Liaison des comptes de surveillance avec les comptes sources - Amazon CloudWatch
Autorisations nécessairesPrésentation de la configurationÉtape 1 : configurer un compte de surveillanceÉtape 2 : (Facultatif) Téléchargez un AWS CloudFormation modèle ou une URLÉtape 3 : lier les comptes sources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Liaison des comptes de surveillance avec les comptes sources

Les rubriques de cette section expliquent comment configurer les liens entre les comptes de surveillance et les comptes sources.

Nous vous recommandons de créer un nouveau AWS compte qui servira de compte de surveillance pour votre organisation.

Autorisations nécessaires

Pour créer des liens entre un compte de surveillance et un compte source, vous devez être connecté avec certaines autorisations.

  • Pour configurer un compte de surveillance : vous devez avoir un accès administrateur complet dans le compte de surveillance, ou vous devez vous connecter à ce compte avec les autorisations suivantes :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • Compte source, étendu à un compte de surveillance spécifique : pour créer, mettre à jour et gérer des liens pour un seul compte de surveillance spécifié, vous devez vous connecter au compte avec au moins les autorisations suivantes. Dans cet exemple, le compte de surveillance est 999999999999.

    Si le lien ne doit pas partager les cinq types de ressources (métriques, journaux, traces, applications Application Insights et moniteurs Internet Monitor), vous pouvez omettrecloudwatch:Link,, logs:Link xray:Linkapplicationinsights:Link, ou internetmonitor:Link selon vos besoins.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • Compte source, autorisé à établir un lien vers n'importe quel compte de surveillance : pour créer un lien vers un compte de surveillance existant (récepteur) et partager des métriques, des groupes de journaux, des traces, des applications Application Insights et des moniteurs Internet Monitor, vous devez vous connecter au compte source avec les autorisations d'administrateur complètes ou vous y connecter avec les autorisations suivantes

    Si le lien ne doit pas partager les cinq types de ressources (métriques, journaux, traces, applications Application Insights et moniteurs Internet Monitor), vous pouvez omettrecloudwatch:Link,, logs:Link xray:Linkapplicationinsights:Link, ou internetmonitor:Link selon vos besoins.

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

Présentation de la configuration

Les étapes de haut niveau suivantes vous montrent comment configurer l' CloudWatch observabilité entre comptes.

Note

Nous vous recommandons de créer un nouveau AWS compte à utiliser comme compte de surveillance pour votre organisation.

  1. Configurez un compte de surveillance dédié.

  2. (Facultatif) Téléchargez un AWS CloudFormation modèle ou copiez une URL pour lier les comptes source.

  3. Liez les comptes sources au compte de surveillance.

Après avoir effectué ces étapes, vous pouvez utiliser le compte de surveillance pour visualiser les données d'observabilité des comptes sources.

Étape 1 : configurer un compte de surveillance

Suivez les étapes décrites dans cette section pour configurer un AWS compte en tant que compte de surveillance afin d'assurer l' CloudWatch observabilité entre comptes.

Prérequis

  • Si vous configurez des comptes dans une AWS Organizations organisation en tant que comptes source, obtenez le chemin ou l'identifiant de l'organisation.

  • Si vous n'utilisez pas d'organisations pour les comptes sources : obtenez les ID de compte des comptes sources.

Pour configurer un compte en tant que compte de surveillance, vous devez disposer de certaines autorisations. Pour plus d’informations, consultez Autorisations nécessaires.

Pour configurer un compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.

  2. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  3. Dans le panneau de navigation de gauche, choisissez Paramètres.

  4. Dans Monitoring account configuration (Configuration du compte de surveillance), choisissez Configure (Configurer).

  5. Pour Select data, choisissez si ce compte de surveillance sera en mesure d'afficher les journaux, les métriques, les traces, les informations sur les applications, et Internet Monitor - Surveille les données des comptes sources auxquels il est lié.

  6. Pour List source accounts (Répertorier les comptes sources), saisissez les comptes sources que ce compte de surveillance pourra afficher. Pour identifier les comptes sources, entrez des ID de comptes individuels, des chemins d'organisation ou des ID d'organisation. Si vous saisissez un chemin d'organisation ou un ID d'organisation, ce compte de surveillance est autorisé à visualiser les données d'observabilité de tous les comptes liés dans cette organisation.

    Séparez les entrées de cette liste par des virgules.

    Important

    Lorsque vous entrez le chemin d'une organisation, suivez le format exact. L'ou-id doit se terminer par un / (une barre oblique). Par exemple : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Pour Define a label to identify your source account (Définir une étiquette pour identifier votre compte source), indiquez si vous souhaitez utiliser des noms de compte ou des adresses e-mail pour identifier les comptes sources lorsque vous utilisez le compte de surveillance pour les visualiser.

