Guía de configuración manual de AWS

Información general

Utiliza esta guía para configurar manualmente la integración con AWS de Datadog.

    Para configurar manualmente la integración de AWS, crea una política y un rol de IAM en tu cuenta de AWS y configura el rol con un ID externo de AWS generado en tu cuenta de Datadog. Esto permite que la cuenta de AWS de Datadog consulte las API de AWS en tu nombre y extraiga datos en tu cuenta de Datadog. Las siguientes secciones detallan los pasos para crear cada uno de estos componentes y luego completar la configuración en tu cuenta de Datadog.

    La configuración de S3 Log Archives mediante la delegación de roles tiene disponibilidad limitada. Ponte en contacto con el soporte de Datadog para solicitar esta función en tu cuenta de Datadog para el Gobierno.

    Configuración

    Generar un ID externo

    1. En la página de configuración de la integración de AWS, haz clic en Add AWS Account(s) (Añadir cuentas de AWS) y, luego, selecciona Manually (Manualmente).
    2. Elige a qué partición de AWS limitar tu cuenta de AWS. La partición es aws para regiones comerciales, aws-cn para China*, o aws-us-gov para GovCloud. Consulta Parciones en la documentación de AWS para obtener más información.

    1. Selecciona Role Delegation para el tipo de acceso. La delegación de roles solo es compatible con las cuentas de AWS limitadas a regiones compatibles de AWS.

    1. Selecciona Role Delegation para el tipo de acceso. La delegación de roles solo es compatible con las cuentas de AWS limitadas a regiones comerciales de AWS o regiones AWS GovCloud.

    1. Copia el AWS External ID. Para obtener más información sobre el ID externo, lee la guía del usuario de IAM. Nota: El ID externo sigue disponible y no se vuelve a generar por 48 horas, a menos que haya sido modificado explícitamente por un usuario u otra cuenta de AWS ha sido agregada a Datadog durante este periodo. Puedes volver a la página Add AWS Account(s) (Añadir cuentas de AWS) dentro de este periodo sin que cambie el ID externo.

    Crear un rol de IAM en la integración de Datadog

    Datadog asume este rol para recopilar datos en tu nombre.

    1. Ve a la consola de IAM de AWS y haz clic en Create role.
    2. Selecciona AWS account (Cuenta de AWS) para el tipo de entidad de confianza y Another AWS account (Otra cuenta de AWS).

    1. Ingresa 464622532012 como el Account ID. Este es el ID de cuenta de Datadog y concede acceso a Datadog a tus datos de AWS.

    1. Ingresa 417141415827 como el Account ID. Este es el ID de cuenta de Datadog y concede acceso a Datadog a tus datos de AWS.

    1. Ingresa 412381753143 como el Account ID. Este es el ID de cuenta de Datadog y concede acceso a Datadog a tus datos de AWS.

    1. Si la cuenta de AWS que deseas integrar es una cuenta de GovCloud, ingresa 065115117704 como el Account ID, o sino ingresa 392588925713. Este es el ID de cuenta de Datadog y concede acceso a Datadog a tus datos de AWS.

    Nota: Asegúrate de que el selector de DATADOG SITE en la parte derecha de esta página de documentación esté configurado en tu sitio de Datadog antes de copiar el ID de cuenta anterior.

    1. Selecciona Require external ID (Solicitar ID externo) e ingresa el ID externo copiado en la sección anterior. Deja Require MFA desactivado. Para obtener más detalles, consulta la página Acceso a cuentas de AWS propiedad de terceros en la documentación de AWS.
    2. Haz clic en Next (Siguiente).
    3. Para activar la recopilación de recursos, adjunta la política de AWS SecurityAudit a el rol.
    4. Haz clic en Next (Siguiente).
    5. Da un nombre al rol como DatadogIntegrationRole. Opcionalmente, brinda una descripción y añade las etiquetas al rol.
    6. Haz clic en Create Role (Crear rol).

    Crear un política de IAM en línea para el rol de integración de Datadog

    Esta política define los permisos necesarios para el rol de integración de Datadog para recopilar datos para cada integración de AWS que ofrece Datadog. Estos permisos pueden cambiar a medida que se añaden nuevos servicios de AWS a esta integración.

