Tautkan akun pemantauan dengan akun sumber

Topik di bagian ini menjelaskan cara menyiapkan tautan antara akun pemantauan dan akun sumber.

Kami menyarankan Anda membuat AWS akun baru untuk berfungsi sebagai akun pemantauan untuk organisasi Anda.

Daftar Isi

• Izin yang diperlukan

  • Izin diperlukan untuk membuat tautan

  • Izin yang diperlukan untuk memantau seluruh akun

• Gambaran umum pengaturan

• Langkah 1: Menyiapkan akun pemantauan

• Langkah 2: (Opsional) Unduh AWS CloudFormation templat atau URL

• Langkah 3: Menautkan akun sumber

  • Menggunakan template AWS CloudFormation untuk menyiapkan semua akun di organisasi atau unit organisasi sebagai akun sumber

  • Gunakan template AWS CloudFormation untuk menyiapkan akun sumber individual

  • Menggunakan URL untuk menyiapkan akun sumber individual

Izin yang diperlukan

Izin diperlukan untuk membuat tautan

Untuk membuat tautan antara akun pemantauan dan akun sumber, Anda harus masuk dengan izin tertentu.

• Untuk menyiapkan akun pemantauan – Anda harus memiliki akses administrator penuh di akun pemantauan, atau Anda harus masuk ke akun tersebut dengan izin berikut:

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "AllowSinkModification",
              "Effect": "Allow",
              "Action": [
                  "oam:CreateSink",
                  "oam:DeleteSink",
                  "oam:PutSinkPolicy",
                  "oam:TagResource"
              ],
              "Resource": "*"
          },
          {
              "Sid": "AllowReadOnly",
              "Effect": "Allow",
              "Action": ["oam:Get*", "oam:List*"],
              "Resource": "*"
          }
      ]
  }

• Akun sumber, dengan cakupan ke akun pemantauan tertentu – Untuk membuat, memperbarui, dan mengelola tautan hanya untuk satu akun pemantauan tertentu, Anda harus masuk ke akun dengan setidaknya izin berikut. Dalam contoh ini, akun pemantauan adalah 999999999999.

  Jika tautan tidak akan membagikan ketujuh jenis sumber daya (metrik, log, jejak, aplikasi Wawasan Aplikasi, layanan Sinyal Aplikasi dan tujuan tingkat layanan (SLOs), dan monitor Internet Monitor), Anda dapat menghilangkan,cloudwatch:Link,,, logs:Link xray:Link applicationinsights:Linkapplication-signals:Link, atau internetmonitor:Link sesuai kebutuhan.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": [
                  "oam:CreateLink",
                  "oam:UpdateLink",
                  "oam:DeleteLink",
                  "oam:GetLink",
                  "oam:TagResource"
              ],
              "Effect": "Allow",
              "Resource": "arn:*:oam:*:*:link/*"
          },
          {
              "Action": [
                  "oam:CreateLink",
                  "oam:UpdateLink"
              ],
              "Effect": "Allow",
              "Resource": "arn:*:oam:*:*:sink/*",
              "Condition": {
                  "StringEquals": {
                      "aws:ResourceAccount": [
                          "999999999999"
                      ]
                  }
              }
          },
          {
              "Action": "oam:ListLinks",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
              "Action": "cloudwatch:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
              "Action": "logs:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
              "Action": "xray:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
               "Action": "applicationinsights:Link",
               "Effect": "Allow",
               "Resource": "*"
           },
          {
               "Action": "internetmonitor:Link",
               "Effect": "Allow",
               "Resource": "*"
          },
          {
               "Action": "application-signals:Link",
               "Effect": "Allow",
               "Resource": "*"
          }
      ]
  }

• Akun sumber, dengan izin untuk menautkan ke akun pemantauan apa pun — Untuk membuat tautan ke sink akun pemantauan yang ada dan berbagi metrik, grup log, jejak, aplikasi Wawasan Aplikasi, dan monitor Internet Monitor, Anda harus masuk ke akun sumber dengan izin administrator penuh atau masuk ke sana dengan izin berikut

  Jika tautan tidak akan membagikan ketujuh jenis sumber daya (metrik, log, jejak, aplikasi Wawasan Aplikasi, layanan Sinyal Aplikasi dan tujuan tingkat layanan (SLOs), dan monitor Internet Monitor), Anda dapat menghilangkan,cloudwatch:Link,,, logs:Link xray:Link applicationinsights:Linkapplication-signals:Link, atau internetmonitor:Link sesuai kebutuhan.

