Vincular contas de monitoramento a contas de origem - Amazon CloudWatch
Permissões requeridasVisão geral da configuraçãoEtapa 1: configurar uma conta de monitoramentoEtapa 2: (opcional) baixe um modelo do AWS CloudFormation ou uma URLEtapa 3: vincular as contas de origem

Vincular contas de monitoramento a contas de origem

Os tópicos desta seção explicam como configurar vínculos entre as contas de monitoramento e as contas de origem.

Recomendamos que você crie uma nova conta da AWS para servir como conta de monitoramento para a sua organização.

Permissões requeridas

Para criar vínculos entre uma conta de monitoramento e uma conta de origem, você deve ter feito login com determinadas permissões.

  • Para configurar uma conta de monitoramento, você deve ter total acesso de administrador à conta de monitoramento ou fazer login nessa conta com as seguintes permissões:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • Conta de origem, com o escopo de uma conta de monitoramento específica: para criar, atualizar e gerenciar os vínculos para apenas uma conta de monitoramento especificada, você deve entrar na conta com pelo menos as permissões a seguir. Neste exemplo, a conta de monitoramento é a 999999999999.

    Se o vínculo não compartilhar todos os cinco tipos de recursos (métricas, logs, rastreamentos, aplicações do Application Insights e monitoramentos do Monitor de Internet), será possível omitir cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link ou internetmonitor:Link, conforme necessário.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • Conta de origem com permissões para realizar a vinculação com qualquer conta de monitoramento: para criar um vínculo para qualquer coletor de conta de monitoramento existente e compartilhar métricas, grupos de logs, rastreamentos, aplicações do Application Insights e monitoramentos do Monitor de Internet, você deverá iniciar uma sessão na conta de origem com permissões totais de administrador ou iniciar uma sessão com as permissões apresentadas a seguir.

    Se o vínculo não compartilhar todos os cinco tipos de recursos (métricas, logs, rastreamentos, aplicações do Application Insights e monitoramentos do Monitor de Internet), será possível omitir cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link ou internetmonitor:Link, conforme necessário.

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

Visão geral da configuração

As etapas de alto nível a seguir mostram como configurar a observabilidade entre contas do CloudWatch.

nota

Recomendamos a criação de uma nova conta da AWS para servir como conta de monitoramento para a sua organização.

  1. Configure uma conta de monitoramento dedicada.

  2. (Opcional) Baixe um modelo do AWS CloudFormation ou copie uma URL para vincular as contas de origem.

  3. Vincule as contas de origem à conta de monitoramento.

Depois de concluir essas etapas, você poderá usar a conta de monitoramento para visualizar os dados de observabilidade das contas de origem.

Etapa 1: configurar uma conta de monitoramento

Siga as etapas desta seção para configurar uma conta da AWS como conta de monitoramento para a observabilidade entre contas do CloudWatch.

Pré-requisitos

  • Se você estiver configurando contas em uma organização do AWS Organizations como contas de origem, obtenha o caminho da organização ou a ID da organização.

  • Se você não estiver usando o Organizations para as contas de origem, obtenha as IDs das contas de origem.

Para configurar uma conta como conta de monitoramento, é necessário ter determinadas permissões. Para ter mais informações, consulte Permissões requeridas.

Para configurar uma conta de monitoramento

  1. Faça login na conta que você deseja usar como uma conta de monitoramento.

  2. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  3. No painel de navegação à esquerda, escolha Configurações.

  4. Em Monitoring account configuration (Configuração de conta de monitoramento), escolha Configure (Configurar).

  5. Em Selecionar dados, escolha se esta conta de monitoramento poderá visualizar dados de Logs, Métricas, Rastreamentos, Aplicações do Application Insights e Monitoramentos do Monitor de Internet das contas de origem às quais está vinculada.

  6. Em List source accounts (Listar contas de origem), insira as contas de origem que essa conta de monitoramento visualizará. Para identificar as contas de origem, insira IDs de conta individuais, caminhos de organizações ou os IDs de organizações. Se você inserir um caminho de organização ou um ID de organização, essa conta de monitoramento poderá visualizar dados de observabilidade de todas as contas vinculadas a essa organização.

    Separe com vírgulas as entradas dessa lista.

    Importante

    Ao inserir um caminho organizacional, siga o formato exato. O ou-id deve terminar com uma / (um caractere de barra). Por exemplo: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Em Define a label to identify your source account (Definir um rótulo para identificar a conta de origem), especifique se você deseja usar nomes de conta ou endereços de e-mail para identificar as contas de origem quando usar a conta de monitoramento para visualizá-las.

