Um Daten von Amazon EC2 Geräten zu erfassen, müssen Sie folgende Informationen haben:

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID (z. B. AKIAIOSFODN7EXAMPLE) und einem geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Sie verwenden Zugriffsschlüssel, um programmatische Anfragen zu signieren, die Sie an EC2 vornehmen, wenn Sie die Amazon EC2 SDKs, REST oder Abfrage-API-Operationen verwenden. Diese Schlüssel werden mit Ihrem Vertrag von Amazon zur Verfügung gestellt.

Geben Sie die Daten in die Felder des Datensammlers gemäß der folgenden Tabelle ein:

Zugriffsschlüssel sind langfristige Anmeldedaten für einen IAM-Benutzer oder den Root-Benutzer des AWS-Kontos. Mit Zugriffsschlüsseln werden programmatische Anfragen an die AWS CLI oder die AWS API (direkt oder über das AWS SDK) signieren.

Zugriffsschlüssel bestehen aus zwei Teilen: Einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Wenn Sie die Authentifizierung IAM Access Key verwenden (im Gegensatz zur Authentifizierung von IAM Role), müssen Sie für die Authentifizierung von Anfragen sowohl den Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel gemeinsam verwenden. Weitere Informationen finden Sie in der Amazon-Dokumentation auf "Zugriffsschlüssel".

Bei der Verwendung der Authentifizierung über IAM-Rolle (im Gegensatz zur IAM-Zugriffsschlüsselauthentifizierung) müssen Sie sicherstellen, dass die von Ihnen erstellte oder angegebene Rolle über die entsprechenden Berechtigungen verfügt, die für den Zugriff auf Ihre Ressourcen erforderlich sind.

Wenn Sie beispielsweise eine IAM-Rolle mit dem Namen InstanceEc2ReadOnly erstellen, müssen Sie die Richtlinie einrichten, um allen EC2-Ressourcen für diese IAM-Rolle schreibgeschützten Zugriff auf EC2-Listen zu gewähren. Außerdem müssen Sie STS (Security Token Service)-Zugriff gewähren, damit diese Rolle Rollenübergreifende Konten übernehmen kann.

Nachdem Sie eine IAM-Rolle erstellt haben, können Sie sie beim Erstellen einer neuen EC2-Instanz oder einer vorhandenen EC2-Instanz anhängen.

Nachdem Sie die IAM-Rolle InstanceEc2ReadOnly an eine EC2-Instanz angehängt haben, können Sie die temporären Anmeldedaten über die Metadaten der Instanz per IAM-Rollennamen abrufen und verwenden, um von jeder auf dieser EC2-Instanz ausgeführten Anwendung auf AWS-Ressourcen zuzugreifen.

Weitere Informationen finden Sie in der Amazon-Dokumentation auf "IAM-Rollen".

Hinweis: Die IAM-Rolle kann nur verwendet werden, wenn die Acquisition Unit in einer AWS-Instanz ausgeführt wird.

Der Amazon EC2 Data Collector bietet eine Option, mit der Sie Cloud Insights Annotationen mit Tags ausfüllen können, die auf EC2 konfiguriert sind. Die Anmerkungen müssen genau wie die EC2-Tags benannt werden. Cloud Insights wird immer die gleichen Textanmerkungen mit dem gleichen Namen ausfüllen und versucht, Anmerkungen anderer Typen (Nummer, boolescher Wert usw.) am besten auszufüllen. Wenn Ihre Anmerkung einen anderen Typ hat und der Datensammler sie nicht füllt, kann es erforderlich sein, die Anmerkung zu entfernen und sie als Texttyp neu zu erstellen.

Bei AWS werden die Groß-/Kleinschreibung berücksichtigt, während die Groß-/Kleinschreibung von Cloud Insights nicht berücksichtigt wird. Wenn Sie also eine Annotation mit dem Namen „EIGENTÜMER“ in Cloud Insights und den Tags mit dem Namen „EIGENTÜMER“, „Eigentümer“ und „Eigentümer“ in EC2 erstellen, wird all die EC2-Varianten des „EIGENTÜMERS“ der Annotation von Cloud Insight zugeordnet.

Im Abschnitt AWS Data Collector Erweiterte Konfiguration können Sie das Feld * zusätzliche Regionen* so einstellen, dass zusätzliche durch Komma oder Semikolon getrennte Bereiche einbezogen werden. Standardmäßig ist dieses Feld auf US-.* gesetzt, das auf allen US AWS Regionen sammelt. Um in all Regionen zu sammeln, setzen Sie dieses Feld auf .*. Ist das Feld zusätzliche Regionen leer, sammelt der Datensammler die im Feld AWS Region angegebenen Werte, wie im Abschnitt Konfiguration angegeben.

Cloud Insights unterstützt die Erfassung von untergeordneten Konten für AWS innerhalb eines einzigen AWS Datensammlers. Die Konfiguration dieser Sammlung erfolgt in der AWS-Umgebung:

Best Practice: Es wird dringend empfohlen, dem EC2-Hauptkonto die vordefinierte Richtlinie AmazonEC2ReadOnlyAccess zuzuweisen. Außerdem sollte dem in der Datenquelle konfigurierten Benutzer mindestens die vordefinierte Richtlinie AWSOrganizationsReadOnlyAccess zugewiesen sein, um AWS abzufragen.

Informationen zum Konfigurieren Ihrer Umgebung, damit Cloud Insights von den AWS-Child-Konten erfasst werden kann, finden Sie im folgenden Abschnitt:

"Tutorial: Delegieren des Zugriffs über AWS Konten mithilfe von IAM-Rollen"

"AWS Setup: Zugriff auf einen IAM-Benutzer in einem anderen AWS-Konto bereitstellen, das Sie besitzen"

"Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer"

Weitere Informationen zu diesem Data Collector finden Sie im "Unterstützung" Oder auf der "Data Collector Supportmatrix".