将监控账户与源账户相关联 - Amazon CloudWatch
必要的权限设置概述步骤 1:设置监控账户步骤 2:(可选)下载 AWS CloudFormation 模板或复制 URL步骤 3:关联源账户

将监控账户与源账户相关联

本节中的主题介绍了如何在监控账户和源账户之间设置关联。

我们建议您创建一个新的 AWS 账户作为贵组织的监控账户。

必要的权限

创建链接所需的权限

如要在监控账户和源账户之间创建关联,您必须以特定权限登录。

  • 设置监控账户 – 您必须拥有监控账户的完全管理员访问权限,或者使用以下权限登录该账户:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • 源账户,范围限定为特定的监控账户 – 如要仅为一个指定的监控账户创建、更新和管理关联,您必须至少使用以下权限登录该账户。在本示例中,监控账户为 999999999999

    如果此关联未打算共享所有五种资源类型(指标、日志、跟踪、Application Insights 应用程序和网络检测仪监控),则可以根据需要省略 cloudwatch:Linklogs:Linkxray:Linkapplicationinsights:Linkinternetmonitor:Link

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • 源账户,具有关联到任何监控账户的权限 – 要创建与任何现有监控账户接收器的关联并共享指标、日志组、跟踪、Application Insights 应用程序和网络监测仪,您必须以完全管理员权限登录源账户或使用以下权限登录

    如果此关联未打算共享所有五种资源类型(指标、日志、跟踪、Application Insights 应用程序和网络检测仪监控),则可以根据需要省略 cloudwatch:Linklogs:Linkxray:Linkapplicationinsights:Linkinternetmonitor:Link

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

跨账户监控所需的权限

创建链接后,要查看来自监控账户的源账户信息,必须使用以下选项之一登录账户:

  • 监控账户的完整管理员访问权限

  • 以下跨账户权限以及查看您将要监控的特定类型的资源所需的权限

    {
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

设置概述

以下高级步骤向您展示了如何设置 CloudWatch 跨账户可观测性。

注意

我们建议创建一个新的 AWS 账户,用作贵组织的监控账户。

  1. 设置一个专用的监控账户。

  2. (可选)下载 AWS CloudFormation 模板或复制 URL 以关联源账户。

  3. 将源账户关联到该监控账户。

完成这些步骤后,您可以使用该监控账户查看源账户的可观测性数据。

步骤 1:设置监控账户

按照本节中的步骤将 AWS 账户设置为 CloudWatch 跨账户可观测性的监控账户。

先决条件

  • 如果您将 AWS Organizations 组织中的账户设置为源账户 – 获取组织路径或组织 ID。

  • 如果您不使用 Organizations 作为源账户 – 获取源账户的账户 ID。

要将一个账户设置为监控账户,您必须具有特定的权限。有关更多信息,请参阅 必要的权限

设置监控账户

  1. 登录要用作监控账户的账户。

  2. 访问 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  3. 在左侧导航窗格中,选择 设置

  4. 通过 Monitoring account configuration(监控账户配置),选择 Configure(配置)。

  5. 对于选择数据,选择该监控账户是否能够查看所关联源账户的日志指标跟踪Application Insights – 应用程序网络监测仪 - 监控数据。

  6. 对于 List source accounts(列出源账户),输入该监控账户将查看的源账户。要标识源账户,请输入单个账户 ID、组织路径或组织 ID。如果您输入组织路径或组织 ID,则该监控账户可以查看该组织中所有关联账户的可观测性数据。

    用逗号分隔此列表中的条目。

    重要

    输入组织路径时,请遵循确切的格式。ou-id 必须以 /(斜杠字符)结尾。例如:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. 对于 Define a label to identify your source account(定义一个标签来标识源账户),请指定在使用监控账户查看源账户时是使用账户名还是电子邮件地址来标识源账户。

  8. 选择 配置

重要

在您配置源账户之前,监控账户和源账户之间的关联是不完整的。有关更多信息,请参阅以下部分。

步骤 2:(可选)下载 AWS CloudFormation 模板或复制 URL

要将源账户关联到监控账户,我们建议使用 AWS CloudFormation 模板或 URL。

  • 如果您要关联整个组织 – CloudWatch 提供了一个 AWS CloudFormation 模板。

  • 如果您要关联单个账户 – 使用 AWS CloudFormation 模板或 CloudWatch 提供的 URL。

要使用 AWS CloudFormation 模板,您必须在以下步骤中下载该模板。将监控账户与至少一个源账户关联后,将不能再下载 AWS CloudFormation 模板。

下载 AWS CloudFormation 模板或复制 URL,以便将源账户关联到监控账户

  1. 登录要用作监控账户的账户。

  2. 访问 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  3. 在左侧导航窗格中,选择 设置

  4. 通过 Monitoring account configuration(监控账户配置),选择 Resources to link accounts(用于关联账户的资源)。

  5. 请执行以下操作之一:

    • 选择 AWS organization 以获取用于将组织中的账户关联到该监控账户的模板。

    • 选择 Any account(任何账户)以获取用于将单个账户设置为源账户的模板或 URL。

  6. 请执行以下操作之一:

    • 如果您选择了 AWS organization,请选择 Download CloudFormation template(下载 CloudFormation 模板)。

    • 如果您选择了 Any account(任何账户),请选择 Download CloudFormation template(下载 CloudFormation 模板)或 Copy URL(复制 URL)。

