Vinculación de cuentas de supervisión con cuentas de origen - Amazon CloudWatch
Permisos necesariosDescripción general de la configuraciónPaso 1: configuración de una cuenta de supervisiónPaso 2: (opcional) descarga de una plantilla o URL de AWS CloudFormationPaso 3: vinculación de las cuentas de origen

Vinculación de cuentas de supervisión con cuentas de origen

En los temas de esta sección se explica cómo configurar enlaces entre cuentas de supervisión y cuentas de origen.

Le recomendamos que cree una cuenta nueva de AWS que sirva como cuenta de supervisión para su organización.

Permisos necesarios

Permisos necesarios para crear enlaces

Para crear enlaces entre una cuenta de supervisión y una cuenta de origen, debe iniciar sesión con ciertos permisos.

  • Para configurar una cuenta de supervisión, debe tener acceso completo de administrador a la cuenta de supervisión o debe iniciar sesión en esa cuenta con los siguientes permisos:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • Cuenta de origen en el ámbito de una cuenta de supervisión específica: para crear, actualizar y administrar enlaces para una sola cuenta de supervisión específica, debe iniciar sesión en la cuenta con, al menos, los siguientes permisos. En este ejemplo, la cuenta de supervisión es 999999999999.

    Si el enlace no va a compartir los cinco tipos de recursos (métricas, registros, seguimientos, aplicaciones de Información de aplicaciones y monitores de Internet Monitor), puede omitir cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link o internetmonitor:Link según sea necesario.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • Cuenta de origen, con permisos para vincularse a cualquier cuenta de supervisión: para crear un enlace a cualquier receptor de cuenta de supervisión existente y compartir métricas, grupos de registro, seguimientos, aplicaciones de Información de aplicaciones y monitores de Internet Monitor, debe iniciar sesión en la cuenta de origen con permisos de administrador completos o iniciar sesión en esta con los siguientes permisos

    Si el enlace no va a compartir los cinco tipos de recursos (métricas, registros, seguimientos, aplicaciones de Información de aplicaciones y monitores de Internet Monitor), puede omitir cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link o internetmonitor:Link según sea necesario.

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

Permisos necesarios para supervisar todas las cuentas

Luego de crear un enlace, para ver la información de la cuenta de origen desde una cuenta de supervisión, debe iniciar sesión en una cuenta con una de las siguientes opciones:

  • Acceso de administrador completo a la cuenta de supervisión

  • Los siguientes permisos entre cuentas, además de los permisos para ver los tipos específicos de recursos que supervisará

    {
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

Descripción general de la configuración

Los siguientes pasos generales le muestran cómo configurar la observabilidad entre cuentas de CloudWatch.

nota

Le recomendamos crear una nueva cuenta de AWS para usarla como cuenta de supervisión de la organización.

  1. Configure una cuenta de supervisión dedicada.

  2. (Opcional) Descargue una plantilla de AWS CloudFormation o copie una URL para vincular las cuentas de origen.

  3. Vincule las cuentas de origen a la cuenta de supervisión.

Después de completar estos pasos, puede usar la cuenta de supervisión para ver los datos de observabilidad de las cuentas de origen.

Paso 1: configuración de una cuenta de supervisión

Siga los pasos de esta sección para configurar una cuenta de AWS como cuenta de supervisión para la observabilidad entre cuentas de CloudWatch.

Requisitos previos

  • Si quiere configurar las cuentas de una organización AWS Organizations como cuentas de origen: obtenga la ruta de acceso de la organización o el ID de esta.

  • Si no usa Organizations en las cuentas de origen, puede obtener los ID de las cuentas de origen.

Para configurar una cuenta como cuenta de supervisión, debe contar con determinados permisos. Para obtener más información, consulte Permisos necesarios.

Configuración de una cuenta de supervisión

  1. Inicie sesión en la cuenta que quiera usar como cuenta de supervisión.

  2. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  3. En el panel de navegación izquierdo, elija Configuración.

  4. Al supervisar la configuración de la cuenta, seleccione Configure (Configurar).

  5. En Seleccionar datos, decida si la cuenta de supervisión podrá ver los datos de Registros, Métricas, Seguimientos, Información de aplicaciones: aplicaciones e Internet Monitor: monitores de las cuentas de origen a las que esté vinculada.

  6. Para enumerar las cuentas de origen, ingrese las cuentas de origen que verá la cuenta de supervisión. Para identificar las cuentas de origen, introduzca los ID de las cuentas individuales, las rutas de acceso de la organización o los ID de la organización. Si ingresa una ruta de acceso de la organización o un ID de organización, tenga presente que la cuenta de supervisión podrá ver los datos de observabilidad de todas las cuentas vinculadas a la organización.

    Separe las entradas de la lista con comas.

    importante

    Cuando introduzca la ruta de una organización, siga el formato exacto. El ou-id debe terminar con una / (barra oblicua). Por ejemplo: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/.

