アカウント間およびリージョン間でモニタリングする
アカウント間で統合モニタリングを有効にするために、CloudWatch には次の機能があります。
-
CloudWatch クロスアカウントオブザーバビリティ — Observability Access Manager (OAM) サービスにより、単一のリージョン内でのオブザーバビリティを容易にします。アカウントをリンクすると、アカウント間でメトリクス、ログ、トレース、その他のテレメトリを簡単に表示できます。これにより、ソースアカウントから共有されたテレメトリを表示する中央モニタリングアカウントでオブザーバビリティを統一し、この共有テレメトリをモニタリングアカウントにネイティブであるかのように操作できます。
-
クロスアカウントクロスリージョン CloudWatch コンソール – コンソールエクスペリエンスを提供します。これにより、アカウントを切り替えることで、リージョン間で他のアカウントのダッシュボード、メトリクス、アラームコンソールを表示できます。必要なアクセス許可を設定したら、アラーム、ダッシュボード、メトリクスコンソールに統合されたアカウントセレクタを使用して、アカウントにログインおよびログアウトすることなく、他のアカウントのメトリクス、ダッシュボード、アラームを表示します。この機能を有効にすると、クロスアカウントクロスリージョンメトリクスを含むダッシュボードを設定して、アカウント内で一元的に可視化することもできます。
-
クロスアカウントクロスリージョン一元化 – Amazon CloudWatch の一元化機能により、ログとメトリクスの統合が合理化され、AWS インフラストラクチャ全体の一元的なモニタリング、分析、およびコンプライアンスが向上します。何を集約するかを制御する一元化ルールを定義することで、単一の送信先から統合モニタリング、アラーム、および分析が可能になります。詳細については、「Cross-account cross-Region log centralization」および「Cross-account cross-Region metrics centralization」を参照してください。
これらの機能は相互に補完的であり、単独で使用することも、一緒に使用することもできます。機能の比較については、以下の表を参照してください。リージョン内のメトリクス、ログ、トレースに対するクロスアカウントのオブザーバビリティと検出を最大限に活用するために、CloudWatch クロスアカウントオブザーバビリティを使用することをお勧めします。
クロスアカウントクロスリージョン一元化 |
|||
|---|---|---|---|
説明 |
複数のアカウントにわたる、基盤となるテレメトリやその他のオブザーバビリティリソースへの統合アクセス。これを設定すると、オブザーバビリティリソースはアカウント間でシームレスに表示できるようになるため、ロールの前提条件は必要なくなります。中央モニタリングアカウントは、ソースアカウントからテレメトリデータとリソースに直接アクセスし、モニタリングとオブザーバビリティプロセスを合理化します。 |
指定されたモニタリングアカウントは、CloudWatch コンソールからのソースアカウントで定義された CrossAccountSharingRole を引き受けます。このロールを引き受けると、モニタリングアカウントは、ソースアカウントに代わってダッシュボードの表示などのオペレーションをコンソールから直接呼び出すことができます。 |
Amazon CloudWatch の一元化機能により、ログとメトリクスの統合が効率化され、AWS インフラストラクチャ全体の一元的なモニタリング、分析、およびコンプライアンスが向上します。 |
動作の仕組み |
モニタリングアカウントは、オブザーバビリティアクセスモニタリングサービスを使用してシンクを作成し、シンクポリシーをアタッチします。シンクポリシーは、表示するリソースと、共有するソースアカウントを定義します。その後、ソースアカウントはモニタリングアカウントシンクへのリンクを作成し、実際に共有したいものを確立できます。リンクが作成されると、指定されたリソースがモニタリングアカウントに表示されます。 |
ソースアカウントは、CrossAccountSharingRole をセットアップして設定を開始し、モニタリングアカウントがソースアカウントでオペレーションを実行できるようにします。次に、モニタリングアカウントは、ソースアカウント ID を指定することによって、コンソールでクロスアカウントクロスリージョンセレクタを有効にします。これにより、モニタリングアカウントはソースアカウントに切り替えることができます。切り替え時に、CloudWatch コンソールは、ソースアカウントで作成された CrossAccountSharingRole を CloudWatch が引き受けることを許可するサービスにリンクされたロールの存在をチェックします。 |
AWS Organizations の信頼されたアクセスを使用します。管理者は、管理アカウントまたは委任管理者アカウントに、ソースアカウント/OU/リージョンと送信先アカウント/リージョンを定義する一元化ルールを作成します。ソースアカウントに到着したログとメトリクスは、ソースメタデータ (アカウント ID とリージョン) が追加された状態で送信先に自動的にコピーされます。 |
サポートされるテレメトリ |
|
|
|
サポートされる機能 |
|
詳細については、クロスアカウントクロスリージョン CloudWatch コンソールを参照してください。 |
ログ: CloudWatch Logs Insights、サブスクリプションフィルター、メトリクスフィルター メトリクス: PutMetricData、埋め込みメトリクス形式 (EMF)、OpenTelemetry (OTLP) によるカスタム |
使用できるアカウントの数 |
モニタリングアカウントは、最大 100,000 個のソースアカウントのリソースを同時に表示できます。ソースアカウントは、最大 5 個の異なるモニタリングアカウントとリソースを共有できます。 |
コンソールでクロスアカウントクロスリージョンセレクタを使用すると、モニタリングアカウントは一度に 1 つの別のアカウントに切り替えることができますが、リンクできるアカウントの数に制限はありません。クロスアカウントダッシュボードとアラームを定義する場合、多くのソースアカウントを参照できます。 |
AWS Organizations でサポートされているアカウント数で利用可能 |
テレメトリデータは移動しますか |
いいえ。コピーされたトレースを除き、リソースはアカウント間で共有されます。 |
いいえ。IAM ポリシーは、クロスアカウントクロスリージョンリソースの可視性のために埋め込みアカウントの切り替えを許可するように設定されています。 |
はい |
どのくらいのコストがかかりますか。 |
共有ログとメトリクスに追加料金はかかりません。最初のトレースコピーは無料です。料金の詳細については、「Amazon CloudWatch の料金 |
クロスアカウントまたはクロスリージョンアクションには追加料金はかかりません。 |
一元化されたテレメトリの最初のコピーは無料です。オプションのバックアップリージョン (2 番目のコピー) は有料機能になります。詳細については、「Amazon CloudWatch 料金表 |
リージョン間のオブザーバビリティをサポートしていますか |
いいえ |
はい |
はい、リージョン間でデータを一元化できます。 |
プログラムによるアクセスをサポートしていますか |
はい。AWS CLI、AWS Cloud Development Kit (AWS CDK)、および API がサポートされています。 |
いいえ |
はい |
プログラムによるセットアップをサポートしていますか |
はい |
はい |
はい |
AWS Organizations をサポートしていますか |
はい |
はい |
はい。この機能を使用するには AWS Organizations が必要です。 |