CloudWatch 跨账户可观测性 - Amazon CloudWatch

CloudWatch 跨账户可观测性

通过 Amazon CloudWatch 跨账户可观测性,您可以监控跨越一个区域内多个账户的应用程序并对其进行故障排除。无缝地搜索、可视化显示和分析任何关联账户中的指标、日志、跟踪记录、Application Insights 应用程序和网络监测仪,而不受账户限制。

将一个或多个 AWS 账户设置为监控账户,并将它们与多个源账户相关联。监控账户是一个中央 AWS 账户,可以查看源账户生成的可观测性数据并与之交互。源账户是一个单独的 AWS 账户,可为其中的资源生成可观测性数据。源账户与监控账户共享其可观测性数据。共享的可观测性数据可以包括以下类型的遥测数据:

  • Amazon CloudWatch 中的指标。您可以选择与监控账户共享所有命名空间的指标,也可以筛选为命名空间的子集。

  • Amazon CloudWatch Logs 中的日志组。您可以选择与监控账户共享所有日志组,也可以筛选为日志组的子集。

  • AWS X-Ray 中的跟踪记录

  • Amazon CloudWatch Application Insights 中的应用程序

  • CloudWatch 网络监测仪中的监测仪

要在监控账户和源账户之间创建关联,您可以使用 CloudWatch 控制台。或者,使用 AWS CLI 和 API 中的 Observability Access Manager 命令。有关更多信息,请参阅 Observability Access Manager API 参考

接收器是表示监控账户中连接点的资源。源账户可以与接收器相关联,以共享可观测性数据。每个账户在每个区域可以有一个接收器。每个接收器都由其所在的监控账户管理。可观测性关联是一种资源,表示在源账户和监控账户之间建立的关联。关联由源账户管理。

有关设置 CloudWatch 跨账户可观测性的视频演示,请观看以下视频。

下一个主题介绍如何在监控账户和源账户中设置 CloudWatch 跨账户可观测性。有关跨账户跨区域 CloudWatch 控制面板的信息,请参阅 跨账户跨区域的 CloudWatch 控制台

使用 Organizations 作为源账户

将源账户关联到监控账户有两个选项。您可以使用其中一个选项,或同时使用两个选项。

  • 使用 AWS Organizations 将组织或组织单位中的账户关联到监控账户。

  • 将单独的 AWS 账户连接到监控账户。

我们建议您使用 Organizations,这样稍后在组织中创建的新 AWS 账户就会自动作为源账户载入到跨账户可观测性中。

关于关联监控账户和源账户的详细信息

  • 每个监控账户可以关联多达 10 万个源账户。

  • 每个源账户最多可以与五个监控账户共享数据。

  • 您可以将单个账户同时设置为监控账户和源账户。如果您这样做,则此账户仅将其自身的可观测性数据发送到其关联的监控账户。它不会转发来自其源账户的数据。

  • 监控账户指定可以与其共享的遥测类型。源账户指定要共享的遥测类型。

    • 如果在监控账户中选择的遥测类型多于在源账户中选择的遥测类型,则会关联这些账户。只有在两个账户中都选择的数据类型才会进行共享。

    • 如果在源账户中选择的遥测类型多于在监控账户中选择的遥测类型,则关联创建失败,不会共享任何内容。

    • 在创建链接后该指标发出新数据点之前,指标名称不会在监控账户控制台中显示。

  • 要删除账户之间的关联,请从源账户执行此操作。

  • 要删除监控账户中的接收器,必须先删除与该监控账户中接收器的所有关联。

定价

CloudWatch 中的跨账户可观测性没有额外的日志和指标成本,而且第一个跟踪副本是免费的。有关定价的更多信息,请参阅 Amazon CloudWatch 定价