本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連結監控帳戶與來源帳戶
本節中的主題會說明如何設定監控帳戶和來源帳戶之間的連結。
我們建議您建立一個新 AWS 帳戶作為組織的監控帳戶。
內容
必要的許可
若要在監控帳戶和來源帳戶之間建立連結,您必須擁有特定許可並登入帳戶。
-
若要設定監控帳戶:您必須在監控帳戶中擁有完整的系統管理員存取權,或者您必須擁有下列許可並登入該帳戶:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSinkModification", "Effect": "Allow", "Action": [ "oam:CreateSink", "oam:DeleteSink", "oam:PutSinkPolicy", "oam:TagResource" ], "Resource": "*" }, { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": ["oam:Get*", "oam:List*"], "Resource": "*" } ] }
-
範圍為特定監控帳戶的來源帳戶:若要僅針對某個指定監控帳戶建立、更新和管理連結,您必須擁有下列許可並登入該帳戶。在此範例中,監控帳戶為
999999999999
。如果連結不會共用全部五種資源類型 (指標、記錄檔、追蹤、應用程式深入解析應用程式和網際網路監視器監視器)
cloudwatch:Link
logs:Link
,您可以視需要省略xray:Link
applicationinsights:Link
、、、或internetmonitor:Link
。{ "Version": "2012-10-17", "Statement": [ { "Action": [ "oam:CreateLink", "oam:UpdateLink", "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:link/*" }, { "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:sink/*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "999999999999" ] } } }, { "Action": "oam:ListLinks", "Effect": "Allow", "Resource": "*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" } ] }
-
具有連結至任何監視帳戶之權限的來源帳戶 — 若要建立任何現有監視帳戶接收器的連結,並共用指標、記錄群組、追蹤、Application Insights 應用程式和 Internet Monitor 監視器,您必須以完整管理員權限登入來源帳戶,或使用下列權限登入該帳戶
如果連結不會共用全部五種資源類型 (指標、記錄檔、追蹤、應用程式深入解析應用程式和網際網路監視器監視器)
cloudwatch:Link
logs:Link
,您可以視需要省略xray:Link
applicationinsights:Link
、、、或internetmonitor:Link
。{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] }, { "Effect": "Allow", "Action": [ "oam:List*", "oam:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" } ] }
設定概觀
下列高階步驟說明如何設定 CloudWatch 跨帳戶可觀察性。
注意
我們建議您建立新 AWS 帳戶作為組織的監控帳戶使用。
-
設定專用的監控帳戶。
-
(選擇性) 下載 AWS CloudFormation 範本或複製 URL 以連結來源帳戶。
-
將來源帳戶連結至監控帳戶。
完成這些步驟後,您可以使用監控帳戶來檢視來源帳戶的可觀察性資料。
步驟 1:設定監控帳戶
請依照本節中的步驟將帳戶設定為 CloudWatch 跨 AWS 帳戶觀察性的監控帳戶。
必要條件
如果您要將 AWS Organizations 組織中的帳戶設定為來源帳戶,請取得組織路徑或組織 ID。
如果您未將 Organizations 用於來源帳戶:請取得來源帳戶的帳戶 ID。
若要將帳戶設定為監控帳戶,您必須具備特定許可。如需詳細資訊,請參閱 必要的許可。
設定監控帳戶
-
登入您想要用作監控帳戶的帳戶。
開啟主 CloudWatch 控台,網址為 https://console.aws.amazon.com/cloudwatch/
。 -
