

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 先決條件
<a name="prerequisites"></a>

在第一次安裝 CloudWatch 代理程式之前，請確定滿足下列先決條件。

## 適用於 CloudWatch 代理程式的 IAM 角色和使用者
<a name="iam-setup"></a>

存取 AWS 資源需要許可。您可以建立 IAM 角色、IAM 使用者，或同時建立兩者來授予 CloudWatch 代理程式將指標寫入 CloudWatch 時所需要的許可。

### 針對 Amazon EC2 執行個體建立 IAM 角色
<a name="iam-role-ec2"></a>

若您要在 Amazon EC2 執行個體上執行 CloudWatch 代理程式，請使建立具備必要許可的 IAM 角色。

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 確定在 **Trusted entity type** (受信任實體類型) 下，選取 **AWS service** ( 服務)。

1. 對於**使用案例**，在**常用使用案例**下選擇 **EC2**。

1. 選擇**下一步**。

1. 在政策清單中，選取 **CloudWatchAgentServerPolicy** 旁的核取方塊。如有需要，請使用搜尋方塊來尋找政策。

1. 選擇**下一步**。

1. 在**角色名稱**中，為您的角色輸入名稱，例如 `CloudWatchAgentServerRole`。您可以選擇性地給予它一個描述。然後選擇 **Create role** (建立角色)。

(選用) 如果代理程式要將日誌傳送到 CloudWatch Logs，並且您希望代理程式能夠為這些日誌群組設定保留政策，則您需要將 `logs:PutRetentionPolicy` 許可新增至角色。

### 為內部部署伺服器建立 IAM 使用者
<a name="iam-user-onprem"></a>

若您要在內部部署伺服器上執行 CloudWatch 代理程式，請建立必要具備必要許可的 IAM 使用者。

**注意**  
此種情況需要具備程式化存取權限且擁有長期憑證的 IAM 使用者，此舉將構成安全風險。為了協助降低此風險，建議您只為這些使用者提供執行任務所需的許可，並在不再需要這些使用者時將其移除。

1. 登入 AWS 管理主控台，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**使用者**，然後選擇**新增使用者**。

1. 為新使用者輸入使用者名稱。

1. 選取 **Access key - Programmatic access** (存取金鑰 - 程式設計存取)，然後選擇 **Next: Permissions** (下一步：許可)。

1. 選擇**直接連接現有政策**。

1. 在政策清單中，選取 **CloudWatchAgentServerPolicy** 旁的核取方塊。如有需要，請使用搜尋方塊來尋找政策。

1. 選擇下**一步：標籤**。

1. (選用) 為新 IAM 建立標籤，然後選擇**下一步：檢閱**。

1. 確認列出的是正確的政策，然後選擇 **Create user** (建立使用者)。

1. 在新使用者名稱的旁邊，選擇 **Show (顯示)**。將存取金鑰和秘密金鑰複製至檔案，以便在安裝代理程式時使用。選擇**關閉**。

### 將 IAM 角色連結至 Amazon EC2 執行個體
<a name="attach-iam-role"></a>

若要啟用 CloudWatch 代理程式來從 Amazon EC2 執行個體傳送資料，必須將您建立的 IAM 角色連結到執行個體。

如需有關將 IAM 角色連結至執行個體的詳細資訊，請參閱《Amazon Elastic Compute Cloud 使用者指南》中的[將 IAM 角色連結至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)。

### 允許 CloudWatch 代理程式設定日誌保留政策
<a name="CloudWatch-Agent-PutLogRetention"></a>

您可以設定 CloudWatch 代理程式，以便為代理程式向其傳送日誌事件的日誌群組設定保留政策。如果您這樣做，您必須將 `logs:PutRetentionPolicy` 授予代理程式使用的 IAM 角色或使用者。代理程式使用 IAM 角色在 Amazon EC2 執行個體上執行，並為內部部署伺服器使用 IAM 使用者。

**授予 CloudWatch 代理程式的 IAM 角色設定日誌保留政策的許可**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在左側導覽窗格中，選擇 **Roles** (角色)。

1. 在搜尋方塊中，輸入 CloudWatch 代理程式 IAM 角色名稱的開頭。您可以在建立角色時選擇此名稱。其可能被命名為 `CloudWatchAgentServerRole`。

   如果您看到該角色，請選擇角色的名稱。

1. 在 **Permissions** (許可) 索引標籤中，依次選擇 **Add permissions** (新增許可)、**Create inline policy** (建立內嵌政策)。

1. 選擇 **JSON** 索引標籤並將以下政策複製到方塊中，以便替換方塊中的預設 JSON：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. 選擇**檢閱政策**。

1. 對於 **Name** (名稱)，輸入 **CloudWatchAgentPutLogsRetention** 或類似的內容，然後選擇 **Create policy** (建立政策)。

**授予 CloudWatch 代理程式的 IAM 使用者設定日誌保留政策的許可**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在左側導覽窗格中，選擇 **Users (使用者)**。

1. 在搜尋方塊中，輸入 CloudWatch 代理程式 IAM 使用者名稱的開頭。您可以在建立使用者時選擇此名稱。

   如果您看到該使用者，請選擇使用者的名稱。

1. 針對 **Permissions** (許可) 索引標籤，選擇 **Add inline policy** (新增內嵌政策)。

1. 選擇 **JSON** 索引標籤並將以下政策複製到方塊中，以便替換方塊中的預設 JSON：

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "logs:PutRetentionPolicy",
         "Resource": "*"
       }
     ]
   }
   ```

------

1. 選擇**檢閱政策**。

1. 對於 **Name** (名稱)，輸入 **CloudWatchAgentPutLogsRetention** 或類似的內容，然後選擇 **Create policy** (建立政策)。

## 網路需求
<a name="network-requirements"></a>

**注意**  
當伺服器位於公有子網路時，請確定可存取網際網路閘道。當伺服器位於私有子網路時，透過 NAT 閘道或 VPC 端點存取。如需有關 NAT 閘道的詳細資訊，請參閱[https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

您的 Amazon EC2 執行個體必須擁有傳出網際網路存取，才能將資料傳送到 CloudWatch 或 CloudWatch Logs。如需有關如何設定網際網路存取的詳細資訊，請參閱《Amazon VPC 使用者指南》中的[網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)。

### 使用 VPC 端點
<a name="vpc-endpoints"></a>

如果您使用的是 VPC，而且想要在沒有公有網際網路存取權的情況下使用 CloudWatch 代理程式，可以為 CloudWatch 和 CloudWatch Logs 設定 VPC 端點。

在您的代理上設定的端點和連接埠如下所示：
+ 若您使用代理程式收集指標，您必須針對適當的區域將 CloudWatch 端點新增至允許清單。這些端點會列在 [Amazon CloudWatch 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cw_region.html)中。
+ 若您使用代理程式收集日誌，您必須針對適當的區域將 CloudWatch Logs 端點新增至允許清單。這些端點會列在 [Amazon CloudWatch Logs 端點和配額](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)中。
+ 若您使用 Systems Manager 安裝代理程式或參數存放區來存放組態檔案，您必須針對適當的區域將 Systems Manager 端點新增至允許清單。這些端點會列在 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)中。