跨账户和跨区域监控
为实现跨账户统一监控,CloudWatch 提供了以下功能:
CloudWatch 跨账户可观测性:使用 Observability Access Manager(OAM)服务促进单个区域内的可观测性。您可以关联账户,轻松查看账户之间的指标、日志、跟踪和其他遥测数据。这有助于您统一中央监控账户中的可观测性,这些账户可以查看从源账户共享的遥测数据,并像对监控账户的原生遥测数据一样对这种共享遥测数据进行操作。
跨账户跨区域 CloudWatch 控制台:提供控制台体验,允许您通过在账户之间切换来查看跨区域其他账户的控制面板、指标和警报控制台。设置必要的权限后,您可以使用集成到警报、控制面板和指标控制台中的账户选择器来查看其他账户中的指标、控制面板和警报,而无需登录和注销账户。启用此功能后,您还可以设置包含跨账户跨区域指标的控制面板,以便在账户内集中查看。
这两项功能相互补充,可以单独使用,也可以一起使用。请参阅下表,了解两项功能的对比。建议您使用 CloudWatch 跨账户可观测性,以得到区域内指标、日志和跟踪记录最丰富的跨账户可观测性和发现体验。
这是什么? |
跨多个账户统一访问底层遥测和其他可观测性资源。配置完成后,便可以在账户之间无缝查看可观测性资源,而无需担任角色。中央监控账户可以直接访问源账户的遥测数据和资源,从而简化了监控和可观测性流程。 |
指定的监控账户担任在 CloudWatch 控制台源账户中定义的 CrossAccountSharingRole。担任此角色后,监控账户可以直接从其控制台调用代表源账户查看控制面板等操作。 |
如何工作? |
使用可观测性访问监控服务的监控账户会创建一个接收器并向其附加接收器策略。接收器策略定义接收器想要查看哪些资源,以及哪些源账户应该共享这些资源。然后,源账户可以创建指向监控账户接收器的链接,确定其实际想要共享的内容。创建链接后,指定的资源将在监控账户中显示。 |
源账户通过设置 CrossAccountSharingRole 来启动配置,从而允许监控账户在源账户中运行操作。然后,监控账户通过指定源账户 ID 在控制台中启用跨账户跨区域选择器。这使监控账户能够切换到源账户。切换时,CloudWatch 控制台会检查是否存在服务相关角色,该角色允许 CloudWatch 担任在源账户中创建的 CrossAccountSharingRole。 |
支持哪些遥测? |
|
|
支持哪些功能? |
|
有关更多详细信息,请参阅跨账户跨区域的 CloudWatch 控制台。 |
我可以将其与多少个账户一起使用? |
一个监控账户可以同时查看多达 10 万个源账户的资源。一个源账户最多可以与五个不同的监控账户共享其资源。 |
使用控制台中的跨账户跨区域选择器后,一个监控账户一次只能切换到一个其他账户,但可以关联的账户数量没有限制。定义跨账户控制面板和警报时,可以引用多个源账户。 |
会移动遥测数据吗? |
不会。除了复制的跟踪以外,资源在账户之间共享。 |
不会。IAM 策略配置为允许切换嵌入式账户以实现跨账户跨区域资源可见性。 |
它的成本是多少? |
共享日志和指标无需额外付费,并且第一个跟踪副本免费。有关定价的更多信息,请参见 Amazon CloudWatch 定价 |
跨账户或跨区域操作无需额外付费。 |
是否支持跨区域的可观测性? |
否 |
是 |
是否支持编程访问? |
是。支持 AWS CLI、AWS Cloud Development Kit (AWS CDK) 和 API。 |
否。 |
是否支持编程设置? |
是 |
是 |
是否支持 AWS Organizations? |
是 |
是 |
