コンテンツにスキップ

CloudWatch エージェント

CloudWatch エージェントのデプロイ

CloudWatch エージェントは、単一のインストール、分散構成ファイルの使用、複数の構成ファイルのレイヤリング、完全な自動化を使用してデプロイできます。適切なアプローチはニーズによって異なります1

Success

Windows と Linux のホストへのデプロイの両方が、構成を Systems Manager Parameter Store に保存および取得する機能を備えています。この自動メカニズムを通じた CloudWatch エージェント構成のデプロイはベストプラクティスです。

Tip

あるいは、CloudWatch エージェントの構成ファイルは、選択した自動化ツール (AnsiblePuppet など) を使用してデプロイできます。Systems Manager Parameter Store の使用は必須ではありませんが、管理を簡素化します。

AWS 外でのデプロイ

CloudWatch エージェントの使用は AWS 内に限定されておらず、オンプレミスと他のクラウド環境の両方でサポートされています。ただし、AWS 外で CloudWatch エージェントを使用する場合、以下の 2 つの追加の考慮事項に留意する必要があります。

  1. エージェントが必要な API 呼び出しを行うことを許可する IAM 資格情報2 の設定。EC2 であっても CloudWatch API への認証なしアクセスはありません5
  2. インターネットを介して、AWS Direct Connect を使用して、または プライベートエンドポイント(通常、VPC エンドポイントと呼ばれる)を使用して、要件を満たすルートを介してエージェントが CloudWatch、CloudWatch Logs およびその他の AWS エンドポイント3 に接続できることを確認してください。

Info

お客様の環境と CloudWatch 間のトランスポートは、ガバナンスとセキュリティの要件に合致する必要があります。概して、AWS 外のワークロードにプライベートエンドポイントを使用することは、最も厳格に規制された業界のお客様のニーズにも対応できます。ただし、ほとんどのお客様はパブリックエンドポイントを介して十分にサービスを利用できます。

プライベートエンドポイントの使用

メトリクスとログをプッシュするために、CloudWatch エージェントは CloudWatch および CloudWatch Logs エンドポイントへの接続が必要です。エージェントのインストール場所に基づいて、これを実現する方法はいくつかあります。

VPC から

a. EC2 で実行されているエージェントと CloudWatch の間の完全にプライベートかつセキュアな接続を確立するために、VPC エンドポイント(CloudWatch と CloudWatch Logs 用)を利用できます。このアプローチでは、エージェントトラフィックがインターネットを経由することはありません。

b. もう1つの選択肢は、プライベートサブネットがインターネットに接続できるが、インターネットからの未承諾のインバウンド接続を受信できないパブリック NAT ゲートウェイ を持つことです。

Note

このアプローチでは、エージェントトラフィックが論理的にインターネット経由でルーティングされることに注意してください。

c. 既存の TLS と Sigv4 メカニズムを超えたプライベートまたはセキュアな接続性の要件がない場合、エンドポイントへの接続性を提供するための最も簡単なオプションは、インターネットゲートウェイ を持つことです。

オンプレミスやその他のクラウド環境から

a. AWS 外で実行されているエージェントは、インターネット(独自のネットワーク設定を介して)または Direct Connect Public VIF を経由して、CloudWatch のパブリックエンドポイントに接続できます。

b. エージェントトラフィックをインターネット経由にしたくない場合は、VPC インターフェイスエンドポイントを利用できます。これは AWS PrivateLink によって動作し、Direct Connect Private VIF や VPN を使用してオンプレミスネットワークまでプライベート接続を拡張します。トラフィックがインターネットに公開されることがなく、脅威ベクトルが排除されます。

Success

オンプレミスで実行される CloudWatch エージェントが使用できるように、AWS Systems Manager エージェント から取得した資格情報を使用して一時的な AWS アクセストークンを追加できます。

  1. CloudWatch エージェントの使用とデプロイに関するガイダンスが記載されたブログ Getting started with open source Amazon CloudWatch Agent を参照してください。 

  2. オンプレミスおよびその他のクラウド環境で実行されているエージェントの認証情報設定に関するガイダンス  

  3. CloudWatch エンドポイントへの接続性の検証方法  

  4. オンプレミスのプライベート接続に関するブログ  

  5. オブザーバビリティに関連するすべての AWS API の使用は、通常、インスタンスプロファイルによって実現されます。これは、AWS で実行されているインスタンスとコンテナーに一時的なアクセス資格情報を付与するメカニズムです。