소스 계정과 모니터링 계정 연결 - Amazon CloudWatch
필요한 권한설정 개요1단계: 모니터링 계정 설정2단계: (선택 사항) AWS CloudFormation 템플릿 또는 URL 다운로드3단계: 소스 계정 연결

소스 계정과 모니터링 계정 연결

이 섹션의 항목에서는 모니터링 계정과 소스 계정 간 링크를 설정하는 방법을 설명합니다.

조직의 모니터링 계정으로 사용할 새 AWS 계정을 생성하는 것이 좋습니다.

필요한 권한

링크를 생성하는 데 필요한 권한

모니터링 계정과 소스 계정 간 링크를 생성하려면 특정 권한으로 로그인해야 합니다.

  • 모니터링 계정을 설정하려면 - 모니터링 계정에서 전체 관리자 액세스 권한이 있거나 다음 권한으로 해당 계정에 로그인해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • 특정 모니터링 계정으로 범위가 지정된 소스 계정 - 지정된 하나의 모니터링 계정에 대한 링크를 생성, 업데이트 및 관리하려면 최소한 다음 권한이 있는 계정에 로그인해야 합니다. 이 예제에서 모니터링 계정은 999999999999입니다.

    링크가 5가지 리소스 유형(지표, 로그, 추적, Application Insights 애플리케이션, Internet Monitor 모니터)을 모두 공유하지 않는 경우 필요에 따라 cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link 또는 internetmonitor:Link를 생략할 수 있습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • 모든 모니터링 계정에 연결할 수 있는 권한이 있는 소스 계정 – 기존 모니터링 계정 싱크에 대한 링크를 만들고 지표, 로그 그룹, 추적, Application Insights 애플리케이션, Internet Monitor 모니터를 공유하려면, 전체 관리자 권한으로 소스 계정에 로그인하거나 다음 권한으로 로그인해야 합니다.

    링크가 5가지 리소스 유형(지표, 로그, 추적, Application Insights 애플리케이션, Internet Monitor 모니터)을 모두 공유하지 않는 경우 필요에 따라 cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link 또는 internetmonitor:Link를 생략할 수 있습니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

계정 간 모니터링에 필요한 권한

링크가 생성된 후 모니터링 계정에서 소스 계정 정보를 보려면 다음 중 하나를 사용하여 계정에 로그인해야 합니다.

  • 모니터링 계정의 전체 관리자 액세스

  • 모니터링할 특정 유형의 리소스를 볼 수 있는 권한 외에, 다음과 같은 교차 계정 권한

    {
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

설정 개요

다음의 개괄적인 단계는 CloudWatch 크로스 계정 관측성을 설정하는 방법을 보여줍니다.

참고

조직의 모니터링 계정으로 사용할 새 AWS 계정을 생성하는 것이 좋습니다.

  1. 전용 모니터링 계정을 설정합니다.

  2. (선택 사항) AWS CloudFormation 템플릿을 다운로드하거나 URL을 복사하여 소스 계정을 연결합니다.

  3. 모니터링 계정에 소스 계정을 연결합니다.

이 단계를 완료한 후 모니터링 계정을 사용하여 소스 계정의 관측성 데이터를 볼 수 있습니다.

1단계: 모니터링 계정 설정

이 섹션의 단계에 따라 AWS 계정을 CloudWatch 크로스 계정 관측성을 위한 모니터링 계정으로 설정하세요.

사전 조건

  • AWS Organizations 조직의 계정을 소스 계정으로 설정하는 경우 – 조직 경로 또는 조직 ID를 가져옵니다.

  • 소스 계정에 Organizations를 사용하지 않는 경우 - 소스 계정의 계정 ID를 가져옵니다.

계정을 모니터링 계정으로 설정하려면 특정 권한이 있어야 합니다. 자세한 내용은 필요한 권한 단원을 참조하십시오.

모니터링 계정을 설정하려면 다음을 수행하세요.

  1. 모니터링 계정으로 사용할 계정에 로그인합니다.

