Console per più account e più regioni CloudWatch - Amazon CloudWatch
Abilitazione della funzionalità su più account tra più regioni(Facoltativo) Effettua l'integrazione con AWS OrganizationsRisoluzione dei problemiDisabilitazione e pulizia dopo l'utilizzo di più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Console per più account e più regioni CloudWatch

Nota

Ti consigliamo di utilizzare l'osservabilità CloudWatch tra account per ottenere la più completa esperienza di osservabilità e scoperta tra account per le tue metriche, i log e le tracce all'interno di una regione. Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

La CloudWatch console multiaccount e interregionale ti consente di passare facilmente da un account all'altro e alla regione utilizzando i selettori nella console per visualizzare i dashboard, gli allarmi e le metriche di altri account e regioni. Questa funzionalità ti consente anche di creare dashboard per più account e più regioni che riepilogano le tue metriche tra più account CloudWatch AWS account e più regioni in un'unica dashboard, rendendoli accessibili senza dover cambiare account o regione.

Molte organizzazioni hanno le loro AWS risorse distribuite in più account, per fornire limiti di fatturazione e sicurezza. In questo caso, ti consigliamo di designare uno o più account come account di monitoraggio e di creare dashboard interregionali tra più account in questi account. La funzionalità della console per più account e più regioni è integrata con AWS Organizations, per aiutarti a creare in modo efficiente dashboard tra più account e più regioni.

L'esperienza di CloudWatch console tra account e aree geografiche non offre la visibilità dei log tra account e aree geografiche diverse. Inoltre, non supporta la creazione di allarmi sulle metriche di altri account o regioni dall'interno di un account di monitoraggio.

Abilitazione della funzionalità interregionale tra account in CloudWatch

Per configurare la funzionalità interregionale nella CloudWatch console, utilizza la CloudWatch console per configurare gli account di condivisione e gli account di monitoraggio.

Configurazione di un account di condivisione

È necessario abilitare la condivisione in ogni account che renderà i dati disponibili per l'account di monitoraggio.

In questo modo verranno concesse autorizzazioni di sola lettura che hai scelto nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per consentire al tuo account di condividere CloudWatch dati con altri account

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Per Condividi i tuoi CloudWatch dati, scegli Configura.

  4. Per Condivisione, scegli Account specifici e inserisci gli IDs account con cui desideri condividere i dati.

    Tutti gli account che specifichi qui possono visualizzare i CloudWatch dati del tuo account. Specificate gli IDs unici account che conoscete e di cui vi fidate.

  5. Per Permissions (Autorizzazioni), specificare come condividere i dati con una delle seguenti opzioni:

    • Fornisci accesso in sola lettura a CloudWatch metriche, dashboard e allarmi. Questa opzione consente agli account di monitoraggio di creare dashboard per più account che includono widget contenenti i dati del tuo account. CloudWatch

    • Includi dashboard CloudWatch automatici. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare le informazioni nei pannelli di controllo automatici di questo account. Per ulteriori informazioni, consulta Guida introduttiva ad Amazon CloudWatch.

    • Include l'accesso in sola lettura a X-Ray per la mappa di tracciamento X-Ray. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la mappa del servizio X-Ray e le informazioni di traccia di X-Ray in questo account. Per ulteriori informazioni, consulta Uso della mappa del tracciamento X-Ray.

    • Full read-only access to everything in your account (Accesso completo in sola lettura a tutti di dati dell'account). Questa opzione consente agli account utilizzati per la condivisione di creare dashboard tra più account che includono widget contenenti CloudWatch i dati del tuo account. Consente inoltre a tali account di esaminare più a fondo il tuo account e di visualizzarne i dati sulle console di altri AWS servizi.

