¿Cómo puedo configurar los servidores locales para que usen credenciales temporales con SSM Agent y el agente unificado de CloudWatch?

Resolución

Nota: Si recibe errores al ejecutar comandos de Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de AWS CLI.

El agente unificado de CloudWatch se puede instalar en los hosts locales para mejorar la supervisión del rendimiento. Para ello, especifique las credenciales de AWS Identity and Accesses Management (IAM) que se escriben en un archivo de configuración.

Sin embargo, algunos casos de uso pueden requerir una mayor seguridad al rotar las credenciales que no se guardan en archivos locales.

En este escenario de implementación más seguro, el agente SSM permite que el host local asuma una función de IAM. A continuación, se puede configurar el agente unificado de CloudWatch para que utilice esta función de IAM a fin de publicar métricas y registros en CloudWatch.

Para configurar los servidores locales para que usen solo credenciales temporales:

1.    Integre el host local con AWS System Manager.

2.    Adjunte la política de IAM CloudWatchAgentServerPolicy gestionada por AWS a la función de servicio de IAM para un entorno híbrido. Ahora, el agente unificado de CloudWatch tiene los permisos para publicar métricas y registros en CloudWatch.

3.    Instale o actualice la CLI de AWS.

4.    Confirme que el rol de IAM esté asociado al host local:

$ aws sts get-caller-identity
{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

5.    Instale el agente de CloudWatch unificado.

6.    Actualice el archivo common-config.toml para:

• Señalar las credenciales generadas por SSM Agent
• Establecer una configuración proxy (si corresponde)

Nota: SSM Agent actualiza estas credenciales cada 30 minutos.

Linux:

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

/etc/amazon/amazon-cloudwatch-agent/common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Windows:

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

7.    Elija la región de AWS en la que se publicarán las métricas unificadas de CloudWatch Agent.

8.    Agregue la región al archivo de credenciales al que hace referencia el agente SSM en el paso 5. Se corresponde con el archivo asociado a shared_credential_file.

$ cat /root/.aws/config
[default]
region = "eu-west-1"

**Nota:**Asegúrese de reemplazar eu-west-1 por su región de destino.

9.    Según el sistema operativo anfitrión, es posible que tenga que actualizar los permisos para que el agente unificado de CloudWatch pueda leer el archivo de credenciales del agente SSM. Los hosts de Windows ejecutan ambos agentes como usuarios del SISTEMA y no es necesario realizar ninguna otra acción.

Para los hosts de Linux, de forma predeterminada, el agente unificado de CloudWatch se ejecuta como usuario raíz. El agente unificado de CloudWatch se puede configurar para que se ejecute como usuario sin privilegios con la opción run_as_user. Al utilizar esta opción, debe conceder al agente unificado de CloudWatch acceso al archivo de credenciales.

10.    (Solo Windows) Cambie el tipo de inicio del servicio unificado de CloudWatch Agent a Automatic (Delayed) (Automático [retrasado]). Esto inicia el servicio de agente unificado de CloudWatch después del servicio SSM Agent durante el arranque.

---

Información relacionada

Setting up AWS Systems Manager for hybrid environments (Configuración de AWS Systems Manager para entornos híbridos)

Descargue el agente de CloudWatch en un servidor local

Install and configure the unified CloudWatch Agent to push metrics and logs from an EC2 instance to CloudWatch (Instalación y configuración del agente unificado de CloudWatch para enviar métricas y registros de una instancia de EC2 a CloudWatch)