Come posso configurare i server on-premise per utilizzare credenziali temporanee con SSM Agent e CloudWatch Agent unificato?

Risoluzione

Nota: se ricevi errori durante l'esecuzione dei comandi AWS Command Line Interface (AWS CLI), assicurati di utilizzare la versione più recente dell'interfaccia a riga di comando di AWS.

L'agente di CloudWatch unificato può essere installato su host on-premise per un migliore monitoraggio delle prestazioni. Puoi farlo specificando le credenziali di AWS Identity and Accesses Management (IAM) scritte in un file di configurazione.

Tuttavia, alcuni casi d'uso potrebbero richiedere una maggiore sicurezza grazie alla rotazione delle credenziali che non vengono salvate nei file locali.

In questo scenario di implementazione più sicuro, l'SSM Agent consente all'host on-premise di assumere un ruolo IAM. Quindi il CloudWatch Agent unificato può essere configurato per utilizzare questo ruolo IAM per pubblicare metriche e log su CloudWatch.

Per configurare i server locali in modo che utilizzino solo credenziali temporanee:

1. Integra l'host locale con AWS System Manager.

2. Collega la IAM CloudWatchAgentServerPolicy gestita da AWS al ruolo di servizio IAM per un ambiente ibrido. Ora l'agente CloudWatch unificato dispone delle autorizzazioni per pubblicare metriche e log su CloudWatch.

3. Installa o aggiorna l'interfaccia a riga di comando di AWS.

4. Conferma che il ruolo IAM sia associato all'host on-premise:

$ aws sts get-caller-identity
{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

5. Installa il CloudWatch Agent unificato.

6. Aggiorna il file common-config.toml a:

• Indica le credenziali generate da SSM Agent
• Imposta una configurazione proxy (se applicabile)

Nota: Queste credenziali vengono aggiornate dall'SSM Agent ogni 30 minuti.

Linux:

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

/etc/amazon/amazon-cloudwatch-agent/common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Windows:

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

7. Scegli la regione AWS in cui pubblicare le metriche unificate dell'agente CloudWatch.

8. Aggiungi la regione nel file di credenziali a cui fa riferimento l'SSM Agent nel passaggio 5. Questo corrisponde al file associato con shared_credential_file.

$ cat /root/.aws/config
[default]
region = "eu-west-1"

Nota: assicurati di sostituire eu-west-1 con la tua regione di destinazione.

9. A seconda del sistema operativo host, potrebbe essere necessario aggiornare le autorizzazioni per consentire all'agente CloudWatch unificato di leggere il file delle credenziali dell'SSM Agent. Gli host Windows eseguono entrambi gli agenti come utente SYSTEM e non sono necessarie ulteriori azioni.

Per gli host Linux, per impostazione predefinita, l'agente CloudWatch unificato viene eseguito come utente root. L'agente CloudWatch unificato può essere configurato per essere eseguito come utente non privilegiato con l'opzione run_as_user. Quando si utilizza questa opzione, è necessario concedere all'agente CloudWatch unificato l'accesso al file delle credenziali.

10. (Solo Windows) Cambia il tipo di avvio del servizio agente di CloudWatch unificato su Automatic (Delayed). Questo avvia il servizio agente di CloudWatch unificato dopo il servizio SSM Agent durante l'avvio.

---

Informazioni correlate

Configurazione di AWS Systems Manager per ambienti ibridi

Scarica l'agente di CloudWatch su un server om-premise

Installa e configura l'agente di CloudWatch unificato per inviare metriche e log da un'istanza EC2 a CloudWatch