    1. Selecciona el rol de integración de Datadog en la página de roles de IAM.
    2. Haz clic en Add permissions (Añadir permisos) y selecciona Create inline policy (Crear política en línea).
    3. Selecciona la pestaña JSON.
    4. Pega las políticas de permiso en el cuadro de texto.
      Nota: Opcionalmente, puedes añadir los elementos de Condición a la política de IAM. Por ejemplo, las condiciones pueden utilizarse para restringir la monitorización a ciertas regiones.
    5. Haz clic en Next (Siguiente).
    6. Nombra la política como DatadogIntegrationPolicy.
    7. Haz clic en Create policy (Crear política).

    Completa la configuración en Datadog

    1. Vuelve a la sección de configuración manual de la página de configuración de la integración de AWS.
    2. Haz clic en la casilla I confirm that the Datadog IAM Role has been added to the AWS Account.
    3. En la sección Account ID (ID de cuenta), ingresa tu ID de cuenta sin guiones; por ejemplo, 123456789012. Puedes encontrar el ID de cuenta en el ARN del rol de integración de Datadog, que tiene el siguiente formato: arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>.
    4. En la sección AWS Role Name (Nombre de rol de AWS), ingresa el nombre del rol de integración de Datadog creado anteriormente. Nota: El nombre de rol distingue mayúsculas y minúsculas y debe coincidir exactamente con el nombre de rol en AWS.
    5. Haz clic en Save (Guardar).
    6. Espera hasta 10 minutos para que los datos se empiecen a recopilar y, luego, consulta el Dashboard de información general de AWS predefinido para ver las métricas enviadas por tus servicios e infraestructura de AWS.
    Si hay un error Datadog is not authorized to perform sts:AssumeRole, sigue los pasos de solución de problemas recomendados en la interfaz de usuarios o lee la guía de solución de problemas.

    * All use of Datadog Services in (or in connection with environments within) mainland China is subject to the disclaimer published in the Restricted Service Locations section on our website.

    Configuración

    AWS

    1. En tu consola de AWS crea un usuario de IAM para que lo utilice la integración de Datadog con los permisos necesarios.
    2. Genera una clave de acceso y una clave secreta para el usuario de IAM en la integración de Datadog.

    Datadog

    1. En el cuadro de integración de AWS, haz clic en Add AWS Account (Añadir cuenta de AWS) y, a continuación, selecciona Manually (Manualmente).
    2. Selecciona la pestaña Access Keys (Claves de acceso).
    3. Elige la partición en AWS a la que se delimita tu cuenta AWS. La partición puede ser aws para regiones comerciales, aws-cn para China* o aws-us-gov para GovCloud. Consulta [Particiones][9] en la documentación de AWS para obtener más información.
    4. Haz clic en la casilla de verificación I confirm that the IAM User for the Datadog Integration has been added to the AWS Account (Confirmo que el usuario de IAM para la integración de Datadog se ha añadido a la cuenta de AWS).
    5. Introduce tu Account ID, AWS Access Key y AWS Secret Key.
    6. Haz clic en Save (Guardar).
    7. Espera hasta 10 minutos para que los datos comiencen a recopilarse y, a continuación, consulta el dashboard de resumen de AWS para ver las métricas enviadas por tus servicios e infraestructura de AWS .

    * All use of Datadog Services in (or in connection with environments within) mainland China is subject to the disclaimer published in the Restricted Service Locations section on our website.

    AWS IAM permissions

    AWS IAM permissions enable Datadog to collect metrics, tags, EventBridge events and other data necessary to monitor your AWS environment. To correctly set up the AWS Integration, you must attach the relevant IAM policies to the Datadog AWS Integration IAM Role in your AWS account.

