Comment configurer des serveurs sur site pour utiliser des informations d’identification temportaires avec l’agent SSM et l'agent CloudWatch unifié ?

Lecture de 3 minute(s)

Je dispose d'un environnement hybride avec des serveurs sur site qui emploient l'agent AWS Systems Manager (agent SSM) et l'agent unifié Amazon CloudWatch Agent installed. Comment puis-je configurer mes serveurs sur site afin que seuls des identifiants temporaires soient utilisés ?

Solution

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente de l'AWS CLI.

L'agent CloudWatch unifié peut être installé sur des hôtes locaux pour améliorer la surveillance des performances. Vous pouvez le faire en spécifiant les informations d'identification AWS Identity and Accesses Management (IAM) qui sont inscrites dans un fichier de configuration.

Toutefois, certains cas d'utilisation peuvent nécessiter une sécurité accrue liée à la rotation des informations d'identification qui ne sont pas enregistrées dans des fichiers locaux.

Dans ce scénario de déploiement plus sécurisé, l'agent SSM permet à l'hôte local d'assumer un rôle IAM. L'agent CloudWatch unifié peut ensuite être configuré pour utiliser ce rôle IAM afin de publier des métriques et des journaux sur CloudWatch.

Pour configurer vos serveurs sur site afin que seuls des identifiants temporaires soient utilisés :

1. Intégrez l'hôte sur site à AWS System Manager.

2. Associez la politique AWS managed IAM CloudWatchAgentServerPolicy à la fonction du service IAM pour un environnement hybride. L'agent CloudWatch unifié est désormais autorisé à publier des métriques et des journaux sur CloudWatch.

3. Installez ou mettez à jour l'AWS CLI.

4. Vérifiez que le rôle IAM est associé à l'hôte sur site :

$ aws sts get-caller-identity
{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

5. Installez l'agent CloudWatch unifié.

6. Mettez à jour le fichier common-config.toml comme suit :

Pointez sur les informations d'identification générées par l'agent SSM
Définissez une configuration de proxy (le cas échéant)

Remarque : Ces informations d'identification sont actualisées par l'agent SSM toutes les 30 minutes.

Linux :

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

/etc/amazon/amazon-cloudwatch-agent/common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Windows :

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

7. Choisissez la région AWS dans laquelle les métriques unifiées de l'agent CloudWatch seront publiées.

8. Ajoutez la région dans le fichier d'informations d'identification référencé par l'agent SSM à l'étape 5. Cela correspond au fichier associé au shared_credential_file.

$ cat /root/.aws/config 
[default]
region = "eu-west-1"

Remarque : veillez à remplace eu-west-1 par votre région.

9. En fonction du système d'exploitation de votre hôte, vous devrez peut-être mettre à jour les autorisations pour permettre à l'agent CloudWatch unifié de lire le fichier d'informations d'identification de l'agent SSM. Les hôtes Windows exécutent les deux agents en tant qu'utilisateur SYSTEM et aucune autre action n'est requise.

Sous Linux, par défaut, l'agent unifié CloudWatch s'exécute en tant qu'utilisateur racine. L'agent CloudWatch unifié peut être configuré pour s'exécuter en tant qu'utilisateur non privilégié à l'aide de l'option run_as_user. Lorsque vous utilisez cette option, vous devez accorder à l'agent CloudWatch unifié l'accès au fichier d'informations d'identification.

10. Sous Windows uniquement : remplacez le type de démarrage du service de l'agent unifié CloudWatch par Automatique (début différé). Cela démarre le service CloudWatch Agent unifié après le service SSM Agent lors du démarrage.

Informations connexes

Configuration d'AWS Systems Manager pour les environnements hybrides

Téléchargez l'agent CloudWatch sur un serveur local

Installation et configuration de l'agent CloudWatch unifié pour transmettre les métriques et les journaux d'une instance EC2 vers CloudWatch

Sujets

Gestion et gouvernance

Balises

Amazon CloudWatch

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
ciao
demandé il y a 2 mois
y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a un an
Herbergement site web ecommerce
Faouziya
demandé il y a un an
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Redémarrage automatique du serveur
Excelsoins
demandé il y a 2 mois
Comment puis-je installer et configurer l’agent CloudWatch unifié pour transmettre les métriques et les journaux de mon instance EC2 vers CloudWatch ?
AWS OFFICIELA mis à jour il y a 9 mois
Pourquoi ne puis-je pas transmettre les données des journaux vers CloudWatch Logs avec l’agent awslogs ?
AWS OFFICIELA mis à jour il y a un an
Comment installer l’agent SSM sur une instance Linux Amazon EC2 lors du lancement ?
AWS OFFICIELA mis à jour il y a un an
Comment installer et configurer l'agent CloudWatch unifié pour l’utiliser avec Systems Manager ?
AWS OFFICIELA mis à jour il y a 9 mois