AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

SSM Agent と統合 CloudWatch Agent で一時的な認証情報を使用するようにオンプレミスサーバーを設定するにはどうすればよいですか?

所要時間2分
0

インストールされている AWS Systems Manager Agent (SSM Agent) と統合 Amazon CloudWatch Agent を使用するオンプレミスサーバーを持つハイブリッド環境があります。一時的な認証情報のみを使用するようにオンプレミスサーバーを設定するにはどうすればよいですか?

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) のコマンド実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

統合 CloudWatch Agent をオンプレミスホストにインストールすると、パフォーマンスモニタリングを改善できます。これを実行するには、設定ファイルに書き込まれた AWS Identity and Accesses Management (IAM) 認証情報を指定します。

ただし、ユースケースによっては、ローカルファイルに保存されていない認証情報をローテーションするという、より強力なセキュリティが必要な場合があります。

このより安全なデプロイシナリオでは、SSM Agent は、オンプレミスホストが IAM ロールを引き受けることを許可します。その後、この IAM ロールを使用してメトリクスとログを CloudWatch に発行するように、統合 CloudWatch Agent を設定できます。

一時的な認証情報のみを使用するようにオンプレミスサーバーを設定するには:

1.    オンプレミスホストを AWS System Manager と統合します。

2.    AWS マネージド IAM CloudWatchAgentServerPolicyハイブリッド環境の IAM サービスロールにアタッチします。これで、CloudWatch にメトリクスとログを投稿する許可が、統合 CloudWatch Agent に付与されました。

3.    AWS CLI をインストールまたは更新します。

4.    IAM ロールがオンプレミスホストにアタッチされていることを確認します。

$ aws sts get-caller-identity
{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::123456789012:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

5.    統合 CloudWatch Agent をインストールします。

6.    次を実行するために common-config.toml ファイルを更新します。

  • SSM Agent によって生成された認証情報をポイントする
  • プロキシ構成を設定する (該当する場合)

注: これらの認証情報は、SSM Agent によって 30 分ごとに更新されます。

Linux:

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml
/etc/amazon/amazon-cloudwatch-agent/common-config.toml
[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Windows:

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml
[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

7.    統合 CloudWatch Agent メトリクスが投稿される AWS リージョンを選択します。

8.    ステップ 5 で SSM Agent が参照する認証情報ファイルにリージョンを追加します。これは、shared_credential_file に関連付けられているファイルに対応しています。

$ cat /root/.aws/config 
[default]
region = "eu-west-1"

注: eu-west-1 をターゲットリージョンに必ず置き換えてください。

9.    ホストのオペレーティングシステムによっては、Unified CloudWatch Agent が SSM Agent の認証情報ファイルを読み取ることを可能にするための許可を更新する必要がある場合があります。Windows ホストは、両方のエージェントを SYSTEM ユーザーとして実行するため、それ以上の操作は必要ありません。

Linux ホストの場合、デフォルトでは、統合 CloudWatch Agent がルートユーザーとして実行されます。統合 CloudWatch Agent は、run_as_user オプションを使用して非特権ユーザーとして実行するように設定できます。このオプションを使用する場合、認証情報ファイルに対するアクセス権を、統合 CloudWatch Agent に付与する必要があります。

10.    (Windows のみ) 統合 CloudWatch Agent サービスのスタートアップタイプを [Automatic (Delayed)] (自動 (遅延)) に変更します。これにより、起動中、かつ、SSM Agent サービスの後に、統合 CloudWatch Agent サービスが開始されます。

関連情報

ハイブリッド環境で AWS Systems Manager を設定する

オンプレミスサーバーに CloudWatch エージェントをダウンロードする

統合 CloudWatch Agent をインストールしてメトリクスとログを EC2 インスタンスから CloudWatch にプッシュするように設定する

トピック
管理とガバナンス
タグ
Amazon CloudWatch
言語
日本語
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