Habilitación de la funcionalidad de cuentas y Regiones cruzadas (Opcional) Integración con AWS Organizations Solución de problemas Desactivación y limpieza después de utilizar cuentas cruzadas

Consola de CloudWatch para cuentas y Regiones cruzadas

Para obtener la mejor experiencia de observación y detección entre cuentas para sus métricas, registros y trazas, le recomendamos que utilice la observabilidad entre cuentas de CloudWatch. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch.

CloudWatch también ofrece un panel de control de CloudWatch entre cuentas y regiones. Esta funcionalidad le proporciona la opción de visualizar los paneles, alarmas, métricas y paneles automáticos entre diversas cuentas. En cambio, no proporciona visibilidad entre cuentas para los registros ni las trazas.

Si también usa la observabilidad entre cuentas de CloudWatch, un caso de uso de este panel de CloudWatch entre cuentas consiste en permitir que una de sus cuentas de origen de observabilidad entre cuentas de CloudWatch vea las métricas de otra cuenta de origen.

En el resto de esta sección se describe el panel entre cuentas y regiones. Puede usar esta opción para crear paneles que resuman los datos de CloudWatch de varias cuentas de AWS y regiones de AWS en un mismo panel. También puede crear una alarma en una cuenta que inspeccione una métrica ubicada en una cuenta diferente.

Muchas organizaciones implementan sus recursos de AWS en varias cuentas, con el fin de proporcionar límites de facturación y seguridad. Si este es su caso, le recomendamos que designe una o varias de sus cuentas como cuentas de monitorización y que cree en estas los paneles para diversas cuentas.

La funcionalidad para diversas cuentas se integra en AWS Organizations a fin de ayudarle a crear sus paneles para diversas cuentas de manera eficiente.

Funcionalidad entre regiones

La funcionalidad de Regiones cruzadas se integra ahora de forma automática. No es necesario realizar ningún paso adicional para poder mostrar métricas de distintas regiones de una sola cuenta en el mismo gráfico o panel. La funcionalidad entre regiones no es compatible con las alarmas, por lo que no se puede crear una alarma en una región que observe una métrica en otra región.

Temas

Habilitación de la funcionalidad de cuentas cruzadas en CloudWatch
(Opcional) Integración con AWS Organizations
Solución de problemas de la configuración para cuentas cruzadas de CloudWatch
Desactivación y limpieza después de utilizar cuentas cruzadas

Habilitación de la funcionalidad de cuentas cruzadas en CloudWatch

A fin de configurar la funcionalidad de cuentas cruzadas en la consola de CloudWatch, utilice la consola de CloudWatch para configurar las cuentas de uso compartido y las cuentas de monitoreo.

Configurar una cuenta de uso compartido

Debe habilitar el uso compartido en cada cuenta que vaya a poner datos a disposición de la cuenta de monitorización.

Esto otorgará los permisos de sólo lectura que elija en el paso 5 a todos los usuarios que visualicen un panel de cuentas cruzadas en la cuenta con la que comparte, si el usuario tiene los permisos correspondientes en la cuenta con la que comparte.

Para permitir que su cuenta comparta datos de CloudWatch con otras cuentas

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, seleccione Configuración.
En Share your CloudWatch data (Comparta sus datos de CloudWatch), seleccione Configure (Configurar).
En Sharing (Uso compartido), elija Specific accounts (Cuentas específicas) y especifique los ID de las cuentas con las que desea compartir datos.

Cualquier cuenta que especifique aquí podrá ver los datos de CloudWatch de su cuenta. Especifique únicamente los ID de cuentas que conozca y en las que confíe.
En Permissions (Permisos), especifique cómo compartir los datos con una de las siguientes opciones:
- Provide read-only access to your CloudWatch metrics, dashboards, and alarms (Proporcione acceso de solo lectura a las métricas, paneles y alarmas de CloudWatch). Esta opción permite que las cuentas de monitoreo creen paneles para cuentas cruzadas con widgets que contengan datos de CloudWatch de su cuenta.
- Include CloudWatch automatic dashboards (Incluir paneles automáticos de CloudWatch). Si selecciona esta opción, los usuarios de la cuenta de monitorización también pueden ver la información en los paneles automáticos de esta cuenta. Para obtener más información, consulte Introducción a Amazon CloudWatch.
- Incluye el acceso de solo lectura de X-Ray para el Mapa de seguimiento de X-Ray. Si selecciona esta opción, los usuarios de la cuenta de monitoreo también pueden visualizar el mapa de seguimiento de X-Ray y la información de seguimiento de X-Ray en esta cuenta. Para obtener más información, consulte Uso del Mapa de seguimiento de X-Ray.
- Full read-only access to everything in your account (Acceso pleno de solo lectura a todo el contenido de la cuenta). Esta opción habilita las cuentas que se utilizan para compartir, de tal forma que se puedan crear paneles para cuentas cruzadas que incluyan widgets que contengan datos de CloudWatch de su cuenta. También permite que esas cuentas busquen más con más detalle en su cuenta y consulten los datos de su cuenta en las consolas de otros servicios de AWS.
Elija Launch CloudFormation template (Iniciar plantilla de CloudFormation).

