Come posso configurare i server on-premises per l'utilizzo di credenziali temporanee con l'Agente SSM e l'agente CloudWatch unificato?
Ho un ambiente ibrido con server on premises che utilizzano l'Agente AWS Systems Manager (Agente SSM) e l'agente Amazon CloudWatch unificato. Desidero configurare i miei server on-premises in modo che utilizzino solo credenziali temporanee.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
L'agente CloudWatch unificato utilizza le credenziali AWS Identity and Access Management (AWS IAM) specificate in un file di configurazione per il monitoraggio e la gestione delle prestazioni. Tuttavia, per una maggiore sicurezza, l'agente potrebbe ruotare le credenziali invece di archiviarle in file locali. L'Agente SSM consente all'host on-premises di assumere un ruolo IAM e l'agente CloudWatch utilizza questo ruolo per pubblicare metriche e log in CloudWatch.
Configura i server on-premises in modo che utilizzino solo credenziali temporanee
Completa i seguenti passaggi:
-
Integra l'host on-premises con AWS System Manager. Per ulteriori informazioni, consulta Gestione dei nodi in ambienti ibridi e multicloud con Systems Manager.
-
Collega la policy CloudWatchAgentServerPolicy al ruolo del servizio IAM. Per istruzioni, consulta Utilizzo della Console di Gestione AWS per creare un ruolo di servizio IAM per le attivazioni ibride di Systems Manager.
-
Esegui questo comando get-caller-identity per verificare che il ruolo IAM sia collegato all'host on-premises:
aws sts get-caller-identityEsempio di output:
{ "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f", "Account": "123456789012", "Arn": "arn:aws:sts::444455556666:assumed-role/SSMServiceRole/mi-070c8d5758243078f" } -
Verifica di aver installato correttamente l'agente CloudWatch unificato.
-
Modifica il file common-config.toml in modo che punti verso le credenziali generate dall'Agente SSM. Per istruzioni, consulta Modifica della configurazione comune e del profilo denominato per l'agente CloudWatch.
Nota: l'Agente SSM aggiorna le credenziali ogni 30 minuti.
Esempio di percorso del file common.config.toml per Linux:/opt/aws/amazon-cloudwatch-agent/etc/common-config.tomlEsempio di output:
[credentials] shared_credential_profile = "default" shared_credential_file = "/root/.aws/credentials"Esempio di percorso del file common-config.toml per Windows:
$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.tomlEsempio di output:
[credentials] shared_credential_profile = "default" shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials" -
Configura la Regione AWS nel file delle credenziali shared_credential_file a cui fa riferimento l'Agente SSM:
cat /root/.aws/config [default] region = eu-west-1Nota: sostituisci eu-west-1 con la tua Regione.
-
Per gli host Linux, configura le autorizzazioni per l'agente CloudWatch in modo da consentirgli di leggere il file delle credenziali dell'Agente SSM. Per impostazione predefinita, l'agente CloudWatch unificato viene eseguito come utente root. Se configuri l'agente CloudWatch per l'esecuzione come utente non privilegiato con il parametro run_as_user, concedi a questo utente l'accesso al file delle credenziali. Per istruzioni, consulta Esecuzione dell'agente CloudWatch come utente diverso.
Importante: per gli host Windows, salta questo passaggio. Entrambi gli agenti vengono eseguiti come utente SYSTEM. -
Apri Servizi sul server Windows, quindi scegli Proprietà dell'agente Amazon CloudWatch per configurare l'avvio del servizio dell'agente CloudWatch.
In Proprietà, seleziona l'elenco a discesa Tipo di avvio, quindi scegli Avvio automatico (ritardato).
Nota: Il tipo di avvio Avvio automatico (ritardato) avvia automaticamente il servizio dell'agente CloudWatch dopo il servizio dell'Agente SSM.
Informazioni correlate
- Lingua
- Italiano