  8. Choisissez Configurer.

Important

Le lien entre le compte de surveillance et le compte source n'est pas complet tant que vous n'avez pas configuré les comptes sources. Pour plus d'informations, consultez les sections suivantes.

Étape 2 : (Facultatif) Téléchargez un AWS CloudFormation modèle ou une URL

Pour lier les comptes sources à un compte de surveillance, nous vous recommandons d'utiliser un modèle AWS CloudFormation ou une URL.

  • Si vous associez l'ensemble d'une organisation, CloudWatch fournit un AWS CloudFormation modèle.

  • Si vous liez des comptes individuels, utilisez un AWS CloudFormation modèle ou une URL CloudWatch fournissant.

Pour utiliser un AWS CloudFormation modèle, vous devez le télécharger au cours de ces étapes. Une fois que vous avez lié le compte de surveillance à au moins un compte source, le AWS CloudFormation modèle n'est plus disponible au téléchargement.

Pour télécharger un AWS CloudFormation modèle ou copier une URL permettant de lier les comptes source au compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.

  2. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  3. Dans le panneau de navigation de gauche, choisissez Paramètres.

  4. Dans Monitoring account configuration (Configuration du compte de surveillance), choisissez Resources to link accounts (Ressources pour lier les comptes).

  5. Effectuez l’une des actions suivantes :

    • Choisissez Organisation AWS pour obtenir un modèle à utiliser pour lier les comptes d'une organisation à ce compte de surveillance.

    • Choisissez Any account (N'importe quel compte) pour obtenir un modèle ou une URL permettant de configurer des comptes individuels comme comptes sources.

  6. Effectuez l’une des actions suivantes :

    • Si vous avez choisi AWS l'organisation, choisissez Télécharger le CloudFormation modèle.

    • Si vous avez choisi N'importe quel compte, choisissez Télécharger le CloudFormation modèle ou Copier l'URL.

  7. (Facultatif) Répétez les étapes 5 et 6 pour télécharger le AWS CloudFormation modèle et l'URL.

Étape 3 : lier les comptes sources

Utilisez les étapes de ces sections pour lier les comptes sources à un compte de surveillance.

Pour lier les comptes de surveillance aux comptes sources, vous devez disposer de certaines autorisations. Pour plus d’informations, consultez Autorisations nécessaires.

Utiliser un modèle AWS CloudFormation pour configurer tous les comptes d'une organisation ou d'une unité organisationnelle en tant que comptes sources

Ces étapes supposent que vous avez déjà téléchargé le AWS CloudFormation modèle nécessaire en effectuant les étapes décrites dansÉtape 2 : (Facultatif) Téléchargez un AWS CloudFormation modèle ou une URL.

Pour utiliser un AWS CloudFormation modèle pour lier les comptes d'une organisation ou d'une unité organisationnelle au compte de surveillance

  1. Connectez-vous au compte de gestion de l'organisation.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Dans la barre de navigation de gauche, choisissez StackSets.

  4. Vérifiez que vous êtes connecté à la région de votre choix, puis choisissez Create StackSet.

  5. Choisissez Suivant.

  6. Choisissez Template is ready (Le modèle est prêt), puis Upload a template file (Charger un fichier modèle).

  7. Choisissez Choose file (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez Open (Ouvrir).

  8. Choisissez Suivant.

  9. Pour Spécifier StackSet les détails, entrez un nom pour le StackSet et choisissez Next.

  10. Pour Add stacks to stack set (Ajouter des piles à un ensemble de piles), sélectionnez Deploy new stacks (Déployer de nouvelles piles).

  11. Pour Deployment targets (Cibles de déploiement), choisissez de déployer sur l'ensemble de l'organisation ou sur des unités organisationnelles spécifiées.

  12. Pour Spécifier les régions, choisissez les régions dans lesquelles déployer l'observabilité CloudWatch entre comptes.

  13. Choisissez Suivant.

  14. Sur la page Review (Vérification), confirmez vos options sélectionnées et cliquez sur Submit (Soumettre).

  15. Dans l'onglet Stack instances (Instances de pile), actualisez l'écran jusqu'à ce que vous voyiez que vos instances de pile ont le statut CREATE_COMPLETE.

Utilisation d'un modèle AWS CloudFormation pour configurer des comptes sources individuels

Ces étapes supposent que vous avez déjà téléchargé le AWS CloudFormation modèle nécessaire en effectuant les étapes décrites dansÉtape 2 : (Facultatif) Téléchargez un AWS CloudFormation modèle ou une URL.

