Console multicompte et multirégion CloudWatch - Amazon CloudWatch
Activation de la fonctionnalité entre régions et comptes(Facultatif) Intégrer avec AWS OrganizationsRésolution des problèmesDésactivation et nettoyage après l'utilisation de la fonctionnalité entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Console multicompte et multirégion CloudWatch

Note

Nous vous recommandons d'utiliser l'observabilité CloudWatch entre comptes afin de tirer le meilleur parti de l'observabilité et de la découverte entre comptes pour vos indicateurs, journaux et traces au sein d'une région. Pour plus d’informations, consultez CloudWatch observabilité entre comptes.

La CloudWatch console multi-comptes et inter-régions vous permet de passer facilement d'un compte à l'autre et d'une région à l'autre en utilisant les sélecteurs de la console pour afficher les tableaux de bord, les alarmes et les statistiques des autres comptes et régions. Cette fonctionnalité vous permet également de créer des tableaux de bord inter-comptes et interrégionaux qui résument les CloudWatch statistiques de plusieurs AWS comptes et de plusieurs régions en un seul tableau de bord, les rendant accessibles sans avoir à changer de compte ou de région.

De nombreuses entreprises déploient leurs AWS ressources sur plusieurs comptes, afin de définir des limites de facturation et de sécurité. Dans ce cas, nous vous recommandons de désigner un ou plusieurs de vos comptes comme comptes de surveillance et de créer vos tableaux de bord inter-comptes interrégionaux dans ces comptes. La fonctionnalité de console inter-comptes inter-régions est intégrée pour vous aider à créer efficacement vos tableaux de bord inter-comptes inter-régions. AWS Organizations

L'expérience de CloudWatch console entre comptes et entre régions ne fournit pas de visibilité entre comptes et entre régions pour les journaux. En outre, il ne prend pas en charge la création d'alarmes sur les métriques d'autres comptes ou régions à partir d'un compte de surveillance.

Activation de la fonctionnalité entre comptes et entre régions dans CloudWatch

Pour configurer la fonctionnalité inter-comptes inter-régions dans votre CloudWatch console, utilisez la CloudWatch console pour configurer vos comptes de partage et vos comptes de surveillance.

Configuration d'un compte de partage

Vous devez activer le partage dans chaque compte qui mettra les données à la disposition du compte de surveillance.

Ainsi, vous accordez les autorisations en lecture seule que vous choisissez à l'étape 5 à tous les utilisateurs capables d'afficher un tableau de bord entre comptes dans le compte que vous partagez avec lui, si l'utilisateur dispose des autorisations correspondantes dans le compte que vous partagez avec lui.

Pour permettre à votre compte de partager CloudWatch des données avec d'autres comptes

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Pour Partager vos CloudWatch données, choisissez Configurer.

  4. Dans Sharing (Partage), choisissez Specific accounts (Comptes spécifiques) et saisissez les ID des comptes avec lesquels vous souhaitez partager des données.

    Tous les comptes que vous spécifiez ici peuvent consulter les CloudWatch données de votre compte. Spécifiez uniquement les ID des comptes que vous connaissez et dans lesquels vous avez confiance.

  5. Dans Permissions (Autorisations), spécifiez comment partager vos données avec l'une des options suivantes :

    • Fournissez un accès en lecture seule à vos CloudWatch indicateurs, tableaux de bord et alarmes. Cette option permet aux comptes de surveillance de créer des tableaux de bord inter-comptes qui incluent des widgets contenant les CloudWatch données de votre compte.

    • Incluez des tableaux de bord CloudWatch automatiques. Si vous sélectionnez cette option, les utilisateurs du compte de surveillance peuvent également voir les informations dans les tableaux de bord automatiques de ce compte. Pour plus d’informations, consultez Commencer à utiliser Amazon CloudWatch.

    • Intégrez un accès X-Ray en lecture seule pour la carte de suivi X-Ray. Si vous sélectionnez cette option, les utilisateurs du compte de surveillance peuvent également consulter la carte de suivi X-Ray et les informations de suivi X-Ray dans ce compte. Pour plus d’informations, veuillez consulter la rubrique Using the X-Ray Trace Map.

    • Full read-only access to everything in your account (Accès complet en lecture seule à tout ce qui se trouve dans votre compte). Cette option permet aux comptes que vous utilisez pour le partage de créer des tableaux de bord inter-comptes qui incluent des widgets contenant les CloudWatch données de votre compte. Elle permet également à ces comptes d'examiner plus en profondeur votre compte et de voir les données de votre compte dans les consoles d'autres services AWS .

