Consola de CloudWatch para cuentas y Regiones cruzadas - Amazon CloudWatch
Habilitación de la funcionalidad de cuentas y Regiones cruzadas(Opcional) Integración con AWS OrganizationsResolución de problemasDesactivación y limpieza después de utilizar cuentas cruzadas

Consola de CloudWatch para cuentas y Regiones cruzadas

nota

Recomendamos que utilice la observabilidad para cuentas cruzadas de CloudWatch a fin de obtener la mejor experiencia de observación y detección de cuentas cruzadas para sus métricas, registros y seguimientos dentro de una región. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch.

La consola de CloudWatch para cuentas y regiones cruzadas permite un cambio sencillo entre cuentas y regiones distintas mediante el uso de los selectores de la consola para ver los paneles, las alarmas y las métricas en otras cuentas y regiones. Esta característica habilita la creación de paneles para cuentas y regiones cruzadas. Estos resumen las métricas de CloudWatch de varias cuentas y regiones de AWS en un solo panel, lo que permite acceder a ellos sin tener que cambiar entre cuentas o regiones.

Muchas organizaciones implementan sus recursos de AWS en varias cuentas, con el fin de proporcionar límites de facturación y seguridad. Si este es su caso, le recomendamos que designe una o varias de sus cuentas como cuentas de supervisión y que cree en ellas los paneles para cuentas y regiones cruzadas. La funcionalidad de la consola para cuentas y regiones cruzadas está integrada con AWS Organizations con el fin de ayudar a crear de manera eficiente sus paneles para cuentas y regiones cruzadas.

La consola para cuentas y regiones cruzadas de CloudWatch no brinda una visibilidad de cuentas y regiones cruzadas para los registros. Tampoco es compatible con la creación de alarmas o métricas en otras cuentas o regiones desde la cuenta de supervisión.

Habilitación de la funcionalidad para cuentas y regiones cruzadas en CloudWatch

Para configurar la funcionalidad para cuentas y regiones cruzadas en la consola de CloudWatch, configure las cuentas de uso compartido y de supervisión en dicha consola.

Configurar una cuenta de uso compartido

Debe habilitar el uso compartido en cada cuenta que vaya a poner datos a disposición de la cuenta de monitorización.

Esto otorgará los permisos de sólo lectura que elija en el paso 5 a todos los usuarios que visualicen un panel de cuentas cruzadas en la cuenta con la que comparte, si el usuario tiene los permisos correspondientes en la cuenta con la que comparte.

Para permitir que su cuenta comparta datos de CloudWatch con otras cuentas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, seleccione Configuración.

  3. En Share your CloudWatch data (Comparta sus datos de CloudWatch), seleccione Configure (Configurar).

  4. En Sharing (Uso compartido), elija Specific accounts (Cuentas específicas) y especifique los ID de las cuentas con las que desea compartir datos.

    Cualquier cuenta que especifique aquí podrá ver los datos de CloudWatch de su cuenta. Especifique únicamente los ID de cuentas que conozca y en las que confíe.

  5. En Permissions (Permisos), especifique cómo compartir los datos con una de las siguientes opciones:

    • Provide read-only access to your CloudWatch metrics, dashboards, and alarms (Proporcione acceso de solo lectura a las métricas, paneles y alarmas de CloudWatch). Esta opción permite que las cuentas de monitoreo creen paneles para cuentas cruzadas con widgets que contengan datos de CloudWatch de su cuenta.

    • Include CloudWatch automatic dashboards (Incluir paneles automáticos de CloudWatch). Si selecciona esta opción, los usuarios de la cuenta de monitorización también pueden ver la información en los paneles automáticos de esta cuenta. Para obtener más información, consulte Introducción a Amazon CloudWatch.

    • Incluye el acceso de solo lectura de X-Ray para el Mapa de seguimiento de X-Ray. Si selecciona esta opción, los usuarios de la cuenta de monitoreo también pueden visualizar el mapa de seguimiento de X-Ray y la información de seguimiento de X-Ray en esta cuenta. Para obtener más información, consulte Uso del Mapa de seguimiento de X-Ray.

    • Full read-only access to everything in your account (Acceso pleno de solo lectura a todo el contenido de la cuenta). Esta opción habilita las cuentas que se utilizan para compartir, de tal forma que se puedan crear paneles para cuentas cruzadas que incluyan widgets que contengan datos de CloudWatch de su cuenta. También permite que esas cuentas busquen más con más detalle en su cuenta y consulten los datos de su cuenta en las consolas de otros servicios de AWS.

