View a markdown version of this page

CloudWatch preferenza per le credenziali dell'agente - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudWatch preferenza per le credenziali dell'agente

Questa sezione descrive la catena di fornitori di credenziali utilizzata dall' CloudWatch agente per ottenere le credenziali quando comunica con altri AWS servizi e API. L'ordinamento è il seguente:

Nota

Le preferenze elencate nei numeri da due a cinque hanno lo stesso ordine di preferenze definito nell'SDK. AWS Per ulteriori informazioni, consulta Specifying Credentials nella documentazione dell'SDK.

  1. File di configurazione e credenziali condivisi come definiti nel file dell' CloudWatch agente. common-config.toml Per ulteriori informazioni, consulta Installa l' CloudWatch agente utilizzando AWS Systems Manager.

  2. AWS Variabili di ambiente SDK

    Importante

    In Linux, se si esegue l' CloudWatch agente utilizzando lo amazon-cloudwatch-agent-ctl script, lo script avvia l'agente come systemd servizio. In questo caso, le variabili di ambiente come HOME, AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY non sono accessibili dall'agente.

  3. File di configurazione e credenziali condivisi presenti in $HOME/%USERPROFILE%

    Nota

    L' CloudWatch agente cerca .aws/credentials $HOME in Linux e macOS e %USERPROFILE% in Windows. Queste variabili di ambiente si risolvono nella home directory dell'utente con cui viene eseguito l'agente: root su Linux e macOS (o run_as_user se configurato) e LocalSystem su Windows.

    A differenza dell' AWS SDK, l' CloudWatch agente non dispone di metodi di fallback per determinare la home directory se le variabili di ambiente sono inaccessibili. Questa differenza di comportamento serve a mantenere la retrocompatibilità con le implementazioni precedenti dell'SDK AWS .

    Inoltre, a differenza delle credenziali condivise presenti incommon-config.toml, se le credenziali AWS SDK-derived condivise scadono e vengono ruotate, le credenziali rinnovate non vengono ritirate automaticamente dall' CloudWatch agente e per farlo richiedono il riavvio dell'agente.

  4. Un AWS Identity and Access Management ruolo per le attività se è presente un'applicazione che utilizza una definizione di attività di Amazon Elastic Container Service o un'operazione RunTask API.

  5. Collegare un profilo dell'istanza a un'istanza Amazon EC2

Come best practice, ti consigliamo di specificare le credenziali nel seguente ordine quando usi l' CloudWatch agente.

  1. Usa i ruoli IAM per le attività se la tua applicazione utilizza una definizione di attività di Amazon Elastic Container Service o un'operazione RunTask API.

  2. Usa i ruoli IAM se la tua applicazione viene eseguita su un'istanza Amazon EC2.

  3. Utilizza il common-config.toml file CloudWatch dell'agente per specificare il file delle credenziali. Questo file di credenziali è lo stesso utilizzato da altri AWS SDK e da. AWS CLI Se stai già utilizzando un file di credenziali condiviso, puoi utilizzare anche tale file per questo scopo. Se lo fornisci utilizzando il common-config.toml file dell' CloudWatch agente, ti assicuri che l'agente utilizzi le credenziali ruotate quando scadono e verranno sostituite senza che sia necessario riavviare l'agente.

  4. Usa le variabili di ambiente. L'impostazione di variabili di ambiente è utile se si sta eseguendo il lavoro di sviluppo su un computer diverso da un'istanza Amazon EC2.

Nota

Se invii telemetria a un altro account come spiegato inInvio di parametri, log e tracce a un altro account, l' CloudWatch agente utilizza la catena di fornitori di credenziali descritta in questa sezione per ottenere il set iniziale di credenziali. Utilizza quindi tali credenziali quando assume il ruolo IAM specificato da nel file di configurazione dell'agente. role_arn CloudWatch