  6. Choisissez le CloudFormation modèle de lancement.

    Dans l'écran de confirmation, saisissez Confirm et choisissez Launch template (Lancer le modèle).

  7. Cochez la case Je sais... , puis choisissez Créer une pile.

Partage avec une organisation entière

L'exécution de la procédure précédente crée un rôle IAM qui permet à votre compte de partager des données avec un seul compte. Vous pouvez créer ou modifier un rôle IAM qui partage vos données avec tous les comptes d'une organisation. Faites-le uniquement si vous connaissez et faites confiance à tous les comptes de l'organisation.

Ainsi, vous accordez les autorisations en lecture seule répertoriées dans les stratégies reprises à l'étape 5 de la procédure précédente à tous les utilisateurs capables d'afficher un tableau de bord entre comptes dans le compte que vous partagez avec lui, si l'utilisateur dispose des autorisations correspondantes dans le compte que vous partagez avec lui.

Pour partager les données de votre CloudWatch compte avec tous les comptes d'une organisation

  1. Si ce n'est pas déjà fait, suivez la procédure précédente pour partager vos données avec un seul AWS compte.

  2. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  3. Dans le panneau de navigation, choisissez Roles (Rôles).

  4. Dans la liste des rôles, choisissez CloudWatch- CrossAccountSharingRole.

  5. Choisissez Relations d'approbation, Modifier la relation d'approbation.

    Vous voyez une stratégie comme la suivante :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Remplacez la stratégie par la suivante, en remplaçant org-id par l'ID de votre organisation.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Choisissez Mettre à jour la politique d'approbation.

Configuration d'un compte de surveillance

Activez chaque compte de surveillance si vous souhaitez consulter les CloudWatch données entre comptes.

Lorsque vous avez terminé la procédure suivante, CloudWatch crée un rôle lié à un service qui est CloudWatch utilisé dans le compte de surveillance pour accéder aux données partagées depuis vos autres comptes. Ce rôle lié au service est appelé. AWSServiceRoleForCloudWatchCrossAccount Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour CloudWatch.

Pour permettre à votre compte de consulter les données entre comptes CloudWatch

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres). Puis, dans la section Cross-account cross-region (Entre régions et comptes), sélectionnez Configure (Configurer).

  3. Dans la section Afficher plusieurs comptes entre régions, choisissez Activer, puis cochez la case Afficher le sélecteur dans la console pour permettre à un sélecteur de compte d'apparaître dans la CloudWatch console lorsque vous tracez un graphique sur une métrique ou que vous créez une alarme.

  4. Sous View cross-account cross-region (Afficher entre régions et comptes), choisissez l'une des options suivantes :

    • Account Id Input (Saisie d'ID de compte). Cette option vous invite à saisir manuellement un ID de compte chaque fois que vous souhaitez changer de compte lorsque vous affichez des données entre comptes.

    • AWS Sélecteur de compte d'organisation. Cette option entraîne l'affichage des comptes que vous avez spécifiés après avoir terminé l'intégration entre comptes avec Organizations. La prochaine fois que vous utiliserez la console, elle CloudWatch affichera une liste déroulante de ces comptes parmi laquelle vous pourrez effectuer votre sélection lorsque vous consulterez les données entre comptes.

      Pour ce faire, vous devez d'abord avoir utilisé le compte de gestion de votre organisation CloudWatch pour permettre de voir la liste des comptes de votre organisation. Pour plus d’informations, consultez (Facultatif) Intégrer avec AWS Organizations.

    • Custom account selector (Sélecteur de compte personnalisé). Cette option vous invite à saisir une liste des ID de compte. La prochaine fois que vous utiliserez la console, elle CloudWatch affichera une liste déroulante de ces comptes parmi laquelle vous pourrez effectuer votre sélection lorsque vous consulterez les données entre comptes.

      Vous pouvez également saisir une étiquette pour chacun de ces comptes, qui vous permettra de les identifier lorsqu'il faudra choisir les comptes à afficher.

      Les paramètres de sélecteur de compte qu'un utilisateur définit ici ne sont conservés que pour cet utilisateur, et non pour tous les autres utilisateurs du compte de surveillance.

  5. Sélectionnez Activer.

Une fois cette configuration terminée, vous pouvez créer des tableaux de bord entre comptes. Pour plus d’informations, consultez Tableaux de bord entre régions et comptes.

Fonctionnalité entre régions

La fonctionnalité inter-régions est automatiquement intégrée à cette fonctionnalité. Vous n'avez pas besoin d'effectuer d'étapes supplémentaires pour pouvoir afficher les métriques de différentes régions dans un seul compte sur le même graphique ou le même tableau de bord. La fonctionnalité inter-régions n'est pas prise en charge pour les alarmes. Vous ne pouvez donc pas créer d'alarme dans une région qui surveille une métrique dans une région différente.