Utiliser un AWS CloudFormation modèle pour configurer des comptes sources individuels pour une observabilité CloudWatch entre comptes

  1. Connectez-vous au compte source.

  2. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  3. Dans la barre de navigation de gauche, choisissez Stacks (Piles).

  4. Vérifiez que vous êtes connecté à la région que vous voulez, puis choisissez Create stack (Créer une pile), With new resources (standard) (Avec de nouvelles ressources (standard)).

  5. Choisissez Suivant.

  6. Choisissez Charger un fichier de modèle.

  7. Choisissez Choose file (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez Open (Ouvrir).

  8. Choisissez Suivant.

  9. Pour Specify stack details (Spécifier les détails de la pile), saisissez un nom pour la pile et sélectionnez Next (Suivant).

  10. Sur la page Configurer les options de pile, choisissez Suivant.

  11. Sur la page Review (Vérification), choisissez Submit (Envoyer).

  12. Sur la page d'état de votre pile, actualisez l'écran jusqu'à ce que vous voyiez que votre pile a le statut CREATE_COMPLETE.

  13. Pour utiliser ce même modèle afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 12.

Utilisation d'une URL pour configurer des comptes sources individuels

Ces étapes supposent que vous avez déjà copié l'URL nécessaire en effectuant les étapes de Étape 2 : (Facultatif) Téléchargez un AWS CloudFormation modèle ou une URL.

Pour utiliser une URL afin de lier des comptes sources individuels au compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte source.

  2. Saisissez l'URL que vous avez copiée à partir du compte de surveillance.

    Vous voyez la page des CloudWatch paramètres, avec certaines informations renseignées.

  3. Pour Select data, choisissez si ce compte source partagera les journaux, les métriques, les traces, les informations sur les applications, et Internet Monitor - Surveille les données avec ce compte de surveillance.

    Pour les journaux et les métriques, vous pouvez choisir de partager toutes les ressources ou un sous-ensemble avec le compte de surveillance.

    1. (Facultatif) Pour partager un sous-ensemble des groupes de journaux de ce compte avec le compte de surveillance, sélectionnez Journaux, puis Filtrer les journaux. Utilisez ensuite la case Filtrer les journaux pour créer une requête afin de trouver les groupes de journaux que vous souhaitez partager. La requête utilisera le terme LogGroupName et un ou plusieurs des opérandes suivants.

      • = et !=

      • AND

      • OR

      • ^indique LIKE et !^ NOT LIKE. Ils ne peuvent être utilisés que comme recherches de préfixes. Incluez un % à la fin de la chaîne que vous souhaitez rechercher et inclure.

      • INetNOT IN, en utilisant des parenthèses () ( )

      La requête complète ne doit pas comporter plus de 2 000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont AND et. OR Il n'y a pas de limite au nombre d'autres opérandes.

      Astuce

      Choisissez Afficher les exemples de requêtes pour voir la syntaxe correcte pour les formats de requête courants.

    2. (Facultatif) Pour partager un sous-ensemble des espaces de noms de métriques de ce compte avec le compte de surveillance, sélectionnez Metrics, puis Filtrer les métriques. Utilisez ensuite la zone Filtrer les métriques pour créer une requête afin de trouver les espaces de noms de métriques que vous souhaitez partager. Utilisez le terme Namespace et un ou plusieurs des opérandes suivants.

      • = et !=

      • AND

      • OR

      • LIKE et NOT LIKE. Ils ne peuvent être utilisés que comme recherches de préfixes. Incluez un % à la fin de la chaîne que vous souhaitez rechercher et inclure.

      • INetNOT IN, en utilisant des parenthèses () ( )

      La requête complète ne doit pas comporter plus de 2 000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont AND et. OR Il n'y a pas de limite au nombre d'autres opérandes.

    Astuce

    Choisissez Afficher les exemples de requêtes pour voir la syntaxe correcte pour les formats de requête courants.

  4. Ne modifiez pas l'ARN dans Enter monitoring account configuration ARN (Saisir l'ARN de configuration du compte de surveillance).

  5. La section Define a label to identify your source account (Définir une étiquette pour identifier votre compte source) est pré-remplie avec le choix d'étiquette du compte de surveillance. En option, choisissez Edit (Modifier) pour le modifier.

  6. Choisissez Lier.

  7. Saisissez Confirm dans la case et sélectionnez Confirm (Confirmer).

  8. Pour utiliser cette même URL afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 7.