Konsol lintas akun Lintas wilayah CloudWatch - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsol lintas akun Lintas wilayah CloudWatch

catatan

Kami menyarankan Anda menggunakan observabilitas CloudWatch lintas akun untuk mendapatkan pengalaman observabilitas dan penemuan lintas akun terkaya untuk metrik, log, dan jejak Anda dalam suatu Wilayah. Untuk informasi selengkapnya, lihat CloudWatch observabilitas lintas akun.

CloudWatch Konsol lintas akun, lintas wilayah memungkinkan Anda beralih dengan mudah di antara akun dan Wilayah yang berbeda dengan menggunakan pemilih di konsol untuk melihat dasbor, alarm, dan metrik di akun dan Wilayah lain. Fitur ini juga memungkinkan Anda untuk membuat dasbor lintas akun, lintas wilayah yang merangkum metrik Anda dari beberapa CloudWatch AWS akun dan beberapa Wilayah menjadi satu dasbor, membuatnya dapat diakses tanpa harus berpindah akun atau Wilayah.

Banyak organisasi memiliki AWS sumber daya yang digunakan di beberapa akun, untuk menyediakan batas penagihan dan keamanan. Dalam hal ini, kami menyarankan Anda menetapkan satu atau beberapa akun Anda sebagai akun pemantauan Anda, dan membangun dasbor lintas wilayah lintas akun Anda di akun ini. Fungsionalitas konsol lintas wilayah lintas akun terintegrasi dengan AWS Organizations, untuk membantu Anda membangun dasbor lintas wilayah lintas akun secara efisien.

Pengalaman CloudWatch konsol lintas akun dan lintas wilayah tidak memberikan visibilitas lintas wilayah lintas akun untuk log. Selain itu, tidak mendukung pembuatan alarm pada metrik di akun lain atau Wilayah dari dalam akun pemantauan.

Mengaktifkan fungsionalitas lintas wilayah lintas akun di CloudWatch

Untuk mengatur fungsionalitas lintas akun lintas wilayah di CloudWatch konsol Anda, gunakan CloudWatch konsol untuk menyiapkan akun berbagi dan memantau akun.

Menyiapkan akun berbagi

Anda harus mengaktifkan berbagi di masing-masing akun yang akan menyediakan data ke akun pemantauan.

Langkah ini akan memberikan izin hanya-baca yang Anda pilih pada langkah 5 untuk semua pengguna yang melihat dasbor lintas akun di akun yang Anda bagikan, jika pengguna memiliki izin yang sesuai dengan akun yang Anda bagikan.

Untuk mengaktifkan akun Anda untuk berbagi CloudWatch data dengan akun lain
  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Untuk Bagikan CloudWatch data Anda, pilih Konfigurasi.

  4. Untuk Berbagi, pilih Akun khusus dan masukkan akun yang ingin Anda bagikan datanya. IDs

    Akun apa pun yang Anda tentukan di sini dapat melihat CloudWatch data akun Anda. Tentukan IDs satu-satunya akun yang Anda ketahui dan percayai.

  5. Untuk Izin, tentukan cara berbagi data Anda dengan salah satu pilihan berikut:

    • Berikan akses hanya-baca ke CloudWatch metrik, dasbor, dan alarm Anda. Opsi ini memungkinkan akun pemantauan untuk membuat dasbor lintas akun yang menyertakan widget yang berisi CloudWatch data dari akun Anda.

    • Sertakan dasbor CloudWatch otomatis. Jika Anda memilih pilihan ini, maka pengguna yang ada di akun pemantauan juga akan dapat melihat informasi di dasbor otomatis akun ini. Untuk informasi selengkapnya, lihat Memulai dengan Amazon CloudWatch.

    • Sertakan akses hanya-baca X-Ray untuk X-Ray Trace Map. Jika Anda memilih pilihan ini, maka pengguna yang ada di akun pemantauan juga akan dapat melihat peta jejak X-Ray dan informasi jejak X-Ray di akun ini. Untuk informasi selengkapnya, silakan lihat Menggunakan X-Ray Trace Map.

    • Akses hanya-baca penuh ke semua yang ada di akun Anda. Opsi ini memungkinkan akun yang Anda gunakan untuk berbagi untuk membuat dasbor lintas akun yang menyertakan widget yang berisi CloudWatch data dari akun Anda. Ini juga memungkinkan akun-akun tersebut untuk melihat lebih dalam ke akun Anda dan melihat data akun Anda di konsol lain AWS layanan.

  6. Pilih CloudFormation Template Luncurkan.

    Di layar konfirmasi, ketik Confirm, dan pilih Template peluncuran.

  7. Pilih kotak centang Saya mengakui... , dan pilih Buat tumpukan.

Berbagi dengan seluruh organisasi

Menyelesaikan prosedur sebelumnya menciptakan IAM peran yang memungkinkan akun Anda untuk berbagi data dengan satu akun. Anda dapat membuat atau mengedit IAM peran yang membagikan data Anda dengan semua akun di organisasi. Lakukan ini hanya jika Anda mengenal dan memercayai semua akun yang ada dalam organisasi tersebut.