  {
      "Version": "2012-10-17",
      "Statement": [{
              "Effect": "Allow",
              "Action": [
                  "oam:CreateLink",
                  "oam:UpdateLink"
              ],
              "Resource": [
                  "arn:aws:oam:*:*:link/*",
                  "arn:aws:oam:*:*:sink/*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "oam:List*",
                  "oam:Get*"
              ],
              "Resource": "*"
          },
          {
              "Effect": "Allow",
              "Action": [
                  "oam:DeleteLink",
                  "oam:GetLink",
                  "oam:TagResource"
              ],
              "Resource": "arn:aws:oam:*:*:link/*"
          },
          {
              "Action": "cloudwatch:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
              "Action": "xray:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
              "Action": "logs:Link",
              "Effect": "Allow",
              "Resource": "*"
          },
          {
               "Action": "applicationinsights:Link",
               "Effect": "Allow",
               "Resource": "*"
          },
          {
               "Action": "internetmonitor:Link",
               "Effect": "Allow",
               "Resource": "*"
          },
          {
               "Action": "application-signals:Link",
               "Effect": "Allow",
               "Resource": "*"
          }
      ]
  }

Izin yang diperlukan untuk memantau seluruh akun

Setelah tautan dibuat, untuk melihat informasi akun sumber dari akun pemantauan, Anda harus masuk ke akun dengan salah satu dari berikut ini:

• Akses administrator penuh di akun pemantauan

• Izin lintas akun berikut, selain izin untuk melihat jenis sumber daya tertentu yang akan Anda pantau

  {
     "Sid": "AllowReadOnly",
     "Effect": "Allow",
     "Action": [
       "oam:Get*",
       "oam:List*"
     ],
     "Resource": "*"
   }

Gambaran umum pengaturan

Langkah-langkah tingkat tinggi berikut menunjukkan cara mengatur observabilitas CloudWatch lintas akun.

catatan

Sebaiknya buat AWS akun baru untuk digunakan sebagai akun pemantauan organisasi Anda.

1. Menyiapkan akun pemantauan khusus.

2. (Opsional) Unduh AWS CloudFormation templat atau salin URL untuk menautkan akun sumber.

3. Menautkan akun sumber ke akun pemantauan.

Setelah menyelesaikan langkah-langkah ini, Anda dapat menggunakan akun pemantauan untuk melihat data observabilitas akun sumber.

Langkah 1: Menyiapkan akun pemantauan

Ikuti langkah-langkah di bagian ini untuk menyiapkan akun sebagai AWS akun pemantauan untuk pengamatan CloudWatch lintas akun.

Prasyarat

• Jika Anda menyiapkan akun di AWS Organizations organisasi sebagai akun sumber — Dapatkan jalur organisasi atau ID organisasi.

• Jika Anda tidak menggunakan Organizations untuk akun sumber — Dapatkan akun IDs akun sumber.

Untuk mengatur akun sebagai akun pemantauan, Anda harus memiliki izin tertentu. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Untuk mengatur akun pemantauan

1. Masuk ke akun yang ingin Anda gunakan sebagai akun pemantauan.

2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

3. Pada panel navigasi kiri, pilih Pengaturan.

4. Dengan Memantau konfigurasi akun, pilih Konfigurasi.

5. Untuk Pilih data, pilih apakah akun pemantauan ini akan dapat melihat data Log, Metrik, Jejak, Wawasan Aplikasi - Aplikasi, Monitor Internet - Monitor, dan Sinyal Aplikasi - Layanan, Tujuan Tingkat Layanan (SLOs) data dari akun sumber yang ditautkan.

6. Untuk Membua daftar akun sumber, masukkan akun sumber yang akan ditampilkan oleh akun pemantauan ini. Untuk mengidentifikasi akun sumber, masukkan akun individu IDs, jalur organisasi, atau organisasi IDs. Jika Anda memasukkan jalur organisasi atau ID organisasi, akun pemantauan ini diizinkan untuk melihat data observabilitas dari semua akun terkait di organisasi tersebut.

   Pisahkan entri dalam daftar ini dengan koma.

   penting

   Saat Anda memasukkan jalur organisasi, ikuti format yang tepat. Ou-id harus diakhiri dengan / (karakter garis miring). Misalnya: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

7. Untuk Menentukan label yang akan digunakan untuk mengidentifikasi akun sumber Anda, Anda dapat menentukan alabel yang digunakan untuk membuat AWS CloudFormation templat. Label kemudian diterapkan ke akun sumber ketika template tersebut digunakan untuk menautkan akun sumber ke akun pemantauan ini.

   Anda dapat menentukan apakah akan menggunakan nama akun atau alamat email di label ini, dan juga menggunakan variabel seperti$AccountName,$AcccountEmail, dan$AcccountEmailNoDomain.

   catatan

   Di Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat), satu-satunya opsi yang didukung adalah menggunakan label khusus, dan$AccountName,$AcccountEmail, dan $AcccountEmailNoDomain variabel semuanya diselesaikan sebagai account-id pengganti variabel yang ditentukan.