  2. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  3. 왼쪽 탐색 창에서 설정을 선택합니다.

  4. Monitoring account configuration(모니터링 계정 구성)에서 Configure(구성)를 선택합니다.

  5. 데이터 선택에서 이 모니터링 계정이 연결된 소스 계정의 로그, 지표, 추적, Application Insights - 애플리케이션, Internet Monitor - 모니터를 볼 수 있을지 여부를 선택합니다.

  6. List source accounts(소스 계정 나열)에 이 모니터링 계정이 표시될 소스 계정을 입력합니다. 소스 계정을 식별하려면 개별 계정 ID, 조직 경로 또는 조직 ID를 입력합니다. 조직 경로나 조직 ID를 입력하면 이 모니터링 계정에서 해당 조직의 모든 연결된 계정에서 관측성 데이터를 볼 수 있습니다.

    이 목록의 항목을 쉼표로 구분합니다.

    중요

    조직 경로를 입력할 때는 정확한 형식을 따라야 합니다. ou-id는 /(슬래시 문자)로 끝나야 합니다. 예: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Define a label to identify your source account(소스 계정을 식별하기 위한 레이블 정의)에서 모니터링 계정을 사용하여 소스 계정을 볼 때 소스 계정을 식별하기 위해 계정 이름을 사용할지 아니면 이메일 주소를 사용할지 지정합니다.

  8. 구성을 선택합니다.

중요

모니터링 계정과 소스 계정 간 링크는 소스 계정을 구성할 때까지 완료되지 않습니다. 자세한 내용은 다음 섹션을 참조하십시오.

2단계: (선택 사항) AWS CloudFormation 템플릿 또는 URL 다운로드

소스 계정을 모니터링 계정에 연결하려면 AWS CloudFormation 템플릿이나 URL을 사용하는 것이 좋습니다.

  • 전체 조직을 연결하는 경우 - CloudWatch에서 AWS CloudFormation 템플릿을 제공합니다.

  • 개별 계정을 연결하는 경우 - CloudWatch에서 제공하는AWS CloudFormation 템플릿이나 URL을 사용합니다.

AWS CloudFormation 템플릿을 사용하려면 이 단계에서 템플릿을 다운로드해야 합니다. 모니터링 계정을 하나 이상의 소스 계정과 연결한 후에는 AWS CloudFormation 템플릿을 더 이상 다운로드할 수 없습니다.

모니터링 계정에 소스 계정을 연결하기 위해 AWS CloudFormation 템플릿을 다운로드하거나 URL을 복사하려면 다음을 수행하세요.

  1. 모니터링 계정으로 사용할 계정에 로그인합니다.

  2. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  3. 왼쪽 탐색 창에서 설정을 선택합니다.

  4. Monitoring account configuration(모니터링 계정 구성)에서 Resources to link accounts(계정을 연결하기 위한 리소스)를 선택합니다.

  5. 다음 중 하나를 수행합니다.

    • 조직의 계정을 이 모니터링 계정에 연결하는 데 사용할 템플릿을 가져오려면 AWS organization을 선택합니다.

    • 개별 계정을 소스 계정으로 설정하기 위해 템플릿 또는 URL을 가져오려면 Any account(모든 계정)를 선택합니다.

  6. 다음 중 하나를 수행합니다.

    • AWS organization을 선택한 경우 Download CloudFormation template(CloudFormation 템플릿 다운로드)을 선택합니다.

    • Any account(모든 계정)를 선택한 경우 Download CloudFormation template(CloudFormation 템플릿 다운로드) 또는 Copy URL(URL 복사)을 선택합니다.

  7. (선택 사항) 5~6단계를 반복하여 AWS CloudFormation 템플릿과 URL을 모두 다운로드합니다.

3단계: 소스 계정 연결

이 섹션의 단계에 따라 모니터링 계정에 소스 계정을 연결합니다.

모니터링 계정을 소스 계정과 연결하려면 특정 권한이 있어야 합니다. 자세한 내용은 필요한 권한 단원을 참조하십시오.