  8. Selecione Configurar.

Importante

O vínculo entre as contas de monitoramento e de origem não estará completo até que você configure as contas de origem. Para obter mais informações, consulte as seções a seguir.

Etapa 2: (opcional) baixe um modelo do AWS CloudFormation ou uma URL

Para vincular contas de origem a uma conta de monitoramento, recomendamos usar um modelo do AWS CloudFormation ou uma URL.

  • Se você estiver vinculando uma organização inteira, o CloudWatch fornece um modelo do AWS CloudFormation.

  • Se você estiver vinculando contas individuais, use um modelo do AWS CloudFormation ou uma URL fornecida pelo CloudWatch.

Para usar um modelo do AWS CloudFormation, você deve baixá-lo durante essas etapas. Depois de vincular a conta de monitoramento a pelo menos uma conta de origem, o modelo do AWS CloudFormation não estará mais disponível para download.

Para baixar um modelo do AWS CloudFormation ou copiar uma URL para vincular contas de origem à conta de monitoramento

  1. Faça login na conta que você deseja usar como uma conta de monitoramento.

  2. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  3. No painel de navegação à esquerda, escolha Configurações.

  4. Em Monitoring account configuration (Configuração de conta de monitoramento), escolha Resources to link accounts (Recursos para vincular contas).

  5. Execute um destes procedimentos:

    • Escolha a organização da AWS para obter um modelo a ser usado para vincular as contas de uma organização a essa conta de monitoramento.

    • Escolha Any account (Qualquer conta) para obter um modelo ou uma URL para configurar contas individuais como contas de origem.

  6. Execute um destes procedimentos:

    • Se você escolheu Organização da AWS, escolha Baixar modelo do CloudFormation.

    • Se você escolheu Any account (Qualquer conta), escolha Download CloudFormation template (Baixar modelo do CloudFormation) ou Copy URL (Copiar URL).

  7. (Opcional) Repita as etapas 5 e 6 para baixar ambos, o modelo do AWS CloudFormation e a URL.

Etapa 3: vincular as contas de origem

Use as etapas nestas seções para vincular contas de origem a uma conta de monitoramento.

Para vincular contas de monitoramento a contas de origem, é necessário ter determinadas permissões. Para ter mais informações, consulte Permissões requeridas.

Use um modelo do AWS CloudFormation para configurar todas as contas de uma organização ou unidade organizacional como contas de origem

Essas etapas pressupõem que você já tenha baixado o modelo AWS CloudFormation necessário executando as etapas em Etapa 2: (opcional) baixe um modelo do AWS CloudFormation ou uma URL.

Para usar um modelo do AWS CloudFormation para vincular as contas de uma organização ou unidade organizacional à conta de monitoramento

  1. Faça login na conta de gerenciamento da organização.

  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. Na barra de navegação esquerda, escolha StackSets.

  4. Verifique se você fez login na região desejada e escolha Create StackSet (Criar StackSet).

  5. Escolha Próximo.

  6. Escolha Template is ready (O modelo está pronto) e escolha Upload a template file (Carregar um arquivo de modelo).

  7. Escolha Choose file (Escolher arquivo), escolha o modelo que você baixou da conta de monitoramento e escolha Open (Abrir).

  8. Escolha Próximo.

  9. Na página Specify stack details (Especificar detalhes da pilha), digite o nome do StackSet e escolha Next (Avançar).

  10. Em Add stacks to stack set (Adicionar pilhas ao conjunto de pilhas), escolha Deploy new stacks (Implantar novas pilhas).

  11. Para Deployment targets (Destinos da implantação), escolha se deseja implantar em toda a organização ou nas unidades organizacionais especificadas.

  12. Em Specify regions (Especificar regiões), escolha em quais regiões a observabilidade entre contas do CloudWatch será implantada.

  13. Escolha Próximo.

  14. Na página Review (Revisar), reveja as opções selecionadas e escolha Submit (Enviar).

  15. Na guia Stack instances (Instâncias de pilha), atualize a tela até ver que as instâncias de pilha têm o status CREATE_COMPLETE.

Use um modelo do AWS CloudFormation para configurar contas de origem individuais

Essas etapas pressupõem que você já tenha baixado o modelo AWS CloudFormation necessário executando as etapas em Etapa 2: (opcional) baixe um modelo do AWS CloudFormation ou uma URL.

Para usar um modelo do AWS CloudFormation para configurar contas de origem individuais para observabilidade entre contas do CloudWatch

  1. Faça login na conta de origem.

  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. No painel de navegação esquerda, escolha Stacks (Pilhas).

