連結監控帳戶與來源帳戶 - Amazon CloudWatch
必要的許可設定概觀步驟 1:設定監控帳戶步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址步驟 3:連結來源帳戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連結監控帳戶與來源帳戶

本節中的主題會說明如何設定監控帳戶和來源帳戶之間的連結。

我們建議您建立一個新 AWS 帳戶作為組織的監控帳戶。

必要的許可

若要在監控帳戶和來源帳戶之間建立連結,您必須擁有特定許可並登入帳戶。

  • 若要設定監控帳戶:您必須在監控帳戶中擁有完整的系統管理員存取權,或者您必須擁有下列許可並登入該帳戶:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • 範圍為特定監控帳戶的來源帳戶:若要僅針對某個指定監控帳戶建立、更新和管理連結,您必須擁有下列許可並登入該帳戶。在此範例中,監控帳戶為 999999999999

    如果連結不會共用全部五種資源類型 (指標、記錄檔、追蹤、應用程式深入解析應用程式和網際網路監視器監視器) cloudwatch:Linklogs:Link,您可以視需要省略xray:Linkapplicationinsights:Link、、、或internetmonitor:Link

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • 具有連結至任何監視帳戶之權限的來源帳戶 — 若要建立任何現有監視帳戶接收器的連結,並共用指標、記錄群組、追蹤、Application Insights 應用程式和 Internet Monitor 監視器,您必須以完整管理員權限登入來源帳戶,或使用下列權限登入該帳戶

    如果連結不會共用全部五種資源類型 (指標、記錄檔、追蹤、應用程式深入解析應用程式和網際網路監視器監視器) cloudwatch:Linklogs:Link,您可以視需要省略xray:Linkapplicationinsights:Link、、、或internetmonitor:Link

    {
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

設定概觀

下列高階步驟說明如何設定 CloudWatch 跨帳戶可觀察性。

注意

我們建議您建立新 AWS 帳戶作為組織的監控帳戶使用。

  1. 設定專用的監控帳戶。

  2. (選擇性) 下載 AWS CloudFormation 範本或複製 URL 以連結來源帳戶。

  3. 將來源帳戶連結至監控帳戶。

完成這些步驟後,您可以使用監控帳戶來檢視來源帳戶的可觀察性資料。

步驟 1:設定監控帳戶

請依照本節中的步驟將帳戶設定為 CloudWatch 跨 AWS 帳戶觀察性的監控帳戶。

必要條件

  • 如果您要將 AWS Organizations 組織中的帳戶設定為來源帳戶,請取得組織路徑或組織 ID。

  • 如果您未將 Organizations 用於來源帳戶:請取得來源帳戶的帳戶 ID。

若要將帳戶設定為監控帳戶,您必須具備特定許可。如需詳細資訊,請參閱 必要的許可

設定監控帳戶

  1. 登入您想要用作監控帳戶的帳戶。

  2. 開啟主 CloudWatch 控台,網址為 https://console.aws.amazon.com/cloudwatch/

  3. 在左側的導覽窗格中,選擇設定

  4. Monitoring account configuration (監控帳戶組態) 中,選擇 Configure (設定)。

  5. 對於選取資料,請選擇此監視帳戶是否能夠檢視記錄指標追蹤應用程式深入解析-應用程式網際網路監視器- 監視其所連結來源帳戶的資料。

  6. List source accounts (列出來源帳戶) 中,輸入此監控帳戶可檢視的來源帳戶。若要識別來源帳戶,請輸入個別帳戶 ID、組織路徑或組織 ID。如果您輸入組織路徑或組織 ID,系統會允許此監控帳戶檢視該組織中所有連結帳戶的可觀察性資料。

    以逗號分隔的此清單中的項目。

    重要

    當您輸入組織路徑時,請遵循確切的格式。ou-id 必須以 (斜線字元/) 結尾。例如:o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Define a label to identify your source account (定義標籤來識別來源帳戶) 中,指定當您使用監控帳戶檢視來源帳戶時,是否要使用帳戶名稱或電子郵件地址來識別來源帳戶。

