要从 Amazon EC2 设备收集数据，您必须具有以下信息：

访问密钥由一个访问密钥 ID （例如， AKIIOSFODNN7EXAMPLE ）和一个机密访问密钥（例如， wJALRXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY ）组成。如果您使用 Amazon EC2 SDK ， REST 或查询 API 操作，则可以使用访问密钥对向 EC2 发出的编程请求进行签名。这些密钥随 Amazon 的合同一起提供。

根据下表在数据收集器字段中输入数据：

访问密钥是 IAM 用户或 AWS 帐户 root 用户的长期凭据。访问密钥用于对指向 AWS 命令行界面或 AWS API 的编程请求进行签名（直接或使用 AWS SDK ）。

访问密钥包括两部分：访问密钥 ID 和机密访问密钥。使用 _IAM 访问密钥 _ 身份验证（与 _IAM 角色 _ 身份验证不同）时，必须同时使用访问密钥 ID 和机密访问密钥来对请求进行身份验证。有关详细信息，请参见上的 Amazon 文档 "访问密钥"。

使用 IAM role 身份验证（与 IAM 访问密钥身份验证不同）时，您必须确保您创建或指定的角色具有访问资源所需的适当权限。

例如，如果您创建了一个名为 _InstanceEE2ReadOnly" 的 IAM 角色，则必须设置此策略，以便为此 IAM 角色向所有 EC2 资源授予 EC2 只读列表访问权限。此外，您还必须授予 STS （安全令牌服务）访问权限，以便允许此角色跨帐户承担角色。

创建 IAM 角色后，您可以在创建新的 EC2 实例或任何现有 EC2 实例时附加此角色。

将 IAM 角色 _InstanceEE2ReadOnly" 附加到 EC2 实例后，您将能够通过实例元数据按 IAM 角色名称检索临时凭据，并使用它通过在此 EC2 实例上运行的任何应用程序访问 AWS 资源。

有关详细信息，请参见上的 Amazon 文档 "IAM 角色"。

注意：只有在采集单元在 AWS 实例中运行时，才能使用 IAM 角色。

Amazon EC2 数据收集器提供了一个选项，可用于使用 EC2 上配置的标记填充 Cloud Insights 标注。标注的名称必须与 EC2 标记完全相同。Cloud Insights 将始终填充同名文本类型的标注，并 " 尽力 " 填充其他类型（数字，布尔值等）的标注。如果您的标注类型不同，而数据收集器无法填充，则可能需要删除此标注并将其重新创建为文本类型。

请注意， AWS 区分大小写，而 Cloud Insights 不区分大小写。因此，如果您在 Cloud Insights 中创建了一个名为 "owner" 的标注，并在 EC2 中创建了名为 "owner" ， "owner" 和 "owner" 的标记，则所有 EC2 变体 "owner" 都将映射到 Cloud Insight 的 "owner" 标注。

在 AWS Data Collector * 高级配置 * 部分中，您可以设置 * 包括额外区域 * 字段以包括其他区域，以逗号或分号分隔。默认情况下，此字段设置为 * 。 * _ * ，它会在所有美国 AWS 地区收集数据。要在 all 地区收集数据，请将此字段设置为 * 。 * _ * 。如果 * 包括额外区域 * 字段为空，则数据收集器将收集在 * 配置 * 部分中指定的 * AWS 区域 * 字段中指定的资产。

Cloud Insights 支持在一个 AWS 数据收集器中收集 AWS 的子帐户。此收集的配置在 AWS 环境中执行：

最佳实践：强烈建议将 AWS 预定义的 AmazonEC2ReadOnlyAccess 策略分配给 EC2 主帐户。此外，在数据源中配置的用户应至少分配预定义的 AWSOrganizationsReadOnlyAccess 策略，以便查询 AWS 。

有关配置环境以允许 Cloud Insights 从 AWS 子帐户收集数据的信息，请参见以下内容：

"教程：使用 IAM 角色跨 AWS 帐户委派访问"

"AWS 设置：在您拥有的另一个 AWS 帐户中提供对 IAM 用户的访问权限"

"创建角色以将权限委派给 IAM 用户"

可从中找到此数据收集器上的追加信息 "支持" 页面或中的 "数据收集器支持列表"。