是否可以在正在运行的EC2实例上启用CloudWatch？

Question

看起来亚马逊有一个现成的IAM角色来授予CloudWatch写访问实例。 （限制性较强的could also be created if necessary）

但看起来你是cannot attach an IAM role to a running instance.

我错过了什么吗？我是否真的必须重新实例化我的整个机队才能启用CloudWatch？出于安全原因，我不愿意在每台主机上保存明文凭证。

Answer 1

我假设您正在谈论自定义CloudWatch指标。您不必重新启动任何实例来启用它们。您可以使用以下策略在IAM中创建组，并将用户添加到该组：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "****************",
        "Effect": "Allow",
        "Action": [
            "cloudwatch:PutMetricData"
        ],
        "Resource": [
            "*"
        ]
    }
]
}

然后，您基本上将此用户的凭据复制到awscred文件，并将perl脚本添加到cron。是的，我必须将凭据复制到启用了自定义指标收集的每台计算机上。

Answer 2

您是否考虑过简单地修改现有的IAM角色以启用对CloudWatch的写入？该更改应立即生效，不需要重新启动或重新启动。