  8. 選擇 Configure (設定)。

重要

設定來源帳戶之後,監控帳戶和來源帳戶之間的連結才會完成。如需詳細資訊,請參閱下列區段。

步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址

若要將來源帳戶連結至監控帳戶,建議您使用 AWS CloudFormation 範本或 URL。

  • 如果您要連結整個組織,則會 CloudWatch 提供 AWS CloudFormation 範本。

  • 如果您要連結個別帳號 — 請使用 AWS CloudFormation 範本或提 CloudWatch 供的 URL。

若要使用 AWS CloudFormation 範本,您必須在這些步驟中下載範本。將監視帳戶與至少一個來源帳戶連結後,即無法再下載 AWS CloudFormation 範本。

下載 AWS CloudFormation 範本或複製 URL 以將來源帳戶連結至監視帳戶

  1. 登入您想要用作監控帳戶的帳戶。

  2. 開啟主 CloudWatch 控台,網址為 https://console.aws.amazon.com/cloudwatch/

  3. 在左側的導覽窗格中,選擇設定

  4. Monitoring account configuration (監控帳戶組態) 中,選擇 Resources to link accounts (要連結帳戶的資源)。

  5. 執行以下任意一項:

    • 選擇 AWS 組織以取得範本,並用來將組織中的帳戶連結至此監視帳戶。

    • 選擇 Any account (任何帳戶) 以取得用於將個別帳戶設定為來源帳戶的範本或 URL。

  6. 執行以下任意一項:

    • 如果您選擇AWS 組織,請選擇 [下載 CloudFormation 範本]。

    • 如果您選擇 [任何帳戶],請選擇 [下載 CloudFormation 範本] 或 [複製 URL]。

  7. (選擇性) 重複步驟 5-6 以下載 AWS CloudFormation 範本和 URL。

步驟 3:連結來源帳戶

請依照這些章節中的步驟,將來源帳戶連結至監控帳戶。

若要將監控帳戶與來源帳戶連結,您必須具備特定許可。如需詳細資訊,請參閱 必要的許可

使用 AWS CloudFormation 範本將組織或組織單位中的所有帳戶設定為來源帳戶

這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址

使用 AWS CloudFormation 範本將組織或組織單位中的帳號連結至監視帳戶

  1. 登入組織的管理帳戶。

  2. 開啟主 AWS CloudFormation 控台,網址為 https://console.aws.amazon.com/cloudformation

  3. 在左側導覽列中,選擇StackSets

  4. 檢查您是否已登入所需的「區域」,然後選擇「建立」 StackSet。

  5. 選擇 Next (下一步)。

  6. 選擇 Template is ready (範本已準備就緒),然後選擇 Upload a template file (上傳範本檔案)。

  7. 選擇 Choose file (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 Open (開啟)。

  8. 選擇下一步

  9. 在「指定 StackSet 詳細資訊」中,輸入的名稱, StackSet 然後選擇「下一步」。

  10. Add stacks to stack set (將堆疊新增至堆疊集) 中,選擇 Deploy new stacks (部署新堆疊)。

  11. Deployment targets (部署目標) 中,選擇是部署到整個組織還是部署至指定的組織單位。

  12. 對於「指定區域」,請選擇要將 CloudWatch 跨帳戶觀察性部署到哪些區域。

  13. 選擇下一步

  14. Review (檢閱) 頁面上,確認您選取的選項,然後選擇 Submit (提交)。

  15. Stack instances (堆疊執行個體) 索引標籤中,重新整理畫面,直到您看到堆疊執行個體的狀態為 CREATE_COMPLETE

使用 AWS CloudFormation 範本設定個別來源帳戶

這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址

若要使用 AWS CloudFormation 範本來設定 CloudWatch跨帳戶觀察性的個別來源科目,請執行下列步驟:

  1. 登入來源帳戶。

  2. 開啟主 AWS CloudFormation 控台,網址為 https://console.aws.amazon.com/cloudformation

  3. 在左側導覽窗格中,選擇 Stacks (堆疊)。

  4. 檢查您是否已登入到所需的區域,然後選擇 Create stack (建立堆疊)、With new resources (standard) (使用新資源 (標準))。

  5. 選擇下一步

  6. 選擇 Upload a template file (上傳範本檔案)

  7. 選擇 Choose file (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 Open (開啟)。

  8. 選擇下一步

  9. Specify Stack details (指定堆疊詳細資訊) 中,輸入堆疊名稱,然後選擇 Next (下一步)。

  10. Configure stack options (設定堆疊選項) 頁面,選擇 Next (下一步)。

  11. Review (檢閱) 頁面,選擇 Submit (提交)。

  12. 在堆疊的狀態頁面上,重新整理畫面,直到您看到堆疊的狀態為 CREATE_COMPLETE

  13. 若要使用相同範本將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-12。

使用 URL 來設定個別來源帳戶

這些步驟假設您已透過執行 步驟 2:(選擇性) 下載 AWS CloudFormation 範本或網址 中的步驟複製了必要的 URL。

若要使用 URL 將個別來源帳戶連結至監控帳戶

  1. 登入您想要用作來源帳戶的帳戶。

  2. 輸入您從監控帳戶複製的 URL。

    您會看到 CloudWatch 設定頁面,其中已填入一些資訊。

  3. 對於選取資料,請選擇此來源帳戶是否將記錄指標追蹤應用程式深入解析-應用程式網際網路監控-監控資料至此監視帳戶。

    對於記錄指標,您可以選擇要與監視帳戶共用所有資源,還是共用子集。

    1. (選擇性) 若要與監控帳戶共用此帳戶的記錄群組子集,請選取 [記錄],然後選擇 [篩選記錄]。然後使用 [篩選記錄檔] 方塊建構查詢,以尋找您要共用的記錄群組。該查詢將使用術語LogGroupName和一個或多個以下操作數。

      • =!=

      • AND

      • OR

      • ^表示喜歡,並!^表示不喜歡。這些只能用作前綴搜索。%在您要搜尋和包含的字串結尾加入。

      • IN以及NOT IN,使用圓括號 (( ))

      完整的查詢不得超過 2000 個字元,且限制為五個條件運算元。條件運算元為AND和。OR其他操作數的數量沒有限制。

      提示

      選擇 [檢視範例查詢] 以查看常見查詢格式的正確語法。

    2. (選擇性) 若要與監督帳戶共用此帳戶的測量結果命名空間子集,請選取量度,然後選擇篩選指標。然後使用「篩選度量」方塊來建構查詢,以尋找您要共用的度量命名空間。使用術語Namespace和下列一或多個運算元。

      • =!=

      • AND

      • OR

      • LIKENOT LIKE。這些只能用作前綴搜索。%在您要搜尋和包含的字串結尾加入。

      • IN以及NOT IN,使用圓括號 (( ))

      完整的查詢不得超過 2000 個字元,且限制為五個條件運算元。條件運算元為AND和。OR其他操作數的數量沒有限制。

    提示

    選擇 [檢視範例查詢] 以查看常見查詢格式的正確語法。

  4. 請勿更改 Enter monitoring account configuration ARN (輸入監控帳戶組態 ARN) 中的 ARN。

  5. Define a label to identify your source account (定義標來識別來源帳戶) 區段會預先填入監控帳戶的標籤選項。或者,您也可以選擇 Edit (編輯) 來進行變更。

  6. 選擇 Link (連結)

  7. 在方塊中輸入 Confirm,然後選擇 Confirm (確認)。

  8. 若要使用相同 URL 將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-7。