En la pantalla de confirmación, escriba Confirm y elija Launch template (Iniciar plantilla).
Seleccione la casilla I acknowledge... (Acepto...) y elija Create stack (Crear pila).

Uso compartido con toda la organización

Al completar el procedimiento anterior, se crea un rol de IAM que permite que la cuenta comparta datos con una cuenta. Cree o edite un rol de IAM que comparta los datos con todas las cuentas de una organización. Solo debe hacerlo si conoce y confía en todas las cuentas de la organización.

Otorgará los permisos de sólo lectura enumerados en las políticas que se muestran en el paso 5 del procedimiento anterior a todos los usuarios que visualicen un panel de cuentas cruzadas en la cuenta con la que comparte, si el usuario tiene los permisos correspondientes en la cuenta con la que comparte.

Para compartir los datos de su cuenta de CloudWatch con todas las cuentas de una organización

Si aún no lo ha hecho, lleve a cabo el procedimiento anterior para compartir sus datos con una cuenta de AWS.
Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.
Seleccione Roles en el panel de navegación.
En la lista de roles, elija CloudWatch-CrossAccountSharingRole.

Seleccione Trust relationships (Relaciones de confianza), Edit trust relationship (Editar relaciones de confianza).

Aparecerá una política como esta:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Cambie la política como se indica a continuación, reemplazando org-id por el ID de su organización.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

Elija Actualizar política de confianza.

Configure una cuenta de monitoreo

Habilite cada una de las cuentas de monitoreo si desea ver los datos de CloudWatch de cuentas cruzadas.

Cuando se completa el siguiente procedimiento, CloudWatch crea un rol vinculado al servicio que CloudWatch utiliza en la cuenta de monitoreo para obtener acceso a los datos que otras cuentas comparten. Este rol vinculado a servicio se denomina AWSServiceRoleForCloudWatchCrossAccount. Para obtener más información, consulte Uso de roles vinculados a servicios para CloudWatch.

Para permitir que su cuenta visualice datos de CloudWatch de cuentas cruzadas

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Settings (Configuración) y, a continuación, en la sección Cross-account cross-region (Regiones y cuentas cruzadas), elija Configure (Configurar).
En la sección View cross-account cross-region (Ver cuentas y regiones cruzadas), elija Enable (Habilitar) y, a continuación, seleccione la casilla de verificación Show selector in the console (Mostrar selector en la consola) para permitir que un selector de cuentas aparezca en la consola de CloudWatch cuando se genere un gráfico de una métrica o se cree una alarma.
En View cross-account cross-region (Ver diversas cuentas y regiones), elija una de las siguientes opciones:
- Account Id Input (Especificar ID de cuenta). Esta opción le pide que introduzca manualmente un ID de cuenta cada vez que desee cambiar de cuenta al consultar datos de varias cuentas.
- Selector de cuentas de AWS Organization. Esta opción hace que aparezcan las cuentas que especificó al llevar a cabo la integración entre cuentas diferentes con Organizations. La próxima vez que utilice la consola, CloudWatch mostrará una lista desplegable de estas cuentas para que pueda seleccionarlas mientras visualiza los datos para cuentas cruzadas.
  
  Para ello, primero debe haber utilizado la cuenta administrativa de la organización con el fin de permitir que CloudWatch consulte una lista de cuentas de la organización. Para obtener más información, consulte (Opcional) Integración con AWS Organizations.
- Custom account selector (Selector de cuentas personalizado). Esta opción pide que se introduzca una lista de ID de cuenta. La próxima vez que utilice la consola, CloudWatch mostrará una lista desplegable de estas cuentas para que pueda seleccionarlas mientras consulta los datos de las cuentas cruzadas.
  
  También puede especificar una etiqueta para cada una de estas cuentas, de forma que le resulte más fácil identificarlas al elegir las cuentas que desea consultar.
  
  La configuración del selector de cuentas que realiza un usuario aquí se retiene solo para ese usuario, no para todos los demás usuarios de la cuenta de monitoreo.
Elija Habilitar.