  7. (可选)重复步骤 5-6以下载 AWS CloudFormation 模板并复制 URL。

步骤 3:关联源账户

按照以下步骤将源账户关联到监控账户。

要将监控账户与源账户相关联,您必须具有特定的权限。有关更多信息,请参阅 必要的权限

使用 AWS CloudFormation 模板将组织或组织单位中的所有账户设置为源账户

以下步骤假设您已经通过执行 步骤 2:(可选)下载 AWS CloudFormation 模板或复制 URL 中的步骤下载了必要的 AWS CloudFormation 模板。

使用 AWS CloudFormation 模板将组织或组织单位中的账户关联到监控账户

  1. 登录到组织的管理账户。

  2. 打开 AWS CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation

  3. 在左侧导航栏中,选择 StackSets(堆栈集)。

  4. 检查您是否已登录到所需的区域,然后选择 Create StackSet(创建堆栈集)。

  5. 选择下一步

  6. 选择 Template is ready(模板已准备就绪),然后选择 Upload a template file(上传模板文件)。

  7. 选择 Choose file(选择文件),然后选择从监控账户下载的模板,再选择 Open(打开)。

  8. 选择下一步

  9. 对于 Specify StackSet details(指定堆栈集详细信息),输入堆栈集名称并选择 Next(下一步)。

  10. 对于 Add stacks to stack set(将堆栈添加到堆栈集),选择 Deploy new stacks(部署新堆栈)。

  11. 对于 Deployment targets(部署目标),选择是部署到整个组织还是部署到指定的组织单位。

  12. 对于 Specify regions(指定区域),选择要将 CloudWatch 跨账户可观测性部署到哪些区域。

  13. 选择下一步

  14. Review(审核)页面上,确认所选的选项并选择 Submit(提交)。

  15. Stack instances(堆栈实例)选项卡中,刷新屏幕,直到您看到堆栈实例的状态为 CREATE_COMPLETE

使用 AWS CloudFormation 模板设置单个源账户

以下步骤假设您已经通过执行 步骤 2:(可选)下载 AWS CloudFormation 模板或复制 URL 中的步骤下载了必要的 AWS CloudFormation 模板。

使用 AWS CloudFormation 模板为 CloudWatch 跨账户可观测性设置单个源账户

  1. 登录到源账户。

  2. 打开 AWS CloudFormation 控制台,地址:https://console.aws.amazon.com/cloudformation

  3. 在左侧导航栏中,选择 Stacks(堆栈)。

  4. 检查您是否已登录到所需的区域,然后依次选择 Create stack(创建堆栈)、With new resources (standard)(使用新资源(标准))。

  5. 选择下一步

  6. 选择上传模板文件

  7. 选择 Choose file(选择文件),然后选择从监控账户下载的模板,再选择 Open(打开)。

  8. 选择下一步

  9. 对于 Specify stack details(指定堆栈详细信息),输入堆栈名称并选择 Next(下一步)。

  10. 配置堆栈选项页面上,请选择下一步

  11. Review(审核)页面上,选择 Submit(提交)。

  12. 在堆栈的状态页面上,刷新屏幕,直到您看到堆栈的状态为 CREATE_COMPLETE

  13. 要使用同一模板将更多源账户关联到该监控账户,请退出此源账户并登录到下一个源账户。然后重复步骤 2-12。

使用 URL 设置单个源账户

以下步骤假设您已经通过执行 步骤 2:(可选)下载 AWS CloudFormation 模板或复制 URL 中的步骤复制了必要的 URL。

使用 URL 将单个源账户关联到监控账户

  1. 登录要用作源账户的账户。

  2. 输入从监控账户复制的 URL。

    您会看到 CloudWatch 设置页面,其中填写了一些信息。

  3. 对于选择数据,选择该源账户是否将日志指标跟踪Application Insights – 应用程序网络监测仪 - 监控数据共享到该监控账户。

    对于日志指标,您可以选择是与监控账户共享所有资源还是共享部分资源。

    1. (可选)要与监控账户共享此账户日志组的子集,请选择日志,然后选择筛选日志。然后,使用筛选日志框构造查询以查找要共享的日志组。该查询将使用条件 LogGroupName 和以下一个或多个操作数。

      • =!=

      • AND

      • OR

      • ^ 表示 LIKE,!^ 表示 NOT LIKE。这些只能用作前缀搜索。在要搜索和包含的字符串末尾加上 %

      • INNOT IN,使用圆括号 (( ))

      完整的查询不得超过 2000 个字符,并且限制为五个条件操作数。条件操作数为 ANDOR。其他操作数的数量没有限制。

      提示

      选择查看示例查询,以查看常见查询格式的正确语法。

    2. (可选)要与监控账户共享此账户指标命名空间的子集,请选择指标,然后选择筛选指标。然后,使用筛选指标框构造查询以查找要共享的指标命名空间。使用条件 Namespace 和以下一个或多个操作数。

      • =!=

      • AND

      • OR

      • LIKENOT LIKE 这些只能用作前缀搜索。在要搜索和包含的字符串末尾加上 %

      • INNOT IN,使用圆括号 (( ))

      完整的查询不得超过 2000 个字符,并且限制为五个条件操作数。条件操作数为 ANDOR。其他操作数的数量没有限制。

    提示

    选择查看示例查询,以查看常见查询格式的正确语法。

  4. 请勿在 Enter monitoring account configuration ARN(输入监控账户配置 ARN)中更改 ARN。

  5. Define a label to identify your source account(定义一个标签来标识源账户)部分预先填充了监控账户中选择的标签。或者,也可以选择 Edit(编辑)来更改标签。

  6. 选择关联

  7. 在此框中输入 Confirm,然后选择 Confirm(确认)。

  8. 要使用同一 URL 将更多源账户关联到该监控账户,请退出此源账户并登录到下一个源账户。然后重复步骤 2-7。