Kontoübergreifende, regionsübergreifende Konsole CloudWatch - Amazon CloudWatch
Aktivieren der konto- und regionenübergreifenden Funktionalität(Optional) Integrieren Sie mit AWS OrganizationsFehlerbehebungDeaktivieren und Bereinigen nach kontoübergreifender Verwendung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifende, regionsübergreifende Konsole CloudWatch

Anmerkung

Wir empfehlen Ihnen, CloudWatch kontenübergreifende Observability zu verwenden, um die umfassendste kontenübergreifende Beobachtbarkeit und Erkennung Ihrer Messwerte, Logs und Traces innerhalb einer Region zu erhalten. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.

Mit der konto- und regionsübergreifenden CloudWatch Konsole können Sie ganz einfach zwischen verschiedenen Konten und Regionen wechseln, indem Sie mithilfe von Selektoren in der Konsole die Dashboards, Alarme und Metriken in anderen Konten und Regionen einsehen. Mit dieser Funktion können Sie auch konto- und regionsübergreifende Dashboards erstellen, die Ihre CloudWatch Kennzahlen aus mehreren AWS Konten und mehreren Regionen in einem einzigen Dashboard zusammenfassen, sodass Sie darauf zugreifen können, ohne zwischen Konten oder Regionen wechseln zu müssen.

Viele Organisationen haben ihre AWS Ressourcen in mehreren Konten bereitgestellt, um Abrechnungs- und Sicherheitsgrenzen zu gewährleisten. In diesem Fall empfehlen wir Ihnen, eines oder mehrere Ihrer Konten als Ihre Überwachungskonten festzulegen und in diesen Konten Ihre kontoübergreifenden, regionsübergreifenden Dashboards zu erstellen. Kontoübergreifende regionsübergreifende Konsolenfunktionen sind in integriert, damit Sie Ihre kontoübergreifenden AWS Organizations, regionsübergreifenden Dashboards effizient erstellen können.

Die konto- und regionsübergreifende CloudWatch Konsolenoberfläche bietet keine kontoübergreifende, regionsübergreifende Sichtbarkeit von Protokollen. Darüber hinaus wird die Erstellung von Alarmen für Kennzahlen in anderen Konten oder Regionen von einem Monitoring-Konto aus nicht unterstützt.

Aktivierung von kontenübergreifender, regionsübergreifender Funktionalität in CloudWatch

Um kontoübergreifende regionsübergreifende Funktionen in Ihrer CloudWatch Konsole einzurichten, verwenden Sie die CloudWatch Konsole, um Ihre Sharing-Konten und Monitoring-Konten einzurichten.

Ein Freigabekonto einrichten

Sie müssen die Freigabe in jedem Konto aktivieren, das dem Überwachungskonto Daten zur Verfügung stellt.

Dadurch werden die schreibgeschützten Berechtigungen, die Sie in Schritt 5 ausgewählt haben, allen Benutzern gewährt, die ein kontoübergreifendes Dashboard in dem Konto anzeigen, mit dem Sie teilen, wenn der Benutzer über entsprechende Berechtigungen in dem Konto verfügt, mit dem Sie teilen.

Damit dein Konto CloudWatch Daten mit anderen Konten teilen kann

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie für Share your CloudWatch data die Option Configure aus.

  4. Wählen Sie unter Sharing (Freigeben) die Option Specific Accounts (Bestimmte Konten) und geben Sie die IDs der Konten ein, für die Sie Daten freigeben möchten.

    Alle Konten, die Sie hier angeben, können die CloudWatch Daten Ihres Kontos einsehen. Geben Sie nur die IDs von Konten an, die Sie kennen und denen Sie vertrauen.

  5. Geben Sie unter Permissions (Berechtigungen) mit einer der folgenden Optionen an, wie Ihre Daten freigegeben werden sollen:

    • Bieten Sie Lesezugriff auf Ihre CloudWatch Kennzahlen, Dashboards und Alarme. Diese Option ermöglicht es den Überwachungskonten, kontoübergreifende Dashboards zu erstellen, die Widgets enthalten, die Daten aus Ihrem Konto enthalten CloudWatch .