  6. Elija Launch CloudFormation template (Iniciar plantilla de CloudFormation).

    En la pantalla de confirmación, escriba Confirm y elija Launch template (Iniciar plantilla).

  7. Seleccione la casilla I acknowledge... (Acepto...) y elija Create stack (Crear pila).

Uso compartido con toda la organización

Al completar el procedimiento anterior, se crea un rol de IAM que permite que la cuenta comparta datos con una cuenta. Cree o edite un rol de IAM que comparta los datos con todas las cuentas de una organización. Solo debe hacerlo si conoce y confía en todas las cuentas de la organización.

Otorgará los permisos de sólo lectura enumerados en las políticas que se muestran en el paso 5 del procedimiento anterior a todos los usuarios que visualicen un panel de cuentas cruzadas en la cuenta con la que comparte, si el usuario tiene los permisos correspondientes en la cuenta con la que comparte.

Para compartir los datos de su cuenta de CloudWatch con todas las cuentas de una organización

  1. Si aún no lo ha hecho, lleve a cabo el procedimiento anterior para compartir sus datos con una cuenta de AWS.

  2. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  3. Seleccione Roles en el panel de navegación.

  4. En la lista de roles, elija CloudWatch-CrossAccountSharingRole.

  5. Seleccione Trust relationships (Relaciones de confianza), Edit trust relationship (Editar relaciones de confianza).

    Aparecerá una política como esta:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Cambie la política como se indica a continuación, reemplazando org-id por el ID de su organización.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Elija Actualizar política de confianza.

Configure una cuenta de monitoreo

Habilite cada una de las cuentas de monitoreo si desea ver los datos de CloudWatch de cuentas cruzadas.

Cuando se completa el siguiente procedimiento, CloudWatch crea un rol vinculado al servicio que CloudWatch utiliza en la cuenta de monitoreo para obtener acceso a los datos que otras cuentas comparten. Este rol vinculado a servicio se denomina AWSServiceRoleForCloudWatchCrossAccount. Para obtener más información, consulte Uso de roles vinculados a servicios para CloudWatch.

Para permitir que su cuenta visualice datos de CloudWatch de cuentas cruzadas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Settings (Configuración) y, a continuación, en la sección Cross-account cross-region (Regiones y cuentas cruzadas), elija Configure (Configurar).

  3. En la sección View cross-account cross-region (Ver cuentas y regiones cruzadas), elija Enable (Habilitar) y, a continuación, seleccione la casilla de verificación Show selector in the console (Mostrar selector en la consola) para permitir que un selector de cuentas aparezca en la consola de CloudWatch cuando se genere un gráfico de una métrica o se cree una alarma.

  4. En View cross-account cross-region (Ver diversas cuentas y regiones), elija una de las siguientes opciones:

    • Account Id Input (Especificar ID de cuenta). Esta opción le pide que introduzca manualmente un ID de cuenta cada vez que desee cambiar de cuenta al consultar datos de varias cuentas.

    • Selector de cuentas de AWS Organization. Esta opción hace que aparezcan las cuentas que especificó al llevar a cabo la integración entre cuentas diferentes con Organizations. La próxima vez que utilice la consola, CloudWatch mostrará una lista desplegable de estas cuentas para que pueda seleccionarlas mientras visualiza los datos para cuentas cruzadas.

      Para ello, primero debe haber utilizado la cuenta administrativa de la organización con el fin de permitir que CloudWatch consulte una lista de cuentas de la organización. Para obtener más información, consulte (Opcional) Integración con AWS Organizations.

    • Custom account selector (Selector de cuentas personalizado). Esta opción pide que se introduzca una lista de ID de cuenta. La próxima vez que utilice la consola, CloudWatch mostrará una lista desplegable de estas cuentas para que pueda seleccionarlas mientras consulta los datos de las cuentas cruzadas.

      También puede especificar una etiqueta para cada una de estas cuentas, de forma que le resulte más fácil identificarlas al elegir las cuentas que desea consultar.

      La configuración del selector de cuentas que realiza un usuario aquí se retiene solo para ese usuario, no para todos los demás usuarios de la cuenta de monitoreo.

  5. Seleccione Habilitar.

Después de completar esta configuración, puede crear paneles para diversas cuentas. Para obtener más información, consulte Paneles para cuentas y Regiones cruzadas.

Funcionalidad entre regiones

La funcionalidad para regiones cruzadas está integrada de manera automática en esta característica. No es necesario realizar ningún paso adicional para poder mostrar métricas de distintas regiones de una sola cuenta en el mismo gráfico o panel. La funcionalidad entre regiones no es compatible con las alarmas, por lo que no se puede crear una alarma en una región que observe una métrica en otra región.

