Comment puis-je configurer des serveurs sur site employant l'agent SSM et l'agent unifié CloudWatch afin que seuls des identifiants temporaires soient utilisés ?

Dernière mise à jour : 08/10/2020

Je dispose d'un environnement hybride avec des serveurs sur site qui emploient l'agent AWS Systems Manager (Agent SSM) et l'agent unifié Amazon CloudWatch. Comment puis-je configurer mes serveurs sur site afin que seuls des identifiants temporaires soient utilisés ?

Résolution

Lors de l'installation de l'agent unifié CloudWatch sur site, spécifiez un utilisateur AWS Identity and Access Management (IAM) avec des clés d'accès et des clés secrètes dans le fichier de configuration. Il s'agit d'identifiants à long terme qui, pour des raisons de sécurité, doivent être périodiquement renouvelés. Lorsque l'agent SSM est installé sur site, il peut remplir un rôle IAM à l'aide des identifiants temporaires.

Suivez les étapes ci-dessous pour configurer l'agent unifié CloudWatch afin que les métriques du serveur sur site soient transférées à l'aide des identifiants temporaires fournis par l'agent SSM :

1.    Configurez le fichier de configuration common-config.toml de l'agent CloudWatch pour qu'il redirige vers le fichier généré par l'agent SSM.

Remarque : le fichier de configuration est accessible dans les répertoires suivants :

  • Sous Linux : /opt/aws/amazon-cloudwatch-agent/etc
  • Sous Windows : C:\ProgramData\Amazon\AmazonCloudWatchAgent

Le fichier comportant les identifiants est mis à jour toutes les 30 minutes par l'agent SSM avec de nouvelles informations temporaires. La liaison de l'agent unifié CloudWatch au fichier des identifiants permet à l'agent CloudWatch d'utiliser les informations temporaires générées par l'agent SSM.

Windows :

[credentials]
shared_credential_profile = "default"
shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

Linux :

[credentials]
shared_credential_profile = "default"
shared_credential_file = "/root/.aws/credentials"

2.    Modifiez les autorisations pour permettre à l'agent unifié CloudWatch de lire le fichier généré par l'agent SSM.
Sous Windows : les deux agents s'exécutant avec l'utilisateur SYSTEM, aucune modification des autorisations n'est donc requise.
Sous Linux : l'agent unifié CloudWatch s'exécute en tant qu'utilisateur racine. L'agent peut également s'exécuter en tant qu'utilisateur spécifié dans le fichier de configuration de l'agent à l'aide de l'option run_as_user. Si votre agent s'exécute en tant qu'utilisateur autre que l'utilisateur racine, vous devez accorder des autorisations pour permettre à l'utilisateur de lire le fichier.

3.    Ajoutez la région sur une nouvelle ligne, à la fin du fichier de l'agent SSM. Il s'agit du fichier que vous avez configuré de sorte à effectuer une redirection vers le fichier shared_credential_file, à l'étape 1.

region = eu-west-1

Remarque : veillez à remplacer la valeur eu-west-1 par votre région.

4.    Sous Windows uniquement : remplacez le type de démarrage du service de l'agent unifié CloudWatch par Automatique (début différé). Suite à cette modification, le service de l'agent CloudWatch démarrera après le service de l'agent SSM.

5.    Associez la stratégie CloudWatchAgentServerPolicy au rôle du service IAM pour un environnement hybride, en regard de la stratégie IAM AmazonSSMManagedInstanceCore requise.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?