    • Fügen Sie CloudWatch automatische Dashboards hinzu. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die Informationen in den automatischen Dashboards dieses Kontos anzeigen. Weitere Informationen finden Sie unter Erste Schritte mit Amazon CloudWatch.

    • Schreibgeschützten X-Ray-Zugriff für die X-Ray Trace Map einschließen. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die X-Ray Trace Map und die X-Ray-Ablaufverfolgungsinformationen in diesem Konto anzeigen. Weitere Informationen finden Sie unter Verwenden der X-Ray Trace Map.

    • Full read-only access to everything in your account (Vollständiger schreibgeschützter Zugriff auf alles in Ihrem Konto). Mit dieser Option können die Konten, die Sie zum Teilen verwenden, kontoübergreifende Dashboards erstellen, die Widgets enthalten, die CloudWatch Daten aus Ihrem Konto enthalten. Außerdem können diese Konten tiefer in Ihr Konto sehen und die Daten Ihres Kontos in den Konsolen anderer AWS -Dienste anzeigen.

  6. Wählen Sie Vorlage starten CloudFormation .

    Geben Sie auf dem Bestätigungsbildschirm Confirm ein und wählen Sie Launch template (Vorlage starten).

  7. Aktivieren Sie das Kontrollkästchen I acknowledge... (Ich bestätige...). Wählen Sie anschließend Create stack (Stack erstellen) aus.

Freigeben für eine ganze Organisation

Wenn Sie das vorangegangene Verfahren ausführen, wird eine IAM-Rolle erstellt, mit der Ihr Konto Daten für ein Konto freigeben kann. Sie können eine IAM-Rolle erstellen oder bearbeiten, die Ihre Daten für alle Konten in einer Organisation freigibt. Tun Sie dies nur, wenn Sie alle Konten in der Organisation kennen und ihnen vertrauen.

Dadurch werden allen Benutzern, die ein kontoübergreifendes Dashboard in dem von Ihnen freigegebenen Konto anzeigen, die in den Richtlinien in Schritt 5 des vorherigen Verfahrens aufgeführten schreibgeschützten Berechtigungen erteilt, wenn der Benutzer über entsprechende Berechtigungen in dem von Ihnen freigegebenen Konto verfügt mit.

Um Ihre CloudWatch Kontodaten mit allen Konten in einer Organisation zu teilen

  1. Falls Sie dies noch nicht getan haben, führen Sie das vorherige Verfahren aus, um Ihre Daten mit einem AWS Konto zu teilen.

  2. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im Navigationsbereich Rollen aus.

  4. Wählen Sie in der Rollenliste CloudWatch- CrossAccountSharingRole aus.

  5. Wählen Sie auf der Registerkarte Trust Relationships (Vertrauensbeziehungen) Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

    Sie sehen eine Richtlinie wie diese:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Ändern Sie die Richtlinie folgendermaßen, indem Sie org-id durch die ID Ihrer Organisation ersetzen.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

Einrichten eines Überwachungskontos

Aktivieren Sie jedes Überwachungskonto, wenn Sie kontoübergreifende CloudWatch Daten anzeigen möchten.

Wenn Sie das folgende Verfahren ausführen, CloudWatch wird eine dienstbezogene Rolle erstellt, die im Überwachungskonto auf Daten CloudWatch zugreift, die von Ihren anderen Konten gemeinsam genutzt wurden. Diese dienstverknüpfte Rolle heißt. AWSServiceRoleForCloudWatchCrossAccount Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für CloudWatch.

Um Ihrem Konto die Anzeige kontoübergreifender CloudWatch Daten zu ermöglichen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Einstellungen und dann im Abschnitt Kontoübergreifend und regionsübergreifend die Option Konfigurieren aus.