(Opcional) Integración con AWS Organizations

Si desea integrar la funcionalidad para diversas cuentas con AWS Organizations, debe poner a disposición de las cuentas de monitorización una lista de todas las cuentas de la organización.

Para habilitar la funcionalidad de CloudWatch para cuentas cruzadas con el fin de obtener acceso a una lista de todas las cuentas de la organización

  1. Inicie sesión en la cuenta administrativa de la organización.

  2. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  3. En el panel de navegación, elija Settings (Configuración). A continuación, elija Configure (Configurar).

  4. En Grant permission to view the list of accounts in the organization (Conceder permiso para ver la lista de cuentas de la organización), elija Specific accounts (Cuentas específicas) para que se le pida que especifique la lista de ID de cuenta. La lista de cuentas de la organización se compartirá únicamente con las cuentas que especifique aquí.

  5. Elija Share organization account list (Compartir lista de cuentas de la organización).

  6. Elija Launch CloudFormation template (Iniciar plantilla de CloudFormation).

    En la pantalla de confirmación, escriba Confirm y elija Launch template (Iniciar plantilla).

Solución de problemas de la configuración para cuentas cruzadas de CloudWatch

Esta sección contiene sugerencias para solucionar los problemas de implementación de la consola para cuentas cruzadas en CloudWatch.

Recibo errores de acceso denegado al mostrar datos para diversas cuentas

Compruebe lo siguiente:

  • Su cuenta de monitorización debe tener un rol denominado AWSServiceRoleForCloudWatchCrossAccount. Si no lo tiene, debe crearlo. Para obtener más información, consulte Set Up a Monitoring Account.

  • Cada cuenta de uso compartido debe tener un rol denominado CloudWatch-CrossAccountSharingRole. Si no lo tiene, debe crearlo. Para obtener más información, consulte Set Up A Sharing Account.

  • El rol de uso compartido debe confiar en la cuenta de monitorización.

Para confirmar que los roles están configurados correctamente para la consola de CloudWatch para cuentas cruzadas

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista de roles, asegúrese de que existe el rol necesario. En una cuenta de uso compartido, busque CloudWatch-CrossAccountSharingRole. En una cuenta de monitorización, busque AWSServiceRoleForCloudWatchCrossAccount.

  4. Si está en una cuenta de uso compartido y CloudWatch-CrossAccountSharingRole ya existe, elija CloudWatch-CrossAccountSharingRole.

  5. Seleccione Trust relationships (Relaciones de confianza), Edit trust relationship (Editar relaciones de confianza).

  6. Confirme que la política muestra el ID de cuenta de la cuenta de monitorización o el ID de organización de una organización que contiene la cuenta de monitorización.

No se ve ningún menú desplegable de cuentas en la consola

En primer lugar, verifique que ha creado los roles de IAM correctos, como se explica en la sección de solución de problemas anterior. Si están configurados correctamente, asegúrese de haber habilitado esta cuenta de tal forma que pueda ver los datos para diversas cuentas, como se describe en Enable Your Account to View Cross-Account Data.

Desactivación y limpieza después de utilizar cuentas cruzadas

Para desactivar la funcionalidad de cuentas cruzadas para CloudWatch, siga estos pasos.

Paso 1: elimine las pilas o roles entre cuentas

El mejor método es eliminar las pilas de AWS CloudFormation que se utilizaron para habilitar la funcionalidad de cuentas diferentes.

  • En cada una de las cuentas de uso compartido, elimine la pila CloudWatch-CrossAccountSharingRole.

  • Si utilizó AWS Organizations para habilitar la funcionalidad de cuentas diferentes con todas las cuentas de una organización, elimine la pila CloudWatch-CrossAccountListAccountsRole en la cuenta administrativa de la organización.

Si no usó las pilas de AWS CloudFormation para habilitar la funcionalidad de cuentas diferentes, realice lo siguiente:

  • En cada una de las cuentas de uso compartido, elimine el rol de IAM CloudWatch-CrossAccountSharingRole.

  • Si utilizó AWS Organizations para habilitar la funcionalidad de cuentas diferentes con todas las cuentas de una organización, elimine el rol de IAM CloudWatch-CrossAccountSharing-ListAccountsRole en la cuenta administrativa de la organización.

Paso 2: cree un rol vinculado al servicio

En la cuenta de monitoreo, elimine el rol de IAM vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount.