Amazon CloudWatch
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

创建 IAM 角色和用户以用于 CloudWatch 代理

要访问 AWS 资源,需要具有相应的权限。您可以创建包含所需权限的 IAM 角色和用户以使 CloudWatch 代理将指标写入到 CloudWatch 中,以及使 CloudWatch 代理与 Amazon EC2 和 AWS Systems Manager 进行通信。您可以在 Amazon EC2 实例上使用 IAM 角色,并可以在本地服务器上使用 IAM 用户来启用代理,以将数据发送到 CloudWatch。

可以使用一个角色和一个用户在服务器上安装 CloudWatch 代理,并将指标发送到 CloudWatch。要在 Systems Manager Parameter Store 中存储 CloudWatch 代理配置以允许多个服务器使用一个 CloudWatch 代理配置,则需要使用另一个角色或用户。

能够写入到 Parameter Store 是一个广泛且强大的权限,只应在需要时使用,不应将其附加到您的部署中的多个实例。如果要在 Parameter Store 中存储您的 CloudWatch 代理配置,您应该设置一个实例以在其中执行该配置,并且仅在该实例上以及使用和保存 CloudWatch 代理配置文件时使用具有写入到 Parameter Store 的权限的 IAM 角色。

注意

我们最近修改了以下过程,具体来说就是使用由 Amazon 创建的新 CloudWatchAgentServerPolicyCloudWatchAgentAdminPolicy 策略,而不需要客户自行创建这些策略。对于将文件写入 Parameter Store 和从其中下载文件,由 Amazon 创建的策略仅支持名称以“AmazonCloudWatch-”开头的文件。如果您有文件名不以 AmazonCloudWatch- 开头的 CloudWatch 代理配置文件,则这些策略不能用于将文件写入 Parameter Store 或从 Parameter Store 中下载文件。

创建 IAM 角色以用于 Amazon EC2 实例上的 CloudWatch 代理

第一个过程创建一个 IAM 角色,您需要将其附加到运行 CloudWatch 代理的每个 Amazon EC2 实例。该角色提供了从实例中读取信息并将其写入到 CloudWatch 的权限。

第二个过程创建一个 IAM 角色,您需要将该角色附加到用于创建 CloudWatch 代理配置文件的 Amazon EC2 实例 (如果要在 Systems Manager Parameter Store 中存储该文件以使其他服务器可以使用该文件)。除了从实例中读取信息并将其写入到 CloudWatch 的权限以外,该角色还提供了写入到 Parameter Store 的权限。该角色包含足以运行 CloudWatch 代理以及写入到 Parameter Store 的权限。

创建每个服务器运行 CloudWatch 代理所需的 IAM 角色

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Choose the service that will use this role,选择 EC2 Allows EC2 instances to call AWS services on your behalf。选择 Next: Permissions

  4. 在策略列表中,选中 CloudWatchAgentServerPolicy 旁边的复选框。如有必要,请使用搜索框查找策略。

  5. 如果您要使用 SSM 安装或配置 CloudWatch 代理,请选中 AmazonEC2RoleforSSM 旁边的复选框。如有必要,请使用搜索框查找策略。如果要仅通过命令行启动和配置代理,则不需要此策略。

  6. 选择 Next: Review

  7. 确认 CloudWatchAgentServerPolicy 和 (可选) AmazonEC2RoleforSSM 是否显示在 Policies 旁边。在角色名称中,键入角色的名称,例如,CloudWatchAgentServerRole。(可选) 为角色提供说明,然后选择创建角色

    将立即创建该角色。

以下过程创建也可以写入到 Parameter Store 的 IAM 角色。如果要在 Parameter Store 中存储代理配置文件以使其他服务器可以使用该文件,您需要使用该角色。除了从实例中读取信息并将其写入到 CloudWatch 的权限以外,该角色还提供了写入到 Parameter Store 的权限。写入到 Parameter Store 的权限提供了广泛的权力,不应将其附加到所有服务器,只应由管理员使用。在创建完代理配置文件并将其复制到 Parameter Store 后,您应该将该角色从实例中分离并改用 CloudWatchAgentServerPolicy