8. Pilih Konfigurasikan.

penting

Tautan antara pemantauan dan akun sumber tidak lengkap sampai Anda mengkonfigurasi akun sumber. Untuk informasi selengkapnya, silakan lihat bagian-bagian berikut ini.

Langkah 2: (Opsional) Unduh AWS CloudFormation templat atau URL

Untuk menautkan akun sumber ke akun pemantauan, sebaiknya gunakan template AWS CloudFormation atau URL.

• Jika Anda menautkan seluruh organisasi — CloudWatch berikan AWS CloudFormation templat.

• Jika Anda menautkan akun individual — Gunakan AWS CloudFormation templat atau URL yang CloudWatch menyediakan.

Untuk menggunakan AWS CloudFormation templat, Anda harus mengunduhnya selama langkah-langkah ini. Setelah Anda menautkan akun pemantauan dengan setidaknya satu akun sumber, AWS CloudFormation templat tidak lagi tersedia untuk diunduh.

Untuk mengunduh AWS CloudFormation templat atau menyalin URL untuk menautkan akun sumber ke akun pemantauan

1. Masuk ke akun yang ingin Anda gunakan sebagai akun pemantauan.

2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

3. Pada panel navigasi kiri, pilih Pengaturan.

4. Dengan Memantau konfigurasi akun, pilih Sumber Daya untuk menautkan akun.

5. Lakukan salah satu langkah berikut:

   • Pilih organisasi AWS untuk mendapatkan template yang akan digunakan untuk menautkan akun di organisasi ke akun pemantauan ini.

   • Pilih Akun apa saja untuk mendapatkan template atau URL untuk menyiapkan akun individual sebagai akun sumber.

6. Lakukan salah satu tindakan berikut:

   • Jika Anda memilih AWS organisasi, pilih Unduh CloudFormation templat.

   • Jika Anda memilih Akun apa pun, pilih Unduh CloudFormation templat atau Salin URL.

7. (Opsional) Ulangi langkah 5-6 untuk mengunduh AWS CloudFormation templat dan URL.

Langkah 3: Menautkan akun sumber

Gunakan langkah-langkah di bagian ini untuk menautkan akun sumber ke akun pemantauan.

Untuk menautkan akun pemantauan dengan akun sumber, Anda harus memiliki izin tertentu. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Menggunakan template AWS CloudFormation untuk menyiapkan semua akun di organisasi atau unit organisasi sebagai akun sumber

Langkah-langkah ini mengasumsikan bahwa Anda sudah mengunduh AWS CloudFormation templat yang diperlukan dengan melakukan langkah-langkahLangkah 2: (Opsional) Unduh AWS CloudFormation templat atau URL.

Untuk menggunakan AWS CloudFormation templat untuk menautkan akun di organisasi atau unit organisasi ke akun pemantauan

1. Masuk ke akun manajemen organisasi.

2. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

3. Di bilah navigasi kiri, pilih StackSets.

4. Periksa apakah Anda masuk ke Wilayah yang Anda inginkan, lalu pilih Buat StackSet.

5. Pilih Berikutnya.

6. Pilih Template sudah siap dan pilih Upload file template.

7. Pilih Pilih file, pilih template yang Anda unduh dari akun pemantauan, dan pilih Buka.

8. Pilih Berikutnya.

9. Untuk Tentukan StackSet detail, masukkan nama untuk StackSet dan pilih Berikutnya.

10. Untuk Menambahkan stack ke set stack, pilih Terapkan stack baru.

11. Untuk target Deployment, pilih apakah akan menyebarkan ke seluruh organisasi atau ke unit organisasi tertentu.

12. Untuk Menentukan wilayah, pilih Wilayah mana yang akan digunakan CloudWatch observabilitas lintas akun.

13. Pilih Berikutnya.

14. Pada halaman Ulasan, konfirmasikan opsi yang Anda pilih dan pilih Kirim.

15. Di tab Instans stack, segarkan layar hingga Anda melihat bahwa instance tumpukan Anda memiliki status CREATE_COMPLETE.

Gunakan template AWS CloudFormation untuk menyiapkan akun sumber individual

Langkah-langkah ini mengasumsikan bahwa Anda sudah mengunduh AWS CloudFormation templat yang diperlukan dengan melakukan langkah-langkahLangkah 2: (Opsional) Unduh AWS CloudFormation templat atau URL.