  6. Scegli Launch CloudFormation template.

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

  7. Selezionare la casella di controllo I acknowledge... (Acconsento...) e scegliere Create stack (Crea stack).

Condivisione con un'intera organizzazione

Il completamento della procedura precedente crea un IAM ruolo che consente all'account di condividere i dati con un solo account. Puoi creare o modificare un IAM ruolo che condivide i tuoi dati con tutti gli account di un'organizzazione. Eseguire questa operazione solo se si conoscono e si considerano attendibili tutti gli account dell'organizzazione.

In questo modo verranno concesse autorizzazioni di sola lettura elencate nelle policy mostrate nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per condividere i dati CloudWatch del tuo account con tutti gli account di un'organizzazione

  1. Se non l'hai già fatto, completa la procedura precedente per condividere i tuoi dati con un altro AWS conto.

  2. Accedi al AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  3. Nel riquadro di navigazione, seleziona Ruoli.

  4. Nell'elenco dei ruoli, scegli CloudWatch- CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

    Viene visualizzata una policy come questa:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Modificate la politica nel modo seguente, sostituendo org-id con l'ID della tua organizzazione.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Scegli Update Trust Policy (Aggiorna policy di trust).

Configurazione di un account di monitoraggio

Abilita ogni account di monitoraggio se desideri visualizzare i CloudWatch dati di più account.

Una volta completata la procedura seguente, CloudWatch crea un ruolo collegato al servizio da CloudWatch utilizzare nell'account di monitoraggio per accedere ai dati condivisi dagli altri account. Questo ruolo collegato al servizio viene chiamato. AWSServiceRoleForCloudWatchCrossAccount Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per CloudWatch.

Per consentire al tuo account di visualizzare i dati di più account CloudWatch

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Settings (Impostazioni), quindi nella sezione Cross-account cross-region (Su più account tra più regioni), scegli Configure (Configura).

  3. Nella sezione Visualizza più account interregionali, scegli Abilita, quindi seleziona la casella di controllo Mostra selettore nella console per consentire la visualizzazione di un selettore di account nella CloudWatch console durante la rappresentazione grafica di una metrica o la creazione di un allarme.

  4. In View cross-account cross-region (Visualizzazione su più account tra più regioni), scegliere una delle seguenti opzioni:

    • Account Id Input (Input ID account). Questa opzione richiede di immettere manualmente un ID account ogni volta che si desidera passare a un altro account quando si visualizzano i dati su più account.

    • AWS Selettore dell'account dell'organizzazione. Questa opzione fa sì che vengano visualizzati gli account specificati al termine dell'integrazione su più account con Organizations visualizzato. La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account.

      A tale scopo, è necessario aver prima utilizzato l'account di gestione dell'organizzazione CloudWatch per consentire la visualizzazione di un elenco degli account dell'organizzazione. Per ulteriori informazioni, consulta (Facoltativo) Effettua l'integrazione con AWS Organizations.

    • Custom account selector (Selettore account personalizzato). Questa opzione richiede di inserire un elenco di account. IDs La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account.

      È anche possibile immettere un'etichetta per ciascuno di questi account per identificarli quando si scelgono gli account da visualizzare.

      Le impostazioni del selettore account effettuate qui da un utente vengono mantenute solo per tale utente, non per tutti gli altri utenti nell'account di monitoraggio.

  5. Scegli Abilita .

Dopo aver completato questa configurazione, è possibile creare pannelli di controllo su più account. Per ulteriori informazioni, consulta Creazione di un pannello di controllo CloudWatch .

Funzionalità tra più regioni

La funzionalità interregionale è integrata automaticamente in questa funzionalità. Non è necessario eseguire alcuna procedura aggiuntiva per poter visualizzare i parametri di diverse regioni in un singolo account sullo stesso grafico o sullo stesso pannello di controllo. La funzionalità tra regioni non è supportata per gli allarmi, quindi non è possibile creare un allarme in una regione che osserva un parametro in un'altra regione.

(Facoltativo) Effettua l'integrazione con AWS Organizations

Se desideri integrare la funzionalità tra account con AWS Organizations, è necessario rendere disponibile agli account di monitoraggio un elenco di tutti gli account dell'organizzazione.