在左側的導覽窗格中,選擇設定。
-
在 Monitoring account configuration (監控帳戶組態) 中,選擇 Configure (設定)。
-
對於選取資料,請選擇此監視帳戶是否能夠檢視記錄、指標、追蹤、應用程式深入解析-應用程式和網際網路監視器- 監視其所連結來源帳戶的資料。
-
在 List source accounts (列出來源帳戶) 中,輸入此監控帳戶可檢視的來源帳戶。若要識別來源帳戶,請輸入個別帳戶 ID、組織路徑或組織 ID。如果您輸入組織路徑或組織 ID,系統會允許此監控帳戶檢視該組織中所有連結帳戶的可觀察性資料。
以逗號分隔的此清單中的項目。
重要
當您輸入組織路徑時,請遵循確切的格式。ou-id 必須以 (斜線字元
/
) 結尾。例如:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/
-
在 Define a label to identify your source account (定義標籤來識別來源帳戶) 中,指定當您使用監控帳戶檢視來源帳戶時,是否要使用帳戶名稱或電子郵件地址來識別來源帳戶。
-
選擇 Configure (設定)。
重要
設定來源帳戶之後,監控帳戶和來源帳戶之間的連結才會完成。如需詳細資訊,請參閱下列區段。
步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址
若要將來源帳戶連結至監控帳戶,建議您使用 AWS CloudFormation 範本或 URL。
-
如果您要連結整個組織,則會 CloudWatch 提供 AWS CloudFormation 範本。
-
如果您要連結個別帳號 — 請使用 AWS CloudFormation 範本或提 CloudWatch 供的 URL。
若要使用 AWS CloudFormation 範本,您必須在這些步驟中下載範本。將監視帳戶與至少一個來源帳戶連結後,即無法再下載 AWS CloudFormation 範本。
下載 AWS CloudFormation 範本或複製 URL 以將來源帳戶連結至監視帳戶
-
登入您想要用作監控帳戶的帳戶。
開啟主 CloudWatch 控台,網址為 https://console.aws.amazon.com/cloudwatch/
。 -
在左側的導覽窗格中,選擇設定。
-
在 Monitoring account configuration (監控帳戶組態) 中,選擇 Resources to link accounts (要連結帳戶的資源)。
執行以下任意一項:
選擇 AWS 組織以取得範本,並用來將組織中的帳戶連結至此監視帳戶。
選擇 Any account (任何帳戶) 以取得用於將個別帳戶設定為來源帳戶的範本或 URL。
執行以下任意一項:
-
如果您選擇AWS 組織,請選擇 [下載 CloudFormation 範本]。
-
如果您選擇 [任何帳戶],請選擇 [下載 CloudFormation 範本] 或 [複製 URL]。
-
-
(選擇性) 重複步驟 5-6 以下載 AWS CloudFormation 範本和 URL。
步驟 3:連結來源帳戶
請依照這些章節中的步驟,將來源帳戶連結至監控帳戶。
若要將監控帳戶與來源帳戶連結,您必須具備特定許可。如需詳細資訊,請參閱 必要的許可。
使用 AWS CloudFormation 範本將組織或組織單位中的所有帳戶設定為來源帳戶
這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址。
使用 AWS CloudFormation 範本將組織或組織單位中的帳號連結至監視帳戶
-
登入組織的管理帳戶。
-
開啟主 AWS CloudFormation 控台,網址為 https://console.aws.amazon.com/cloudformation
。 -
在左側導覽列中,選擇StackSets。
-
檢查您是否已登入所需的「區域」,然後選擇「建立」 StackSet。
-
選擇 Next (下一步)。
-
選擇 Template is ready (範本已準備就緒),然後選擇 Upload a template file (上傳範本檔案)。
-
選擇 Choose file (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 Open (開啟)。
-
選擇下一步。
-
在「指定 StackSet 詳細資訊」中,輸入的名稱, StackSet 然後選擇「下一步」。
-
在 Add stacks to stack set (將堆疊新增至堆疊集) 中,選擇 Deploy new stacks (部署新堆疊)。
-
在 Deployment targets (部署目標) 中,選擇是部署到整個組織還是部署至指定的組織單位。