AWS CloudFormation 템플릿을 사용하여 조직 또는 조직 단위의 모든 계정을 소스 계정으로 설정합니다.

이 단계에서는 2단계: (선택 사항) AWS CloudFormation 템플릿 또는 URL 다운로드의 단계를 수행하여 필요한 AWS CloudFormation 템플릿을 이미 다운로드했다고 가정합니다.

AWS CloudFormation 템플릿을 사용하여 조직 또는 조직 단위의 계정을 모니터링 계정에 연결합니다.

  1. 조직의 관리 계정에 로그인합니다.

  2. AWS CloudFormation 콘솔(https://console.aws.amazon.com/cloudformation)을 엽니다.

  3. 왼쪽 탐색 모음에서 StackSets(스택 세트)를 선택합니다.

  4. 원하는 리전에 로그인했는지 확인한 다음 Create StackSet(StackSet 생성)를 선택합니다.

  5. Next(다음)를 선택합니다.

  6. Template is ready(템플릿이 준비됨)를 선택하고 Upload a template file(템플릿 파일 업로드)를 선택합니다.

  7. Choose file(파일 선택)을 선택하고 모니터링 계정에서 다운로드한 템플릿을 선택한 다음 Open(열기)을 선택합니다.

  8. Next(다음)를 선택합니다.

  9. Specify StackSet details(스택 세트 세부 정보 지정)에 StackSet 이름을 입력하고 Next(다음)를 선택합니다.

  10. Add stacks to stack set(스택 세트에 스택 추가)에서 Deploy new stacks(새 스택 배포)를 선택합니다.

  11. Deployment targets(배포 대상)에서 전체 조직에 배포할지 아니면 지정된 조직 단위에 배포할지 선택합니다.

  12. Specify regions(리전 지정)에서 CloudWatch 크로스 계정 관측성을 배포할 리전을 선택합니다.

  13. Next(다음)를 선택합니다.

  14. Review(검토) 페이지에서 선택한 옵션을 확인하고 Submit(제출)을 선택합니다.

  15. Stack instances(스택 인스턴스) 탭에서 스택 인스턴스의 상태가 CREATE_COMPLETE로 표시될 때까지 화면을 새로 고칩니다.

AWS CloudFormation 템플릿을 사용하여 개별 소스 계정 설정

이 단계에서는 2단계: (선택 사항) AWS CloudFormation 템플릿 또는 URL 다운로드의 단계를 수행하여 필요한 AWS CloudFormation 템플릿을 이미 다운로드했다고 가정합니다.

AWS CloudFormation 템플릿을 사용하여 CloudWatch 크로스 계정 관측성을 위한 개별 소스 계정을 설정하려면 다음을 수행하세요.

  1. 소스 계정에 로그인합니다.

  2. AWS CloudFormation 콘솔(https://console.aws.amazon.com/cloudformation)을 엽니다.

  3. 왼쪽 탐색 모음에서 Stacks(스택)를 선택합니다.

  4. 원하는 리전에 로그인했는지 확인한 다음 Create stack(StackSet 생성), With new resources (standard)(새 리소스 사용(표준))를 선택합니다.

  5. Next(다음)를 선택합니다.

  6. 템플릿 파일 업로드를 선택합니다.

  7. Choose file(파일 선택)을 선택하고 모니터링 계정에서 다운로드한 템플릿을 선택한 다음 Open(열기)을 선택합니다.

  8. Next(다음)를 선택합니다.

  9. Specify stack details(스택 세부 정보 지정)에 스택 이름을 입력하고 Next(다음)를 선택합니다.

  10. 스택 옵션 구성 페이지에서 다음을 선택합니다.

  11. Review(검토) 페이지에서 Submit(제출)을 선택합니다.

  12. 스택의 상태 페이지에서 스택의 상태가 CREATE_COMPLETE로 표시될 때까지 화면을 새로 고칩니다.

  13. 동일한 템플릿을 사용하여 더 많은 소스 계정을 이 모니터링 계정에 연결하려면 이 계정에서 로그아웃하고 다음 소스 계정에 로그인합니다. 그런 다음 2~12단계를 반복합니다.