Per abilitare CloudWatch la funzionalità interaccount per accedere a un elenco di tutti gli account dell'organizzazione

  1. Accedi all'account di gestione della tua organizzazione.

  2. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel riquadro di spostamento scegliere Settings (Impostazioni), quindi scegliere Configure (Configura).

  4. Per Concedi l'autorizzazione a visualizzare l'elenco degli account dell'organizzazione, scegli Account specifici per ricevere la richiesta di inserire un elenco di accountIDs. L'elenco degli account nell'organizzazione viene condiviso solo con gli account specificati qui.

  5. Scegliere Share organization account list (Condividi elenco account organizzazione).

  6. Scegli Launch CloudFormation template.

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

Risoluzione dei problemi relativi alla CloudWatch configurazione di più account

Questa sezione contiene suggerimenti per la risoluzione dei problemi relativi alla distribuzione tra account e console in. CloudWatch

Sto ricevendo errori di accesso negato di visualizzazioni di dati su più account

Verifica quanto segue:

  • Il tuo account di monitoraggio dovrebbe avere un ruolo denominato AWSServiceRoleForCloudWatchCrossAccount. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta Set Up a Monitoring Account.

  • Ogni account di condivisione deve avere un ruolo denominato CloudWatch- CrossAccountSharingRole. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta la pagina Set Up A Sharing Account.

  • Il ruolo di condivisione deve considerare attendibile l'account di monitoraggio.

Per confermare che i ruoli siano configurati correttamente per la console con CloudWatch più account

  1. Accedi al AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco dei ruoli, assicurarsi che esista il ruolo necessario. In un account di condivisione, cerca CloudWatch- CrossAccountSharingRole. In un account di monitoraggio, cerca AWSServiceRoleForCloudWatchCrossAccount.

  4. Se hai un account di condivisione e CloudWatch- esiste CrossAccountSharingRole già, scegli CloudWatch- CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

  6. Verificare che nella policy sia elencato l'ID dell'account di monitoraggio o l'ID di un'organizzazione contenente l'account di monitoraggio.

Non viene visualizzato un elenco a discesa degli account nella console

Innanzitutto, verifica di aver creato i IAM ruoli corretti, come illustrato nella precedente sezione sulla risoluzione dei problemi. Se questi sono impostati correttamente, assicurarsi di aver abilitato l'account per visualizzare i dati su più account, come descritto in Enable Your Account to View Cross-Account Data.

Disabilitazione e pulizia dopo l'utilizzo di più account

Per disabilitare la funzionalità tra account per CloudWatch, segui questi passaggi.

Passaggio 1: rimuovere gli stack o i ruoli di più account

Il metodo migliore è quello di rimuovere AWS CloudFormation pile utilizzate per abilitare la funzionalità tra account.

  • In ciascuno degli account di condivisione, rimuovi lo stack CloudWatch- CrossAccountSharingRole.

  • Se hai usato AWS Organizations per abilitare la funzionalità tra account con tutti gli account di un'organizzazione, rimuovi lo CrossAccountListAccountsRole stack CloudWatch- nell'account di gestione dell'organizzazione.

Se non hai usato il AWS CloudFormation pile per abilitare la funzionalità tra più account, procedi come segue:

  • In ciascuno degli account di condivisione, elimina il ruolo CloudWatch- CrossAccountSharingRoleIAM.

  • Se hai usato AWS Organizations per abilitare la funzionalità tra account con tutti gli account di un'organizzazione, elimina il ListAccountsRole IAM ruolo CloudWatchCrossAccountSharing- - nell'account di gestione dell'organizzazione.

Passaggio 2: rimuovere il ruolo collegato ai servizi

Nell'account di monitoraggio, elimina il ruolo collegato al AWSServiceRoleForCloudWatchCrossAccountservizioIAM.