Comment configurer des serveurs sur site afin qu’ils utilisent des informations d'identification temporaires avec SSM Agent et l'agent CloudWatch unifié ?

Lecture de 4 minute(s)

Je dispose d'un environnement hybride avec des serveurs sur site qui utilisent l'AWS Systems Manager Agent (SSM Agent) et l'agent Amazon CloudWatch unifié. Je souhaite configurer mes serveurs sur site afin qu'ils n'utilisent que des informations d'identification temporaires.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

L'agent CloudWatch unifié utilise les informations d'identification de Gestion des identités et des accès AWS (AWS IAM) qui sont spécifiées dans un fichier de configuration pour la surveillance et la gestion des performances. Toutefois, pour une sécurité renforcée, l'agent peut alterner les informations d'identification au lieu de les stocker dans des fichiers locaux. SSM Agent permet à votre hôte local d'assumer un rôle IAM et l'agent CloudWatch utilise ce rôle pour publier des métriques et des journaux sur CloudWatch.

Configurer vos serveurs sur site pour n'utiliser que des informations d'identification temporaires

Procédez comme suit :

Intégrez votre hôte sur site à AWS System Manager. Pour plus d'informations, consultez la section Gestion des nœuds dans des environnements hybrides et multicloud avec Systems Manager.
Associez la politique CloudWatchAgentServerPolicy au rôle de service IAM. Pour obtenir des instructions, consultez la section Utilisation de la console de gestion AWS pour créer un rôle de service IAM pour les activations hybrides de Systems Manager.
Installez ou mettez à jour l'AWS CLI.

Exécutez la commande get-caller-identity suivante pour vérifier que le rôle IAM est associé à votre hôte sur site :

aws sts get-caller-identity

Exemple de sortie :

{
    "UserId": "AROAJXQ3RVCBOTUDZ2AWM:mi-070c8d5758243078f",
    "Account": "123456789012",
    "Arn": "arn:aws:sts::444455556666:assumed-role/SSMServiceRole/mi-070c8d5758243078f"
}

Vérifiez que vous avez correctement installé l'agent CloudWatch unifié.

Modifiez le fichier common-config.toml afin qu'il pointe vers les informations d'identification générées par SSM Agent. Pour obtenir des instructions, consultez la section Modification de la configuration commune et du profil nommé de l'agent CloudWatch.
Remarque : SSM Agent actualise les informations d'identification toutes les 30 minutes.
Pour Linux, exemple de chemin de fichier common.config.toml :

/opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

Exemple de sortie :

[credentials]
  shared_credential_profile = "default"
  shared_credential_file = "/root/.aws/credentials"

Pour Windows, exemple de chemin de fichier common-config.toml :

$Env:ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

Exemple de sortie :

[credentials]  shared_credential_profile = "default"
  shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

Configurez votre région AWS dans le fichier d'informations d'identification shared_credential_file auquel SSM Agent fait référence :
```
cat /root/.aws/config
 [default]
region = eu-west-1
```
Remarque : Remplacez eu-west-1 par votre région.
Pour les hôtes Linux, configurez vos autorisations pour l'agent CloudWatch afin de permettre à l'agent CloudWatch unifié de lire le fichier d'informations d'identification de SSM Agent. L'agent CloudWatch unifié s'exécute en tant qu'utilisateur racine par défaut. Si vous configurez l'agent CloudWatch afin qu'il s'exécute en tant qu'utilisateur non privilégié avec le paramètre run_as_user, accordez à cet utilisateur l'accès au fichier d'informations d'identification. Pour obtenir des instructions, consultez la section Exécution de l'agent CloudWatch en tant qu’utilisateur différent.
Important : Pour les hôtes Windows, ignorez cette étape. Les deux agents s'exécutent en tant qu'utilisateur SYSTEM.
Ouvrez Services sur votre serveur Windows, puis choisissez Propriétés de l'agent Amazon CloudWatch pour configurer le démarrage du service d'agent CloudWatch.
Dans Propriétés, sélectionnez la liste déroulante Type de démarrage, puis choisissez Automatique (démarrage différé).
Remarque : Le type de démarrage Automatique (démarrage différé) démarre automatiquement le service d'agent CloudWatch après le service SSM Agent.

Informations connexes

Télécharger l'agent CloudWatch sur un serveur sur site

Comment puis-je installer et configurer l’agent CloudWatch unifié pour envoyer les métriques et les journaux de mon instance EC2 à CloudWatch ?

Sujets: Management & Governance Networking & Content Delivery
Balises: Amazon CloudWatch
Langue: Français

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

Serveur freeze => analyse post-incident
EC2 freeze
demandé il y a 2 ans
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a 3 ans
ACCES SERVEUR DEPUIS UN NAVIGATEUR
rePost-User-1938638
demandé il y a 2 ans
mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
rePost-User-2785495
demandé il y a 2 ans
CloudWatch – Comment enregistrer le temps de chargement de chaque URL dans les logs ?
Mirado
demandé il y a un an
Comment installer et configurer l'agent CloudWatch unifié pour l’utiliser avec Systems Manager ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je installer et configurer l’agent CloudWatch unifié pour envoyer les métriques et les journaux de mon instance EC2 à CloudWatch ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre les échecs d’installation d’AWS Replication Agent sur mon serveur Windows ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment utiliser Application Migration Service pour migrer un serveur sur site vers AWS ?
AWS OFFICIELA mis à jour il y a 3 ans