URL을 사용하여 개별 소스 계정 설정

이 단계에서는 2단계: (선택 사항) AWS CloudFormation 템플릿 또는 URL 다운로드의 단계를 수행하여 필요한 URL을 이미 복사했다고 가정합니다.

URL을 사용하여 모니터링 계정에 개별 소스 계정을 연결하려면 다음을 수행하세요.

  1. 소스 계정으로 사용할 계정에 로그인합니다.

  2. 모니터링 계정에서 복사한 URL을 입력합니다.

    일부 정보가 입력된 CloudWatch 설정 페이지가 표시됩니다.

  3. 데이터 선택에서 이 소스 계정이 연결된 소스 계정의 로그, 지표, 추적, Application Insights - 애플리케이션, Internet Monitor - 모니터를 공유할지 여부를 선택합니다.

    로그지표 모두 모니터링 계정과 모든 리소스 또는 하위 집합을 공유할지 선택할 수 있습니다.

    1. (선택 사항) 이 계정의 로그 그룹 하위 집합을 모니터링 계정과 공유하려면 로그를 선택하고 로그 필터링을 선택합니다. 이후 로그 필터링 상자를 사용하여 공유하려는 로그 그룹을 찾기 위한 쿼리를 구성합니다. 쿼리에서는 LogGroupName 텀과 다음 피연산자 중 하나 이상을 사용합니다.

      • =!=

      • AND

      • OR

      • ^ 기호는 LIKE, !^ 기호는 NOT LIKE를 나타냅니다. 접두사 검색으로만 사용할 수 있습니다. 검색 및 포함하려는 문자열의 끝에 % 기호를 포함합니다.

      • INNOT IN, 괄호(( )) 사용

      전체 쿼리는 2,000자를 넘지 않아야 하고 조건부 피연산자는 5개로 제한됩니다. 조건부 피연산자는 ANDOR입니다. 다른 피연산자의 수에는 제한이 없습니다.

      작은 정보

      샘플 쿼리 보기를 선택하면 일반 쿼리 형식의 올바른 구문을 확인할 수 있습니다.

    2. (선택 사항) 이 계정의 지표 네임스페이스 하위 집합을 모니터링 계정과 공유하려면 지표를 선택하고 지표 필터링을 선택합니다. 이후 지표 필터링 상자를 사용하여 공유하려는 지표 네임스페이스를 찾기 위한 쿼리를 구성합니다. Namespace 텀과 다음 피연산자 중 하나 이상을 사용합니다.

      • =!=

      • AND

      • OR

      • LIKENOT LIKE. 접두사 검색으로만 사용할 수 있습니다. 검색 및 포함하려는 문자열의 끝에 % 기호를 포함합니다.

      • INNOT IN, 괄호(( )) 사용

      전체 쿼리는 2,000자를 넘지 않아야 하고 조건부 피연산자는 5개로 제한됩니다. 조건부 피연산자는 ANDOR입니다. 다른 피연산자의 수에는 제한이 없습니다.

    작은 정보

    샘플 쿼리 보기를 선택하면 일반 쿼리 형식의 올바른 구문을 확인할 수 있습니다.

  4. Enter monitoring account configuration ARN(모니터링 계정 구성 ARN 입력)에서 ARN을 변경하지 않습니다.

  5. Define a label to identify your source account(소스 계정을 식별하기 위한 레이블 정의) 섹션은 모니터링 계정에서 선택한 레이블로 미리 채워져 있습니다. 필요에 따라 Edit(편집)을 선택하여 변경합니다.

  6. 연결을 선택합니다.

  7. 상자에 Confirm을 입력하고 Confirm(확인)을 선택합니다.

  8. 동일한 URL을 사용하여 더 많은 소스 계정을 이 모니터링 계정에 연결하려면 이 계정에서 로그아웃하고 다음 소스 계정에 로그인합니다. 그런 다음 2~7단계를 반복합니다.