  3. Wählen Sie im Abschnitt Kontoübergreifende regionsübergreifende Ansicht die Option Aktivieren aus und aktivieren Sie dann das Kontrollkästchen Auswahl in der Konsole anzeigen, damit eine Kontoauswahl in der CloudWatch Konsole angezeigt wird, wenn Sie eine Kennzahl grafisch darstellen oder einen Alarm erstellen.

  4. Wählen Sie unter View cross-account cross-region (Konto- und regionenübergreifende Anzeige) eine der folgenden Optionen aus:

    • Account Id Input (Konto-ID-Eingabe). Mit dieser Option werden Sie aufgefordert, jedes Mal, wenn Sie Konten wechseln möchten, manuell eine Konto-ID einzugeben, wenn kontoübergreifende Daten angezeigt werden.

    • AWS Kontoauswahl für ein Unternehmen. Über diese Option können Sie die Konten anzeigen, die Sie während der kontoübergreifenden Integration mit Organizations angegeben haben. Wenn Sie die Konsole das nächste Mal verwenden, CloudWatch wird eine Dropdownliste mit diesen Konten angezeigt, aus der Sie auswählen können, wenn Sie kontoübergreifende Daten anzeigen.

      Dazu müssen Sie zunächst Ihr Organisationsverwaltungskonto verwendet haben, um eine Liste der Konten in Ihrer Organisation anzeigen CloudWatch zu können. Weitere Informationen finden Sie unter (Optional) Integrieren Sie mit AWS Organizations.

    • Custom account selector (Benutzerdefinierte Kontenauswahl). Diese Option fordert Sie auf, eine Liste mit Konto-IDs einzugeben. Wenn Sie die Konsole das nächste Mal verwenden, CloudWatch wird eine Dropdownliste mit diesen Konten angezeigt, aus der Sie auswählen können, wenn Sie kontenübergreifende Daten anzeigen.

      Sie können auch ein Label für jedes dieser Konten eingeben, um sie bei der Auswahl der anzuzeigenden Konten zu identifizieren.

      Die Kontoauswahleinstellungen, die ein Benutzer hier vornimmt, werden nur für diesen Benutzer beibehalten, nicht für die anderen Benutzer im Überwachungskonto.

  5. Wählen Sie Enable (Aktivieren) aus.

Nach dem Abschluss dieser Einrichtung können Sie konto- und regionsübergreifende Dashboards erstellen. Weitere Informationen finden Sie unter Konto- und regionenübergreifende Dashboards.

Regionsübergreifende Funktionalität

Regionsübergreifende Funktionen sind automatisch in diese Funktion integriert. Sie müssen keine zusätzlichen Schritte ausführen, um Metriken aus verschiedenen Regionen in einem einzigen Konto im selben Diagramm oder Dashboard anzeigen zu können. Alarme werden nicht regionsübergreifend unterstützt, sodass Sie keinen Alarm in einer Region erstellen können, der eine Metrik in einer anderen Region überwacht.

(Optional) Integrieren Sie mit AWS Organizations

Wenn Sie kontenübergreifende Funktionen in integrieren möchten AWS Organizations, müssen Sie den Überwachungskonten eine Liste aller Konten in der Organisation zur Verfügung stellen.

Um die kontenübergreifende CloudWatch Funktionalität für den Zugriff auf eine Liste aller Konten in Ihrer Organisation zu aktivieren

  1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an.

  2. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen) und dann Configure (Konfigurieren) aus.

  4. Wählen Sie unter Grant permission to view the list of accounts in the organization (Berechtigung zum Anzeigen der Liste der Konten in der Organisation erteilen) Specific accounts (Bestimmte Konten), um zur Eingabe einer Liste von Konto-IDs aufgefordert zu werden. Die Liste der Konten in Ihrer Organisation wird nur für die Konten freigegeben, die Sie hier angeben.

  5. Wählen Sie Share organization account list (Organisationskontenliste freigeben).

  6. Wählen Sie CloudFormation Vorlage starten.

    Geben Sie auf dem Bestätigungsbildschirm Confirm ein und wählen Sie Launch template (Vorlage starten).