  7. En Define a label to identify your source account (Definir una etiqueta para identificar la cuenta de origen), especifique si quiere usar nombres de cuenta o direcciones de correo electrónico para identificar las cuentas de origen cuando use la cuenta de supervisión para verlas.

  8. Elija Configurar.

importante

El enlace entre las cuentas de supervisión y de origen no estará completo hasta que configure las cuentas de origen. Para obtener más información, consulte las siguientes secciones.

Paso 2: (opcional) descarga de una plantilla o URL de AWS CloudFormation

Para vincular las cuentas de origen a una cuenta de supervisión, es recomendable usar una plantilla o una URL de AWS CloudFormation.

  • Si va a vincular una organización completa, CloudWatch le proporciona una plantilla AWS CloudFormation.

  • Si va a vincular cuentas individuales, use la plantilla o URL de AWS CloudFormation que le proporcione CloudWatch.

Para usar una plantilla AWS CloudFormation, debe descargarla durante estos pasos. Después de vincular la cuenta de supervisión con al menos una cuenta de origen, la plantilla AWS CloudFormation ya no estará disponible para descargar.

Descarga de una plantilla AWS CloudFormation o copiar una URL para vincular las cuentas de origen a la cuenta de supervisión

  1. Inicie sesión en la cuenta que quiera usar como cuenta de supervisión.

  2. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  3. En el panel de navegación izquierdo, elija Configuración.

  4. En la opción Monitoring account configuration (Configuración de cuentas de supervisión), elija Resources to link accounts (Recursos para vincular cuentas).

  5. Realice una de las siguientes acciones siguientes:

    • Elija AWS organización para obtener la plantilla que quiera usar para vincular las cuentas de una organización a esta cuenta de supervisión.

    • Elija Any account (Cualquier cuenta) para obtener una plantilla o URL para configurar cuentas individuales como cuentas de origen.

  6. Realice una de las siguientes acciones siguientes:

    • Si elige AWS organization, seleccione Download CloudFormation template (Descargar plantilla de CloudFormation).

    • Si elige Any account, seleccione Download CloudFormation template (Descargar la plantilla de CloudFormation) o Copy URL (Copiar URL).

  7. (Opcional) Repita los pasos 5 y 6 para descargar tanto la plantilla AWS CloudFormation como la URL.

Paso 3: vinculación de las cuentas de origen

Siga los pasos de estas secciones para vincular cuentas de origen a una cuenta de supervisión.

Para vincular cuentas de supervisión con cuentas de origen, debe contar con determinados permisos. Para obtener más información, consulte Permisos necesarios.

Use una plantilla de AWS CloudFormation para configurar todas las cuentas de una organización o unidad organizativa como cuentas de origen

En estos pasos se supone que ya ha descargado la plantilla de AWS CloudFormation necesaria al realizar los pasos de la sección Paso 2: (opcional) descarga de una plantilla o URL de AWS CloudFormation.

Uso de una plantilla de AWS CloudFormation para vincular las cuentas de una organización o unidad organizativa a la cuenta de supervisión

  1. Inicie sesión en la cuenta administrativa de la organización.

  2. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  3. En el panel de navegación de la izquierda, seleccione StackSets.

  4. Compruebe que ha iniciado sesión en la región que quiera usar y, a continuación, seleccione Create StackSet (Crear StackSet).

  5. Elija Siguiente.

  6. Seleccione Template is ready (La plantilla está lista) y Upload a template file (Cargar un archivo de plantilla).

  7. Seleccione Choose file (Elegir archivo), elija la plantilla que descargó de la cuenta de supervisión y haga clic en Open (Abrir).

  8. Elija Siguiente.

  9. En la página Specify StackSet details (Especificar detalles de StackSet), escriba el nombre de la instancia de StackSet, y haga clic en Next (Siguiente).

  10. En Add stacks to stack set (Agregar pilas al conjunto de pilas), seleccione Deploy new stacks (Implementar pilas nuevas).

  11. En Deployment targets (Objetivos de implementación), decida si quiere realizar la implementación en toda la organización o en unidades organizativas especificadas.

  12. En Specify regions (Especificar regiones), seleccione las regiones en las que quiera implementar la observabilidad entre cuentas de CloudWatch.

  13. Elija Siguiente.

  14. En la página Review (Revisar), confirme las opciones seleccionadas y haga clic en Submit (Enviar).

  15. En la pestaña Stack instances (Instancias de pila), actualice la pantalla hasta que vea que las instancias de pila tienen el estado CREATE_COMPLETE (CREACIÓN COMPLETA).

Uso de una plantilla AWS CloudFormation para configurar cuentas de origen individuales

En estos pasos se supone que ya ha descargado la plantilla de AWS CloudFormation necesaria al realizar los pasos de la sección Paso 2: (opcional) descarga de una plantilla o URL de AWS CloudFormation.