  4. Verifique se fez login na região desejada e escolha Create stack (Criar pilha), With new resources (standard) (Com novos recursos (padrão).

  5. Escolha Próximo.

  6. Selecione Carregar um arquivo de modelo.

  7. Escolha Choose file (Escolher arquivo), escolha o modelo que você baixou da conta de monitoramento e escolha Open (Abrir).

  8. Escolha Próximo.

  9. Na página Specify stack details (Especificar detalhes da pilha), insira um nome para a pilha, e escolha Next (Avançar).

  10. Na página Configurar opções de pilha, selecione Avançar.

  11. Na página Review (Revisar), escolha Submit (Enviar).

  12. Na página de status da pilha, atualize a tela até ver que a pilha tem o status CREATE_COMPLETE.

  13. Para usar esse mesmo modelo para vincular mais contas de origem a essa conta de monitoramento, saia dessa conta e entre na próxima conta de origem. Depois, repita as etapas de 2 a 12.

Usar uma URL para configurar contas de origem individuais

Essas etapas pressupõem que você já tenha copiado a URL necessária executando as etapas em Etapa 2: (opcional) baixe um modelo do AWS CloudFormation ou uma URL.

Para usar uma URL para vincular contas de origem individuais à conta de monitoramento

  1. Faça login na conta que você deseja usar como uma conta de origem.

  2. Insira a URL que você copiou da conta de monitoramento.

    Você verá a página de configurações do CloudWatch, com algumas informações preenchidas.

  3. Em Selecionar dados, escolha se esta conta de origem compartilhará dados de Logs, Métricas, Rastreamentos, Aplicações do Application Insights e Monitoramentos do Monitor de Internet com esta conta de monitoramento.

    Tanto para Logs quanto para Métricas, é possível escolher se deseja compartilhar todos os recursos ou um subconjunto com a conta de monitoramento.

    1. (Opcional) Para compartilhar um subconjunto dos grupos de logs desta conta com a conta de monitoramento, selecione Logs e escolha Filtrar logs. Em seguida, use a caixa Filtrar logs para definir a estrutura de uma consulta para localizar os grupos de logs que você deseja compartilhar. A consulta usará o termo LogGroupName e um ou mais dos operadores apresentados a seguir.

      • = e !=

      • AND

      • OR

      • ^ indica LIKE e !^ indica NOT LIKE. Esses operadores podem ser usados somente como pesquisas de prefixo. Inclua um símbolo de % no final da string que você deseja pesquisar e incluir.

      • IN e NOT IN, usando parênteses (( ))

      A consulta completa não deve ter mais de 2 mil caracteres e está limitada a cinco operadores condicionais. Os operadores condicionais são AND e OR. Não há limite para o número de outros operadores.

      dica

      Escolha Visualizar amostras de consultas para obter a sintaxe correta para os formatos de consulta comuns.

    2. (Opcional) Para compartilhar um subconjunto de namespaces de métricas desta conta com a conta de monitoramento, selecione Métricas e escolha Filtrar métricas. Em seguida, use a caixa Filtrar métricas para definir a estrutura de uma consulta para localizar os namespaces de métricas que você deseja compartilhar. Use o termo Namespace e um ou mais dos operadores apresentados a seguir.

      • = e !=

      • AND

      • OR

      • LIKE e NOT LIKE. Esses operadores podem ser usados somente como pesquisas de prefixo. Inclua um símbolo de % no final da string que você deseja pesquisar e incluir.

      • IN e NOT IN, usando parênteses (( ))

      A consulta completa não deve ter mais de 2 mil caracteres e está limitada a cinco operadores condicionais. Os operadores condicionais são AND e OR. Não há limite para o número de outros operadores.

    dica

    Escolha Visualizar amostras de consultas para obter a sintaxe correta para os formatos de consulta comuns.

  4. Não altere o ARN em Enter monitoring account configuration ARN (Inserir ARN de configuração da conta de monitoramento).

  5. A seção Define a label to identify your source account (Definir um rótulo para identificar sua conta de origem) é pré-preenchida com a opção de label da conta de monitoramento. Opcionalmente, escolha Edit (Editar) para alterar a URL.

  6. Escolha Link (Vincular).

  7. Insira Confirm na caixa e escolha Confirm (Confirmar).

  8. Para usar essa mesma URL para vincular mais contas de origem a essa conta de monitoramento, saia dessa conta e entre na próxima conta de origem. Depois, repita as etapas de 2 a 7.