-
對於「指定區域」,請選擇要將 CloudWatch 跨帳戶觀察性部署到哪些區域。
-
選擇下一步。
-
在 Review (檢閱) 頁面上,確認您選取的選項,然後選擇 Submit (提交)。
-
在 Stack instances (堆疊執行個體) 索引標籤中,重新整理畫面,直到您看到堆疊執行個體的狀態為 CREATE_COMPLETE。
使用 AWS CloudFormation 範本設定個別來源帳戶
這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址。
若要使用 AWS CloudFormation 範本來設定 CloudWatch跨帳戶觀察性的個別來源科目,請執行下列步驟:
-
登入來源帳戶。
-
開啟主 AWS CloudFormation 控台,網址為 https://console.aws.amazon.com/cloudformation
。 -
在左側導覽窗格中,選擇 Stacks (堆疊)。
-
檢查您是否已登入到所需的區域,然後選擇 Create stack (建立堆疊)、With new resources (standard) (使用新資源 (標準))。
-
選擇下一步。
-
選擇 Upload a template file (上傳範本檔案)。
-
選擇 Choose file (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 Open (開啟)。
-
選擇下一步。
-
在 Specify Stack details (指定堆疊詳細資訊) 中,輸入堆疊名稱,然後選擇 Next (下一步)。
-
在 Configure stack options (設定堆疊選項) 頁面,選擇 Next (下一步)。
-
在 Review (檢閱) 頁面,選擇 Submit (提交)。
-
在堆疊的狀態頁面上,重新整理畫面,直到您看到堆疊的狀態為 CREATE_COMPLETE。
-
若要使用相同範本將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-12。
使用 URL 來設定個別來源帳戶
這些步驟假設您已透過執行 步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址 中的步驟複製了必要的 URL。
若要使用 URL 將個別來源帳戶連結至監控帳戶
-
登入您想要用作來源帳戶的帳戶。
-
輸入您從監控帳戶複製的 URL。
您會看到 CloudWatch 設定頁面,其中已填入一些資訊。
-
對於選取資料,請選擇此來源帳戶是否將記錄、指標、追蹤、應用程式深入解析-應用程式和網際網路監控-監控資料至此監視帳戶。
對於記錄和指標,您可以選擇要與監視帳戶共用所有資源,還是共用子集。
-
(選擇性) 若要與監控帳戶共用此帳戶的記錄群組子集,請選取 [記錄],然後選擇 [篩選記錄]。然後使用 [篩選記錄檔] 方塊建構查詢,以尋找您要共用的記錄群組。該查詢將使用術語
LogGroupName
和一個或多個以下操作數。=
和!=
AND
OR
^
表示喜歡,並!^
表示不喜歡。這些只能用作前綴搜索。%
在您要搜尋和包含的字串結尾加入。IN
以及NOT IN
,使用圓括號 (( )
)
完整的查詢不得超過 2000 個字元,且限制為五個條件運算元。條件運算元為
AND
和。OR
其他操作數的數量沒有限制。提示
選擇 [檢視範例查詢] 以查看常見查詢格式的正確語法。
-
(選擇性) 若要與監督帳戶共用此帳戶的測量結果命名空間子集,請選取量度,然後選擇篩選指標。然後使用「篩選度量」方塊來建構查詢,以尋找您要共用的度量命名空間。使用術語
Namespace
和下列一或多個運算元。=
和!=
AND
OR
LIKE
與NOT LIKE
。這些只能用作前綴搜索。%
在您要搜尋和包含的字串結尾加入。IN
以及NOT IN
,使用圓括號 (( )
)
完整的查詢不得超過 2000 個字元,且限制為五個條件運算元。條件運算元為
AND
和。OR
其他操作數的數量沒有限制。
提示
選擇 [檢視範例查詢] 以查看常見查詢格式的正確語法。
-
-
請勿更改 Enter monitoring account configuration ARN (輸入監控帳戶組態 ARN) 中的 ARN。
-
Define a label to identify your source account (定義標來識別來源帳戶) 區段會預先填入監控帳戶的標籤選項。或者,您也可以選擇 Edit (編輯) 來進行變更。
-
選擇 Link (連結)。
-
在方塊中輸入
Confirm
,然後選擇 Confirm (確認)。 -
若要使用相同 URL 將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-7。