创建所需的 IAM 角色以使管理员将代理配置文件保存到 Systems Manager Parameter Store

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧的导航窗格中,选择角色,然后选择创建角色

  3. 对于 Choose the service that will use this role,选择 EC2 Allows EC2 instances to call AWS services on your behalf。选择 Next: Permissions

  4. 在策略列表中,选中 CloudWatchAgentAdminPolicy 旁边的复选框。如有必要,请使用搜索框查找策略。

  5. 如果您要使用 SSM 安装或配置 CloudWatch 代理,请选中 AmazonEC2RoleforSSM 旁边的复选框。如有必要,请使用搜索框查找策略。如果要仅通过命令行启动和配置代理,则不需要此策略。

  6. 选择 Next: Review

  7. 确认 CloudWatchAgentAdminPolicy 和 (可选) AmazonEC2RoleforSSM 是否显示在 Policies 旁边。在角色名称中,键入角色的名称,例如,CloudWatchAgentAdminRole。(可选) 为角色提供说明,然后选择创建角色

    将立即创建该角色。

创建 IAM 用户以用于本地服务器上的 CloudWatch 代理

第一个过程创建运行 CloudWatch 代理所需的 IAM 用户。此用户提供发送数据到 CloudWatch 的权限。

第二个过程创建一个 IAM 用户,您可以在创建 CloudWatch 代理配置文件时使用该文件 (如果要在 Systems Manager Parameter Store 中存储该文件以使其他服务器可以使用该文件)。除了将数据写入 CloudWatch 的权限以外,该用户还提供了写入到 Parameter Store 的权限。

创建 CloudWatch 代理将数据写入 CloudWatch 所需的 IAM 用户

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧的导航窗格中,选择用户,然后选择添加用户

  3. 为新用户键入用户名。

  4. 选择编程访问,然后选择下一步:权限

  5. 选择直接附加现有策略

  6. 在策略列表中,选中 CloudWatchAgentServerPolicy 旁边的复选框。如有必要,请使用搜索框查找策略。

  7. 如果您要使用 SSM 安装或配置 CloudWatch 代理,请选中 AmazonEC2RoleforSSM 旁边的复选框。如有必要,请使用搜索框查找策略。如果要仅通过命令行启动和配置代理,则不需要此策略。

  8. 选择 Next: Review

  9. 确认列出了正确的策略,然后选择创建用户

  10. 在新用户的名称旁边,选择显示。将访问密钥和私有密钥复制到一个文件以便在安装该代理时使用,然后选择关闭

以下过程创建也可以写入到 Parameter Store 的 IAM 用户。如果要在 Parameter Store 中存储代理配置文件以使其他服务器可以使用该文件,您需要使用该用户。除了从实例中读取信息并将其写入到 CloudWatch 的权限以外,该用户还提供了写入到 Parameter Store 的权限。写入到 Systems Manager Parameter Store 的权限提供了广泛的权力,不应将其附加到所有服务器,只应由管理员使用。只有在 Parameter Store 中存储代理配置文件时,才应使用该 IAM 用户。

创建将配置文件存储到 Parameter Store 中以及向 CloudWatch 发送信息所需的 IAM 用户

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在左侧的导航窗格中,选择用户,然后选择添加用户

  3. 为新用户键入用户名。

  4. 选择编程访问,然后选择下一步:权限

  5. 选择直接附加现有策略

  6. 在策略列表中,选中 CloudWatchAgentAdminPolicy 旁边的复选框。如有必要,请使用搜索框查找策略。

  7. 如果您要使用 SSM 安装或配置 CloudWatch 代理,请选中 AmazonEC2RoleforSSM 旁边的复选框。如有必要,请使用搜索框查找策略。如果要仅通过命令行启动和配置代理,则不需要此策略。

  8. 选择 Next: Review

  9. 确认列出了正确的策略,然后选择创建用户

  10. 在新用户的名称旁边,选择显示。将访问密钥和私有密钥复制到一个文件以便在安装该代理时使用,然后选择关闭