    AWS integration IAM policy

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "account:GetAccountInformation",
        "airflow:GetEnvironment",
        "airflow:ListEnvironments",
        "apigateway:GET",
        "appsync:ListGraphqlApis",
        "autoscaling:Describe*",
        "backup:List*",
        "batch:DescribeJobDefinitions",
        "batch:DescribeJobQueues",
        "batch:DescribeJobs",
        "batch:ListJobs",
        "bcm-data-exports:GetExport",
        "bcm-data-exports:ListExports",
        "budgets:ViewBudget",
        "cloudfront:GetDistributionConfig",
        "cloudfront:ListDistributions",
        "cloudtrail:DescribeTrails",
        "cloudtrail:GetTrail",
        "cloudtrail:GetTrailStatus",
        "cloudtrail:ListTrails",
        "cloudtrail:LookupEvents",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "codebuild:BatchGetProjects",
        "codebuild:ListProjects",
        "codedeploy:BatchGet*",
        "codedeploy:List*",
        "cur:DescribeReportDefinitions",
        "directconnect:Describe*",
        "dms:DescribeReplicationInstances",
        "dynamodb:Describe*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ecs:Describe*",
        "ecs:List*",
        "eks:DescribeCluster",
        "eks:ListClusters",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticfilesystem:DescribeAccessPoints",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeTags",
        "elasticloadbalancing:Describe*",
        "elasticmapreduce:Describe*",
        "elasticmapreduce:List*",
        "es:DescribeElasticsearchDomains",
        "es:ListDomainNames",
        "es:ListTags",
        "events:CreateEventBus",
        "fsx:DescribeFileSystems",
        "fsx:ListTagsForResource",
        "health:DescribeAffectedEntities",
        "health:DescribeEventDetails",
        "health:DescribeEvents",
        "iam:ListAccountAliases",
        "kinesis:Describe*",
        "kinesis:List*",
        "lambda:List*",
        "logs:DeleteSubscriptionFilter",
        "logs:DescribeDeliveries",
        "logs:DescribeDeliverySources",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams",
        "logs:DescribeSubscriptionFilters",
        "logs:FilterLogEvents",
        "logs:GetDeliveryDestination",
        "logs:PutSubscriptionFilter",
        "logs:TestMetricFilter",
        "network-firewall:DescribeLoggingConfiguration",
        "network-firewall:ListFirewalls",
        "oam:ListAttachedLinks",
        "oam:ListSinks",
        "organizations:Describe*",
        "organizations:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift-serverless:ListNamespaces",
        "redshift:DescribeClusters",
        "redshift:DescribeLoggingStatus",
        "route53:List*",
        "route53resolver:ListResolverQueryLogConfigs",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketNotification",
        "s3:GetBucketTagging",
        "s3:ListAllMyBuckets",
        "s3:PutBucketNotification",
        "ses:Get*",
        "ses:List*",
        "sns:GetSubscriptionAttributes",
        "sns:List*",
        "sns:Publish",
        "sqs:ListQueues",
        "ssm:GetServiceSetting",
        "ssm:ListCommands",
        "states:DescribeStateMachine",
        "states:ListStateMachines",
        "support:DescribeTrustedAdvisor*",
        "support:RefreshTrustedAdvisorCheck",
        "tag:GetResources",
        "tag:GetTagKeys",
        "tag:GetTagValues",
        "timestream:DescribeEndpoints",
        "wafv2:ListLoggingConfigurations",
        "xray:BatchGetTraces",
        "xray:GetTraceSummaries"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

    AWS resource collection IAM policy

    To use resource collection, you must attach AWS’s managed SecurityAudit Policy to your Datadog IAM role.

    Notes:

    • Warning messages appear on the AWS integration tile in Datadog if you enable resource collection, but do not have the AWS Security Audit Policy attached to your Datadog IAM role.
    • To enable Datadog to collect account management resources from account.GetAlternateContact and account.GetContactInformation, you need to enable trusted access for AWS account management.
    • AWS China accounts are not supported.
    • Enabling resource collection can also impact your AWS CloudWatch costs. To avoid these charges, disable Usage (AWS/Usage) metrics in the Metric Collection tab of the Datadog AWS integration page.

    Más enlaces, artículos y documentación útiles:

    Integración con AWSDOCUMENTACIÓN more more Función Lambda del Datadog ForwarderDOCUMENTACIÓN more more Enviar logs de servicios de AWS con el destino de Datadog Amazon Data FirehoseGUÍA more more Solucionar problemas de integración con AWSGUÍA more more AWS CloudWatch Metric Streams con Amazon Data FirehoseGUÍA more more Métricas clave para la monitorización de AWSBLOG more more Cómo monitorizar instancias EC2 con DatadogBLOG more more Monitorización de AWS Lambda con DatadogBLOG more more Presentación de Cloud Security Posture Management de DatadogBLOG more more Protege tu infraestructura en tiempo real con Datadog Cloud Workload SecurityBLOG more more Presentación de Datadog Security MonitoringBLOG more more Prácticas recomendadas para el etiquetado de tu infraestructura y aplicacionesBLOG more more