メインコンテンツまでスキップ

CloudWatch エージェント

CloudWatch エージェントのデプロイ

CloudWatch エージェントは、単一のインストール、分散構成ファイルの使用、複数の構成ファイルの階層化、そして完全な自動化を通じてデプロイできます。どのアプローチが適切かは、あなたのニーズによって異なります。1

備考

Windows と Linux ホストへのデプロイメントは、両方とも Systems Manager パラメータストア に構成を保存および取得する機能があります。この自動化されたメカニズムを通じて CloudWatch エージェントの構成をデプロイすることは、ベストプラクティスです。

ヒント

あるいは、CloudWatch エージェントの構成ファイルは、選択した自動化ツール(AnsiblePuppet など)を通じてデプロイすることもできます。Systems Manager パラメータストアの使用は必須ではありませんが、管理を簡素化します。

AWS 外でのデプロイ

CloudWatch エージェントの使用は AWS 内に限定されず、オンプレミスや他のクラウド環境でもサポートされています。ただし、AWS 外で CloudWatch エージェントを使用する場合は、以下の 2 つの追加の考慮事項に注意する必要があります:

  1. エージェントが必要な API コールを行えるように IAM 認証情報2を設定すること。EC2 でさえ、CloudWatch API への認証されていないアクセスはありません3
  2. エージェントが要件を満たすルートを使用して、CloudWatch、CloudWatch Logs、および他の AWS エンドポイント4への接続性を確保すること。これは、インターネット経由、AWS Direct Connect の使用、または プライベートエンドポイント(通常 VPC エンドポイント と呼ばれる)を通じて行うことができます。
備考

お客様の環境と CloudWatch 間のトランスポートは、ガバナンスとセキュリティの要件に合致する必要があります。一般的に、AWS 外のワークロードにプライベートエンドポイントを使用することで、最も厳しく規制された業界のお客様のニーズも満たすことができます。しかし、大多数のお客様にとっては、パブリックエンドポイントで十分なサービスを提供できます。

プライベートエンドポイントの使用

メトリクスとログをプッシュするために、CloudWatch エージェントは CloudWatch および CloudWatch Logs エンドポイントへの接続性を持つ必要があります。エージェントがインストールされている場所に応じて、これを実現するにはいくつかの方法があります。

VPC から

a. VPC エンドポイント (CloudWatch と CloudWatch Logs 用) を使用して、VPC と CloudWatch の間に完全にプライベートで安全な接続を確立し、EC2 上で実行されているエージェントを利用できます。このアプローチでは、エージェントのトラフィックがインターネットを経由することはありません。

b. もう 1 つの選択肢は、パブリックな NAT ゲートウェイ を使用することです。これにより、プライベートサブネットからインターネットに接続できますが、インターネットから予期しない着信接続を受け取ることはできません。

注記

このアプローチでは、エージェントのトラフィックは論理的にインターネット経由でルーティングされることに注意してください。

c. 既存の TLS や Sigv4 メカニズム以上のプライベートまたは安全な接続を確立する必要がない場合、最も簡単な選択肢は インターネットゲートウェイ を使用してエンドポイントへの接続を提供することです。

オンプレミスまたは他のクラウド環境から

a. AWS 外で実行されているエージェントは、インターネット経由(独自のネットワーク設定を介して)または Direct Connect パブリック VIF を通じて CloudWatch のパブリックエンドポイントに接続できます。

b. エージェントのトラフィックをインターネットを経由させたくない場合は、AWS PrivateLink を利用した VPC インターフェイスエンドポイント を活用して、Direct Connect プライベート VIF または VPN を使用してオンプレミスネットワークまでプライベート接続を拡張できます。トラフィックはインターネットに露出されないため、脅威のベクトルを排除できます。

success

AWS Systems Manager エージェント から取得した認証情報を使用して、CloudWatch エージェントが使用する 一時的な AWS アクセストークン を追加できます。

Footnotes

  1. CloudWatch エージェントの使用とデプロイメントに関するガイダンスを提供するブログについては、オープンソースの Amazon CloudWatch エージェントの使用開始 をご覧ください。

  2. オンプレミスおよび他のクラウド環境で実行されるエージェントの認証情報設定に関するガイダンス

  3. オブザーバビリティに関連するすべての AWS API の使用は、通常 インスタンスプロファイル によって実現されます。これは、AWS で実行されているインスタンスとコンテナに一時的なアクセス認証情報を付与するメカニズムです。

  4. CloudWatch エンドポイントへの接続性を確認する方法