(Facultatif) Intégrer avec AWS Organizations

Si vous souhaitez intégrer la fonctionnalité multi-comptes AWS Organizations, vous devez créer une liste de tous les comptes de l'organisation accessibles aux comptes de surveillance.

Pour activer la CloudWatch fonctionnalité multi-comptes afin d'accéder à la liste de tous les comptes de votre organisation

  1. Connectez-vous au compte de gestion de votre organisation.

  2. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  3. Dans le volet de navigation, choisissez Settings (Paramètres), puis Configurer (Configurer).

  4. Dans Grant permission to view the list of accounts in the organization (Accorder l'autorisation d'afficher la liste des comptes de l'organisation), choisissez Specific accounts (Comptes spécifiques) pour être invité à saisir une liste des ID de compte. La liste des comptes de votre organisation est uniquement partagée avec les comptes que vous spécifiez ici.

  5. Choisissez Share organization account list (Partager la liste des comptes de l'organisation).

  6. Choisissez le CloudFormation modèle de lancement.

    Dans l'écran de confirmation, saisissez Confirm et choisissez Launch template (Lancer le modèle).

Résolution des problèmes liés à la CloudWatch configuration de plusieurs comptes

Cette section contient des conseils de dépannage pour le déploiement de consoles entre comptes dans CloudWatch.

J'obtiens des erreurs d'accès refusés affichant des données entre comptes

Vérifiez les éléments suivants :

  • Votre compte de surveillance doit avoir un rôle nommé AWSServiceRoleForCloudWatchCrossAccount. Si ce n'est pas le cas, vous devez créer ce rôle. Pour plus d’informations, consultez Set Up a Monitoring Account.

  • Chaque compte de partage doit avoir un rôle nommé CloudWatch- CrossAccountSharingRole. Si ce n'est pas le cas, vous devez créer ce rôle. Pour de plus amples informations, consultez Set Up A Sharing Account.

  • Le rôle de partage doit faire confiance au compte de surveillance.

Pour vérifier que vos rôles sont correctement configurés pour la console CloudWatch multi-comptes

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Dans la liste des rôles, assurez-vous que le rôle nécessaire existe. Dans un compte de partage, recherchez CloudWatch- CrossAccountSharingRole. Dans un compte de surveillance, recherchez AWSServiceRoleForCloudWatchCrossAccount.

  4. Si vous utilisez un compte de partage et CloudWatch qu'il existe CrossAccountSharingRole déjà, choisissez CloudWatch- CrossAccountSharingRole.

  5. Choisissez Relations d'approbation, Modifier la relation d'approbation.

  6. Vérifiez que la stratégie répertorie soit l'ID de compte du compte de surveillance, soit l'ID d'organisation d'une organisation qui contient le compte de surveillance.

Je ne vois aucune liste déroulante de compte dans la console

Commencez par vérifier que vous avez créé les rôles IAM appropriés, selon les instructions de la section de résolution des problèmes précédente. Si ceux-ci sont correctement configurés, assurez-vous que vous avez activé ce compte pour afficher les données entre comptes, selon la description de la section Enable Your Account to View Cross-Account Data.

Désactivation et nettoyage après l'utilisation de la fonctionnalité entre comptes

Pour désactiver la fonctionnalité multi-comptes pour CloudWatch, procédez comme suit.

Étape 1 : supprimer les piles ou les rôles entre comptes

La meilleure méthode consiste à supprimer les AWS CloudFormation piles utilisées pour activer la fonctionnalité multi-comptes.

  • Dans chacun des comptes de partage, supprimez la CrossAccountSharingRole pile CloudWatch-.

  • Si vous aviez AWS Organizations l'habitude d'activer la fonctionnalité multi-comptes avec tous les comptes d'une organisation, supprimez la CrossAccountListAccountsRole pile CloudWatch- dans le compte de gestion de l'organisation.

Si vous n'avez pas utilisé les AWS CloudFormation piles pour activer la fonctionnalité multi-comptes, procédez comme suit :

  • Dans chacun des comptes de partage, supprimez le rôle CloudWatch- CrossAccountSharingRole IAM.

  • Si vous aviez AWS Organizations l'habitude d'activer la fonctionnalité multi-comptes avec tous les comptes d'une organisation, supprimez le rôle CloudWatch- CrossAccountSharing - ListAccountsRole IAM dans le compte de gestion de l'organisation.

Étape 2 : supprimer le rôle lié à un service

Dans le compte de surveillance, supprimez le rôle AWSServiceRoleForCloudWatchCrossAccountIAM lié au service.