Wie kann ich lokale Server so konfigurieren, dass sie temporäre Anmeldeinformationen mit dem SSM Agent und Unified CloudWatch Agent verwenden?

Lesedauer: 3 Minute
0

Ich verfüge über eine Hybridumgebung mit lokalen Servern, die den AWS Systems Manager Agent (SSM Agent) verwenden und den Unified Amazon CloudWatch Agent installiert haben. Wie kann ich meine lokalen Server so konfigurieren, dass sie nur temporäre Anmeldeinformationen verwenden?

Lösung

Hinweis: Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

Der Unified CloudWatch Agent kann auf On-Premises-Hosts installiert werden, um die Leistungsüberwachung zu verbessern. Sie können dies tun, indem Sie die Anmeldeinformationen für AWS Identity and Accesses Management (IAM) angeben, die in eine Konfigurationsdatei geschrieben werden.

In einigen Anwendungsfällen ist jedoch möglicherweise eine höhere Sicherheit durch rotierende Anmeldeinformationen erforderlich, die nicht in lokalen Dateien gespeichert werden.

In diesem sichereren Bereitstellungsszenario ermöglicht der SSM-Agent dem On-Premises-Host, eine IAM-Rolle zu übernehmen. Anschließend kann der Unified CloudWatch Agent so konfiguriert werden, dass er diese IAM-Rolle verwendet, um Metriken und Protokolle in CloudWatch zu veröffentlichen.

Gehen Sie wie folgt vor, um Ihre On-Premises-Server so zu konfigurieren, dass sie nur temporäre Anmeldeinformationen verwenden:

1.Integrieren Sie den On-Premises-Host in den AWS System Manager.

2.Verknüpfen Sie die von AWS verwaltete IAM CloudWatchAgentServerPolicy mit der IAM-Servicerolle für eine Hybridumgebung. Der Unified CloudWatch Agent verfügt nun über die Berechtigungen, Metriken und Protokolle in CloudWatch zu veröffentlichen.

3.Installieren oder aktualisieren Sie die AWS-CLI.

4.Vergewissern Sie sich, dass die IAM-Rolle mit dem On-Premises-Host verknüpft ist:

$ aws sts get-caller-identity
{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

5.Installieren Sie den Unified CloudWatch Agent.

6.Aktualisieren Sie die Datei common-config.toml auf:

  • Verweisen Sie auf die vom SSM Agent generierten Anmeldeinformationen
  • Richten Sie eine Proxy-Konfiguration ein (falls zutreffend)

Hinweis: Diese Anmeldeinformationen werden vom SSM Agent alle 30 Minuten aktualisiert.

Linux:

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml
/etc/amazon/amazon-cloudwatch-agent/common-config.toml
[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Windows:

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml
[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

7.Wählen Sie die AWS-Region aus, in der die Metriken des Unified CloudWatch Agents veröffentlicht werden.

8.Fügen Sie die Region in der Anmeldeinformationsdatei hinzu, auf die der SSM Agent in Schritt 5 verweist. Diese entspricht der Datei, die mit der shared_credential_file verknüpft ist.

$ cat /root/.aws/config
[default]
region = "eu-west-1"

Hinweis: Achten Sie darauf, eu-west-1 durch Ihre Zielregion zu ersetzen.

9.Abhängig von Ihrem Host-Betriebssystem müssen Sie möglicherweise die Berechtigungen aktualisieren, damit der Unified CloudWatch Agent die Datei mit den Anmeldeinformationen des SSM Agents lesen kann. Windows-Hosts führen beide Agenten als SYSTEM-Benutzer aus und es sind keine weiteren Maßnahmen erforderlich.

Bei Linux-Hosts wird der Unified CloudWatch Agent standardmäßig als Root-Benutzer ausgeführt. Der Unified CloudWatch Agent kann mit der Option run_as_user so konfiguriert werden, dass er als nicht privilegierter Benutzer ausgeführt wird. Wenn Sie diese Option verwenden, müssen Sie dem Unified CloudWatch Agent Zugriff auf die Datei mit den Anmeldeinformationen gewähren.

10.(Nur Windows) Ändern Sie den Starttyp des Unified CloudWatch Agent-Dienstes zu Automatisch (verzögert). Hierdurch wird der Unified CloudWatch Agent-Dienst nach dem SSM Agent-Dienst beim Booten gestartet.


Ähnliche Informationen

AWS Systems Manager für Hybridumgebungen einrichten

Den CloudWatch Agent auf einen On-Premises-Server herunterladen

Installation und Konfiguration des Unified CloudWatch Agents, um Metriken und Protokolle von einer EC2-Instance an CloudWatch zu übertragen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr