Pour collecter des données à partir de terminaux Amazon EC2, vous devez disposer des informations suivantes :

Les clés d'accès comprennent un ID de clé d'accès (par exemple, AKIAIOSFONDN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Vous utilisez les clés d'accès pour signer les demandes de programmation que vous faites à EC@ si vous utilisez les opérations Amanzon EC2 SDK, REST ou Query API. Ces clés sont fournies avec votre contrat Amazon.

Pour configurer la source de données Amazon AWS EC2, vous devez disposer de l'ID de clé d'accès IAM AWS et de la clé d'accès secrète pour votre compte AWS.

Remplissez les champs de la source de données selon les tableaux ci-dessous :

La source de données AWS EC2 inclut une option qui vous permet de remplir les annotations Insight avec des balises configurées sur AWS. Les annotations doivent être nommées exactement comme les balises AWS. Insight remplira toujours les annotations de type texte portant le même nom et fera une « meilleure tentative » pour remplir les annotations d'autres types (nombre, booléen, etc.). Si votre annotation est d'un type différent et que la source de données ne parvient pas à la remplir, il peut être nécessaire de supprimer l'annotation et de la recréer en tant que type de texte.

AWS est sensible à la casse, tandis qu'Insight n'est pas sensible à la casse. Par conséquent, si vous créez une annotation nommée « PROPRIÉTAIRE » dans Insight, et que vous utilisez des étiquettes nommées « PROPRIÉTAIRE », « propriétaire » et « propriétaire » dans AWS, toutes les variations AWS de « propriétaire » sont mappées sur l'annotation « PROPRIÉTAIRE » d'Insight.

Informations connexes :

"Gestion des clés d'accès pour les utilisateurs IAM"

Dans la section AWS Data Collector Advanced Configuration, vous pouvez définir le champ inclure les régions supplémentaires pour inclure des régions supplémentaires, séparées par une virgule ou un point-virgule. Par défaut, ce champ est défini sur US-.*, qui collecte sur toutes les régions AWS des États-Unis. Pour collecter sur toutes régions, définissez ce champ sur .*.

Si le champ inclure les régions supplémentaires est vide, le collecteur de données collecte les ressources spécifiées dans le champ région AWS comme spécifié dans la section Configuration.

Insight prend en charge la collecte de comptes enfants pour AWS dans un collecteur de données AWS unique. La configuration de cette collection est effectuée dans l'environnement AWS :

Meilleure pratique : il est fortement recommandé d'affecter la stratégie Amazon prédéfinie AWS à la stratégie Amazon EC2ReadOnlyAccess au compte principal ECS. De même, l'utilisateur configuré dans la source de données doit avoir au moins la AWOrganizationsReadOnlyAccesspolicy prédéfinie affectée, afin d'interroger AWS.

Pour plus d'informations sur la configuration de votre environnement afin que Insight puisse être recueilli sur des comptes enfants AWS, consultez les documents suivants :

"Tutoriel : déléguer l'accès aux comptes AWS à l'aide des rôles IAM"

"Configuration AWS : accès à un utilisateur IAM dans un autre compte AWS dont vous disposez"

"Création d'un rôle pour déléguer des autorisations à un utilisateur IAM"

Lorsque vous utilisez la sécurité IAM role, vous devez vous assurer que le rôle que vous créez ou spécifiez dispose des autorisations appropriées nécessaires pour accéder à vos ressources.

Par exemple, si vous créez un rôle IAM nommé InstanceEc2ReadOnly, vous devez configurer la règle pour accorder l'autorisation d'accès à la liste en lecture seule EC2 à toutes les ressources EC2 pour ce rôle IAM. En outre, vous devez accorder l'accès STS (Security Token Service) pour que ce rôle soit autorisé à assumer des comptes croisés de rôles.

Une fois que vous avez créé un rôle IAM, vous pouvez le joindre lorsque vous créez une nouvelle instance EC2 ou toute instance EC2 existante.

Après avoir associé le rôle IAM InstanceEc2ReadOnly à une instance EC2, vous pourrez récupérer les informations d'identification temporaires via les métadonnées de l'instance par le nom de rôle IAM et les utiliser pour accéder aux ressources AWS par toute application exécutée sur cette instance EC2.