Untuk menggunakan AWS CloudFormation template untuk menyiapkan akun sumber individual untuk observabilitas CloudWatch lintas akun

1. Masuk ke akun sumber.

2. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

3. Di bilah navigasi kiri, pilih Stack.

4. Periksa apakah Anda masuk ke Wilayah yang Anda inginkan, lalu pilih Buat tumpukan, Dengan sumber daya baru (standar).

5. Pilih Berikutnya.

6. Pilih Mengunggah file template.

7. Pilih Pilih file, pilih template yang Anda unduh dari akun pemantauan, dan pilih Buka.

8. Pilih Berikutnya.

9. Untuk Tentukan detail stack, masukkan nama untuk tumpukan dan pilih Berikutnya.

10. Pada halaman Konfigurasikan opsi stack, pilih Berikutnya.

11. Pada halaman Ulasan, pilih Kirim.

12. Pada halaman status untuk stack Anda, segarkan layar hingga Anda melihat bahwa stack Anda memiliki status CREATE_COMPLETE.

13. Untuk menggunakan template yang sama ini untuk menautkan lebih banyak akun sumber ke akun pemantauan ini, keluar dari akun ini dan masuk ke akun sumber berikutnya. Kemudian ulangi langkah 2-12.

Menggunakan URL untuk menyiapkan akun sumber individual

Langkah-langkah ini mengasumsikan bahwa Anda sudah menyalin URL yang diperlukan dengan melakukan langkah-langkah di Langkah 2: (Opsional) Unduh AWS CloudFormation templat atau URL.

Untuk menggunakan URL untuk menautkan akun sumber individual ke akun pemantauan

1. Masuk ke akun yang ingin Anda gunakan sebagai akun sumber.

2. Masukkan URL yang Anda salin dari akun pemantauan.

   Anda melihat halaman CloudWatch pengaturan, dengan beberapa informasi yang diisi.

3. Untuk Pilih data, pilih apakah akun sumber ini akan membagikan Log, Metrik, Jejak, Wawasan Aplikasi - Aplikasi, dan Monitor Internet - Memonitor data ke akun pemantauan ini.

   Untuk Log dan Metrik, Anda dapat memilih apakah akan berbagi semua sumber daya atau subset dengan akun pemantauan.

   1. (Opsional) Untuk membagikan subset grup log akun ini dengan akun pemantauan, pilih Log dan pilih Filter Log. Kemudian gunakan kotak Filter Log untuk membuat kueri untuk menemukan grup log yang ingin Anda bagikan. Kueri akan menggunakan istilah LogGroupName dan satu atau lebih operan berikut.

      • = dan !=

      • AND

      • OR

      • ^menunjukkan LIKE dan !^ menunjukkan TIDAK SUKA. Ini hanya dapat digunakan sebagai pencarian awalan. Sertakan a % di akhir string yang ingin Anda cari dan sertakan.

      • INdanNOT IN, menggunakan tanda kurung () ( )

      Kueri lengkap harus tidak lebih dari 2000 karakter dan terbatas pada lima operan bersyarat. Operan bersyarat adalah AND dan. OR Tidak ada batasan jumlah operan lainnya.

      Tip

      Pilih Lihat contoh kueri untuk melihat sintaks yang benar untuk format kueri umum.

   2. (Opsional) Untuk membagikan subset ruang nama metrik akun ini dengan akun pemantauan, pilih Metrik dan pilih Filter Metrik. Kemudian gunakan kotak Filter Metrik untuk membuat kueri untuk menemukan ruang nama metrik yang ingin Anda bagikan. Gunakan istilah Namespace dan satu atau lebih dari operan berikut.

      • = dan !=

      • AND

      • OR

      • LIKE dan NOT LIKE. Ini hanya dapat digunakan sebagai pencarian awalan. Sertakan a % di akhir string yang ingin Anda cari dan sertakan.

      • INdanNOT IN, menggunakan tanda kurung () ( )

      Kueri lengkap harus tidak lebih dari 2000 karakter dan terbatas pada lima operan bersyarat. Operan bersyarat adalah AND dan. OR Tidak ada batasan jumlah operan lainnya.

   Tip

   Pilih Lihat contoh kueri untuk melihat sintaks yang benar untuk format kueri umum.

4. Jangan mengubah ARN di Masukkan ARN konfigurasi akun pemantauan.

5. Bagian Tentukan label untuk mengidentifikasi akun sumber Anda sudah diisi sebelumnya dengan pilihan label dari akun pemantauan, jika ada. Secara opsional, pilih Sunting untuk mengubahnya.

   catatan

   Di Wilayah AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat), satu-satunya opsi yang didukung adalah menggunakan label khusus, dan$AccountName,$AcccountEmail, dan $AcccountEmailNoDomain variabel semuanya diselesaikan sebagai account-id pengganti variabel yang ditentukan.

6. Pilih Tautkan.

7. Masukkan Confirm di kotak dan pilih Konfirmasi.

8. Untuk menggunakan URL yang sama ini untuk menautkan lebih banyak akun sumber ke akun pemantauan ini, keluar dari akun ini dan masuk ke akun sumber berikutnya. Kemudian ulangi langkah 2-7.