CloudWatch 或 CloudWatch Logs。如需有關如何設定網際網路存取的詳細資訊,請參閱《Amazon VPC 使用者指南》中的網際網路閘道

使用 VPC 端點

如果您使用的是 VPC,而且想要在沒有公有網際網路存取權的情況下使用 CloudWatch 代理程式,可以為 CloudWatch 和 CloudWatch Logs 設定 VPC 端點。

在您的代理上設定的端點和連接埠如下所示:

  • 若您使用代理程式收集指標,您必須針對適當的區域將 CloudWatch 端點新增至允許清單。這些端點會列在 Amazon CloudWatch 端點和配額中。

  • 若您使用代理程式收集日誌,您必須針對適當的區域將 CloudWatch Logs 端點新增至允許清單。這些端點會列在 Amazon CloudWatch Logs 端點和配額中。

  • 若您使用 Systems Manager 安裝代理程式或參數存放區來存放組態檔案,您必須針對適當的區域將 Systems Manager 端點新增至允許清單。這些端點會列在 AWS Systems Manager 端點和配額中。