Después de completar esta configuración, puede crear paneles para diversas cuentas. Para obtener más información, consulte Paneles para cuentas y Regiones cruzadas.

(Opcional) Integración con AWS Organizations

Si desea integrar la funcionalidad para diversas cuentas con AWS Organizations, debe poner a disposición de las cuentas de monitorización una lista de todas las cuentas de la organización.

Para habilitar la funcionalidad de CloudWatch para cuentas cruzadas con el fin de obtener acceso a una lista de todas las cuentas de la organización

Inicie sesión en la cuenta administrativa de la organización.
Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, elija Settings (Configuración). A continuación, elija Configure (Configurar).
En Grant permission to view the list of accounts in the organization (Conceder permiso para ver la lista de cuentas de la organización), elija Specific accounts (Cuentas específicas) para que se le pida que especifique la lista de ID de cuenta. La lista de cuentas de la organización se compartirá únicamente con las cuentas que especifique aquí.
Elija Share organization account list (Compartir lista de cuentas de la organización).
Elija Launch CloudFormation template (Iniciar plantilla de CloudFormation).

En la pantalla de confirmación, escriba Confirm y elija Launch template (Iniciar plantilla).

Solución de problemas de la configuración para cuentas cruzadas de CloudWatch

Esta sección contiene sugerencias para solucionar los problemas de implementación de la consola para cuentas cruzadas en CloudWatch.

Recibo errores de acceso denegado al mostrar datos para diversas cuentas

Compruebe lo siguiente:

Su cuenta de monitorización debe tener un rol denominado AWSServiceRoleForCloudWatchCrossAccount. Si no lo tiene, debe crearlo. Para obtener más información, consulte Set Up a Monitoring Account.

Cada cuenta de uso compartido debe tener un rol denominado CloudWatch-CrossAccountSharingRole. Si no lo tiene, debe crearlo. Para obtener más información, consulte Set Up A Sharing Account.

El rol de uso compartido debe confiar en la cuenta de monitorización.

Para confirmar que los roles están configurados correctamente para la consola de CloudWatch para cuentas cruzadas

Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.
Seleccione Roles en el panel de navegación.
En la lista de roles, asegúrese de que existe el rol necesario. En una cuenta de uso compartido, busque CloudWatch-CrossAccountSharingRole. En una cuenta de monitorización, busque AWSServiceRoleForCloudWatchCrossAccount.
Si está en una cuenta de uso compartido y CloudWatch-CrossAccountSharingRole ya existe, elija CloudWatch-CrossAccountSharingRole.
Seleccione Trust relationships (Relaciones de confianza), Edit trust relationship (Editar relaciones de confianza).
Confirme que la política muestra el ID de cuenta de la cuenta de monitorización o el ID de organización de una organización que contiene la cuenta de monitorización.

No se ve ningún menú desplegable de cuentas en la consola: En primer lugar, verifique que ha creado los roles de IAM correctos, como se explica en la sección de solución de problemas anterior. Si están configurados correctamente, asegúrese de haber habilitado esta cuenta de tal forma que pueda ver los datos para diversas cuentas, como se describe en Enable Your Account to View Cross-Account Data.

Desactivación y limpieza después de utilizar cuentas cruzadas

Para desactivar la funcionalidad de cuentas cruzadas para CloudWatch, siga estos pasos.

Paso 1: elimine las pilas o roles entre cuentas

El mejor método es eliminar las pilas de AWS CloudFormation que se utilizaron para habilitar la funcionalidad de cuentas diferentes.

En cada una de las cuentas de uso compartido, elimine la pila CloudWatch-CrossAccountSharingRole.
Si utilizó AWS Organizations para habilitar la funcionalidad de cuentas diferentes con todas las cuentas de una organización, elimine la pila CloudWatch-CrossAccountListAccountsRole en la cuenta administrativa de la organización.

Si no usó las pilas de AWS CloudFormation para habilitar la funcionalidad de cuentas diferentes, realice lo siguiente:

En cada una de las cuentas de uso compartido, elimine el rol de IAM CloudWatch-CrossAccountSharingRole.
Si utilizó AWS Organizations para habilitar la funcionalidad de cuentas diferentes con todas las cuentas de una organización, elimine el rol de IAM CloudWatch-CrossAccountSharing-ListAccountsRole en la cuenta administrativa de la organización.

Paso 2: cree un rol vinculado al servicio

En la cuenta de monitoreo, elimine el rol de IAM vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Integración de Grafana

Service Quotas