Per raccogliere dati dai dispositivi Amazon EC2, devi disporre delle seguenti informazioni:

Le chiavi di accesso sono costituite da un ID della chiave di accesso (ad esempio, AKIAIOSFONN7EXAMPLE) e da una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Le chiavi di accesso vengono utilizzate per firmare le richieste programmatiche inviate a EC@ se si utilizzano le operazioni Amanzon EC2 SDK, REST o Query API. Queste chiavi vengono fornite con il contratto di Amazon.

Per configurare l'origine dati Amazon AWS EC2, sono necessari l'ID della chiave di accesso AWS IAM e la chiave di accesso segreta per l'account AWS.

Compilare i campi dell'origine dati in base alle tabelle seguenti:

L'origine dati AWS EC2 include un'opzione che consente di popolare le annotazioni Insight con tag configurati su AWS. Le annotazioni devono essere denominate esattamente come i tag AWS. Insight popolerà sempre le annotazioni di tipo testo con lo stesso nome e farà un "miglior tentativo" di popolare le annotazioni di altri tipi (numero, booleano, ecc.). Se l'annotazione è di tipo diverso e l'origine dati non riesce a compilarla, potrebbe essere necessario rimuovere l'annotazione e ricrearla come tipo di testo.

Si noti che AWS fa distinzione tra maiuscole e minuscole, mentre Insight non fa distinzione tra maiuscole e minuscole. Pertanto, se si crea un'annotazione denominata “OWNER” in Insight e i tag denominati “OWNER”, “Owner” e “Owner” in AWS, tutte le variazioni AWS di “Owner” verranno mappate all'annotazione “OWNER” di Insight.

Informazioni correlate:

"Gestione delle chiavi di accesso per gli utenti IAM"

Nella sezione AWS Data Collector Advanced Configuration, è possibile impostare il campo include extra regions in modo da includere regioni aggiuntive, separate da virgola o punto e virgola. Per impostazione predefinita, questo campo è impostato su us-.*, che raccoglie su tutte le regioni US AWS. Per eseguire la raccolta su tutte regioni, impostare questo campo su .*.

Se il campo include extra regions è vuoto, il data collector raccoglierà le risorse specificate nel campo AWS Region come specificato nella sezione Configuration.

Insight supporta la raccolta di account figlio per AWS all'interno di un singolo data collector AWS. La configurazione per questa raccolta viene eseguita nell'ambiente AWS:

Best practice: Si consiglia vivamente di assegnare il criterio AWS predefinito AmazonEC2ReadOnlyAccess all'account primario ECS. Inoltre, l'utente configurato nell'origine dati deve avere almeno il AWSOrganizationsReadOnlyAccesspolicy predefinito assegnato, per eseguire query su AWS.

Per informazioni sulla configurazione dell'ambiente in modo da consentire a Insight di raccogliere dagli account figlio AWS, consultare quanto segue:

"Esercitazione: Delegare l'accesso tra gli account AWS utilizzando i ruoli IAM"

"Configurazione AWS: Accesso a un utente IAM in un altro account AWS di proprietà dell'utente"

"Creazione di un ruolo per delegare le autorizzazioni a un utente IAM"

Quando si utilizza la protezione di ruolo IAM, è necessario assicurarsi che il ruolo creato o specificato disponga delle autorizzazioni appropriate necessarie per accedere alle risorse.

Ad esempio, se si crea un ruolo IAM denominato InstanceEC2ReadOnly, è necessario impostare il criterio per concedere l'autorizzazione di accesso in sola lettura a tutte le risorse EC2 per questo ruolo IAM. Inoltre, è necessario concedere l'accesso a STS (Security Token Service) in modo che questo ruolo possa assumere ruoli diversi account.

Dopo aver creato un ruolo IAM, è possibile allegarlo quando si crea una nuova istanza EC2 o un'istanza EC2 esistente.

Dopo aver associato il ruolo IAM InstanceEc2ReadOnly a un'istanza EC2, sarà possibile recuperare la credenziale temporanea attraverso i metadati dell'istanza in base al nome del ruolo IAM e utilizzarla per accedere alle risorse AWS da qualsiasi applicazione in esecuzione su questa istanza EC2.