Problembehebung bei Ihrer CloudWatch kontoübergreifenden Einrichtung

Dieser Abschnitt enthält Tipps zur Fehlerbehebung für die kontenübergreifende Konsolenbereitstellung in. CloudWatch

Ich erhalte Zugriffsverweigerungsfehler bei der Anzeige kontoübergreifender Daten

Überprüfen Sie, ob Folgendes der Fall ist:

  • Ihr Monitoring-Konto sollte eine Rolle mit dem Namen AWSServiceRoleForCloudWatchCrossAccounthaben. Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter Set Up a Monitoring Account.

  • Jedes Sharing-Konto sollte eine Rolle mit dem Namen CloudWatch- habenCrossAccountSharingRole. Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter Set Up A Sharing Account.

  • Die Freigaberolle muss dem Überwachungskonto vertrauen.

Um zu überprüfen, ob Ihre Rollen für die CloudWatch kontoübergreifende Konsole ordnungsgemäß eingerichtet sind

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Stellen Sie in der Liste der Rollen sicher, dass die erforderliche Rolle vorhanden ist. Suchen Sie in einem Sharing-Konto nach CloudWatch- CrossAccountSharingRole. Suchen Sie in einem Überwachungskonto nach AWSServiceRoleForCloudWatchCrossAccount.

  4. Wenn Sie ein Sharing-Konto haben und CloudWatch- CrossAccountSharingRole bereits vorhanden ist, wählen Sie CloudWatch- CrossAccountSharingRole.

  5. Wählen Sie auf der Registerkarte Trust Relationships (Vertrauensbeziehungen) Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

  6. Bestätigen Sie, dass die Richtlinie entweder die Konto-ID des Überwachungskontos oder die Organisations-ID einer Organisation enthält, die das Überwachungskonto enthält.

In der Konsole wird kein Konten-Dropdown-Menü angezeigt.

Überprüfen Sie zunächst, ob Sie die richtigen IAM-Rollen erstellt haben, wie im vorangegangenen Abschnitt zur Problembehandlung erläutert. Wenn diese korrekt eingerichtet sind, stellen Sie sicher, dass Sie dieses Konto aktiviert haben, um kontoübergreifende Daten anzuzeigen, wie unter Enable Your Account to View Cross-Account Data beschrieben.

Deaktivieren und Bereinigen nach kontoübergreifender Verwendung

Gehen Sie wie folgt vor, um die kontoübergreifende Funktionalität für CloudWatch zu deaktivieren.

Schritt 1: Kontoübergreifende Stacks oder Rollen entfernen

Die beste Methode besteht darin, die AWS CloudFormation Stacks zu entfernen, die zur Aktivierung der kontenübergreifenden Funktionalität verwendet wurden.

  • Entfernen Sie in jedem der Sharing-Konten den Stapel CloudWatch- CrossAccountSharingRole.

  • Wenn Sie früher AWS Organizations die kontoübergreifende Funktionalität für alle Konten in einer Organisation aktiviert haben, entfernen Sie den CrossAccountListAccountsRole Stapel CloudWatch- aus dem Verwaltungskonto der Organisation.

Wenn Sie die AWS CloudFormation Stacks nicht verwendet haben, um die kontenübergreifende Funktionalität zu aktivieren, gehen Sie wie folgt vor:

  • Löschen Sie in jedem der Sharing-Konten die CloudWatchCrossAccountSharingRoleIAM-Rolle.

  • Wenn Sie bisher AWS Organizations die kontoübergreifende Funktionalität für alle Konten in einer Organisation aktiviert haben, löschen Sie die ListAccountsRole IAM-Rolle CloudWatchCrossAccountSharing- - im Verwaltungskonto der Organisation.

Schritt 2: Serviceverknüpfte Rolle entfernen

Löschen Sie im Überwachungskonto die AWSServiceRoleForCloudWatchCrossAccountdienstverknüpfte IAM-Rolle.