Uso de una plantilla de AWS CloudFormation para configurar cuentas de origen individuales para la observabilidad entre cuentas de CloudWatch

  1. Inicie sesión en la cuenta de origen.

  2. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  3. En el panel de navegación de la izquierda, seleccione Stacks (Pilas).

  4. Compruebe que ha iniciado sesión en la región que quiera usar y, a continuación, seleccione Create stack (Crear pila) y la opción With new resources (standard) (Con recursos nuevos [estándar]).

  5. Elija Siguiente.

  6. Elija Upload a template file (Cargar un archivo de plantilla).

  7. Seleccione Choose file (Elegir archivo), elija la plantilla que descargó de la cuenta de supervisión y haga clic en Open (Abrir).

  8. Elija Siguiente.

  9. En la página Specify stack details (Especificar los detalles de la pila), ingrese un nombre para la pila, y haga clic en Next (Siguiente).

  10. En la página Configurar opciones de pila, elija Siguiente.

  11. En la página Review (Revisar), elija Submit (Enviar).

  12. En la página de estado de la pila, actualice la pantalla hasta que vea que la pila tiene el estado CREATE_COMPLETE.

  13. Para usar esta misma plantilla para vincular más cuentas de origen a la cuenta de supervisión, cierre la sesión de esta cuenta e iníciela en la siguiente cuenta de origen. A continuación, repita los pasos 2 a 12.

Uso de una URL para configurar cuentas de origen individuales

En estos pasos se supone que ya copió la URL necesaria al realizar los pasos de la sección Paso 2: (opcional) descarga de una plantilla o URL de AWS CloudFormation.

Uso de una URL para vincular cuentas de origen individuales a la cuenta de supervisión

  1. Inicie sesión en la cuenta que quiera usar como cuenta de supervisión.

  2. Ingrese la URL que copió de la cuenta de supervisión.

    Verá la página de configuración de CloudWatch, con algunos datos rellenados.

  3. En Seleccionar datos, decida si la cuenta de supervisión podrá compartir los datos de Registros, Métricas, Seguimientos, Información de aplicaciones: aplicaciones e Internet Monitor: monitores de las cuentas de origen a las que esté vinculada.

    Tanto para los Registros como para las Métricas, puede elegir si desea compartir todos los recursos o un subconjunto con la cuenta de supervisión.

    1. (Opcional) Para compartir un subconjunto de los grupos de registro de esta cuenta con la cuenta de supervisión, seleccione Registros y elija Filtrar registros. A continuación, utilice el cuadro Filtrar registros para crear una consulta que busque los grupos de registro que desee compartir. La consulta utilizará el término LogGroupName y uno o más de los siguientes operandos.

      • = y !=

      • AND

      • OR

      • ^ indica IGUAL A y !^ indica NO ES IGUAL A. Solo se pueden usar como búsquedas de prefijos. Incluya un % al final de la cadena que desee buscar e incluir.

      • IN y NOT IN, usando paréntesis (( ))

      La consulta completa no debe tener más de 2000 caracteres y está limitada a cinco operandos condicionales. Los operandos condicionales son AND y OR. No existe límite en el número de otros operandos.

      sugerencia

      Seleccione Ver las consultas de muestra para ver la sintaxis correcta de los formatos de consulta más comunes.

    2. (Opcional) Para compartir un subconjunto de los espacios de nombres de métricas de esta cuenta con la cuenta de supervisión, seleccione Métricas y elija Filtrar métricas. A continuación, utilice el recuadro Filtrar registros para construir una consulta para encontrar los espacios de nombres de métricas que desea compartir. Utilice el término Namespace y uno o más de los siguientes operandos.

      • = y !=

      • AND

      • OR

      • LIKE y NOT LIKE. Solo se pueden usar como búsquedas de prefijos. Incluya un % al final de la cadena que desee buscar e incluir.

      • IN y NOT IN, usando paréntesis (( ))

      La consulta completa no debe tener más de 2000 caracteres y está limitada a cinco operandos condicionales. Los operandos condicionales son AND y OR. No existe límite en el número de otros operandos.

    sugerencia

    Seleccione Ver las consultas de muestra para ver la sintaxis correcta de los formatos de consulta más comunes.

  4. No cambie el ARN de la opción Enter monitoring account configuration ARN (Ingrese el ARN de configuración de cuentas de supervisión).

  5. La sección Define a label to identify your source account (Definir una etiqueta para identificar la cuenta de origen) ya está rellenada con la opción de etiqueta de la cuenta de supervisión. Para cambiar la opción, puede seleccionar Edit (Editar).

  6. Elija Vincular.

  7. Ingrese Confirm en el recuadro y elija Confirm (Confirmar).

  8. Si quiere usar esta misma URL para vincular más cuentas de origen a la cuenta de supervisión, cierre la sesión de esta cuenta e inicie sesión en la siguiente cuenta de origen. A continuación, repita los pasos 2 a 7.