スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

オンプレミスサーバーが SSM Agent と統合 CloudWatch Agent で一時的認証情報を使用するよう構成する方法を教えてください。

所要時間2分
0

ハイブリッド環境において、AWS Systems Manager Agent (SSM Agent) と統合 Amazon CloudWatch エージェントを使用しています。オンプレミスサーバーが一時的認証情報のみを使用するよう構成したいと考えています。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

統合 CloudWatch エージェントは、構成ファイルで指定した AWS Identity and Access Management (IAM) 認証情報を使用してパフォーマンスを監視、管理します。ただし、セキュリティ強化の目的で、エージェントは認証情報をローカルファイルに保存せず、ローテーションする場合があります。SSM Agent では、オンプレミスホストが IAM ロールを引き受けることができます。CloudWatch エージェントは、このロールを用いてメトリクスとログを CloudWatch に発行します。

オンプレミスサーバーが一時的認証情報のみを使用するよう構成する

次の手順を実行します。

  1. オンプレミスホストを AWS Systems Manager と統合します。詳細については、「Systems Manager でハイブリッド環境とマルチクラウド環境のノードを管理する」を参照します。

  2. ポリシー CloudWatchAgentServerPolicy を IAM サービスロールにアタッチします。手順については、「AWS マネジメントコンソールを使用して Systems Manager ハイブリッドアクティベーション用の IAM サービスロールを作成する」を参照してください。

  3. AWS CLI をインストールするか更新します

  4. 次の get-caller-identity コマンドを実行し、IAM ロールがオンプレミスホストにアタッチされていることを確認します。

    aws sts get-caller-identity

    出力例:

    {
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::444455556666:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

  5. 統合 CloudWatch エージェントが正しくインストールされていることを確認します

  6. common-config.toml ファイルを更新し、SSM Agent が生成した認証情報を指定します。手順については、「CloudWatch エージェントの共通構成と名前付きプロファイルを変更する」を参照してください。
    注: SSM Agent は、30 分ごとに認証情報を更新します。
    common.config.toml ファイルパスの例 (Linux):

    /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

    出力例:

    [credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

    common.config.toml ファイルパスの例 (Windows):

    $Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

    出力例:

    [credentials]  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

  7. SSM Agent が参照する shared_credential_file 認証情報で使用する AWS リージョンを構成します。

    cat /root/.aws/config
 [default]
region = eu-west-1

    注: eu-west-1 を目的のリージョンに置き換えてください。

  8. Linux ホストでは、統合 CloudWatch エージェントに SSM Agent 認証情報ファイルの読み取りを許可するよう CloudWatch エージェントの権限を構成します。統合 CloudWatch エージェントは、デフォルトでは root ユーザーで実行されます。run_as_user パラメータを指定し、CloudWatch エージェントを非特権ユーザーとして実行するよう構成する場合は、このユーザーに認証情報へのアクセス権を付与します。手順については、「CloudWatch エージェントを別のユーザーとして実行する」を参照してください。
    重要: Windows ホストでは、このステップをスキップしてください。両方のエージェントは SYSTEM ユーザーとして実行されます。

  9. Windows サーバーで [サービス] を開き、[Amazon CloudWatch エージェントのプロパティ] を選択して CloudWatch エージェントサービスの起動を構成します。
    [プロパティ][スタートアップの種類] ドロップダウンリストを選択し、[自動 (遅延開始)] を選択します。
    注: スタートアップの種類を [自動 (遅延開始)] に設定すると、CloudWatch エージェントサービスは SSM Agent サービスの後に自動で起動します。

関連情報

CloudWatch エージェントをオンプレミスサーバーにダウンロードする

EC2 インスタンスから CloudWatch にメトリクスとログを送信するために、統合 CloudWatch エージェントをインストールして設定する方法を教えてください

トピック
Management & GovernanceNetworking & Content Delivery
タグ
Amazon CloudWatch
言語
日本語
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