Langkah ini akan memberikan izin hanya-baca yang tercantum di kebijakan yang ditunjukkan di langkah 5 dalam prosedur sebelumnya kepada semua pengguna yang melihat dasbor lintas akun di akun yang Anda bagikan, jika pengguna memiliki izin yang sesuai dengan akun yang Anda bagikan.

Untuk berbagi data CloudWatch akun Anda dengan semua akun di organisasi
  1. Jika Anda belum melakukannya, selesaikan prosedur sebelumnya untuk membagikan data Anda dengan satu AWS akun.

  2. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  3. Di panel navigasi, pilih Peran.

  4. Dalam daftar peran, pilih CloudWatch- CrossAccountSharingRole.

  5. Pilih Hubungan kepercayaan, Sunting hubungan kepercayaan.

    Anda melihat kebijakan seperti ini:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }
  6. Ubah kebijakan menjadi berikut, menggantikan org-id dengan ID organisasi Anda.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "org-id" } } } ] }
  7. Pilih Perbarui Kebijakan Kepercayaan.

Menyiapkan sebuah akun pemantauan

Aktifkan setiap akun pemantauan jika Anda ingin melihat CloudWatch data lintas akun.

Saat Anda menyelesaikan prosedur berikut, CloudWatch buat peran terkait layanan yang CloudWatch digunakan di akun pemantauan untuk mengakses data yang dibagikan dari akun Anda yang lain. Peran terkait layanan ini disebut. AWSServiceRoleForCloudWatchCrossAccount Untuk informasi lebih lanjut, lihatMenggunakan peran terkait layanan untuk CloudWatch.

Untuk mengaktifkan akun Anda untuk melihat data lintas akun CloudWatch
  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pada panel navigasi, silakan pilih Pengaturan, dan kemudian, di bagian lintas akun lintas wilayah, silakan pilih Konfigurasikan.

  3. Di bawah bagian Lihat lintas wilayah lintas akun, pilih Aktifkan, lalu pilih kotak centang Tampilkan pemilih di konsol untuk mengaktifkan pemilih akun muncul di CloudWatch konsol saat Anda membuat grafik metrik atau membuat alarm.

  4. Pada Tampilkan lintas akun lintas wilayah, pilih salah satu pilihan berikut:

    • Masukan Id Akun. Pilihan ini akan meminta Anda untuk memasukkan ID akun secara manual setiap kali Anda ingin beralih akun ketika Anda menampilkan data lintas akun.

    • AWS Pemilih akun organisasi. Pilihan ini akan menyebabkan akun yang Anda tetapkan ketika menyelesaikan integrasi lintas akun dengan Organisasi dimunculkan. Saat Anda menggunakan konsol berikutnya, CloudWatch menampilkan daftar dropdown akun ini untuk Anda pilih saat Anda melihat data lintas akun.

      Untuk melakukan ini, Anda harus terlebih dahulu menggunakan akun manajemen organisasi Anda CloudWatch untuk memungkinkan melihat daftar akun di organisasi Anda. Untuk informasi selengkapnya, lihat (Opsional) Integrasikan dengan AWS Organizations.

    • Pemilih akun kustom. Opsi ini meminta Anda untuk memasukkan daftar akunIDs. Saat Anda menggunakan konsol berikutnya, CloudWatch menampilkan daftar dropdown akun ini untuk Anda pilih saat Anda melihat data lintas akun.

      Anda juga dapat memasukkan label untuk masing-masing akun ini sehingga dapat membantu dalam mengidentifikasi akun-akun tersebut ketika memilih akun yang akan ditampilkan.

      Pengaturan pemilih akun yang dibuat oleh seorang pengguna di sini hanya akan dipertahankan untuk pengguna tersebut, bukan untuk semua pengguna lain yang ada dalam akun pemantauan.

  5. Pilih Aktifkan.

Setelah menyelesaikan pengaturan ini, Anda akan dapat membuat dasbor lintas akun. Untuk informasi selengkapnya, lihat Membuat CloudWatch dasbor.

Fungsionalitas Lintas Wilayah

Fungsionalitas Lintas Wilayah dibangun ke fitur ini secara otomatis. Anda tidak perlu melakukan langkah tambahan apa pun untuk dapat menampilkan metrik-metrik dari Wilayah yang berbeda di satu akun pada grafik yang sama atau dasbor yang sama. Fungsionalitas Lintas Wilayah ini tidak didukung untuk alarm, sehingga Anda tidak dapat membuat sebuah alarm di satu Wilayah yang akan mengawasi sebuah metrik di Wilayah lain yang berbeda.

(Opsional) Integrasikan dengan AWS Organizations

Jika Anda ingin mengintegrasikan fungsionalitas lintas akun dengan AWS Organizations, Anda harus membuat daftar semua akun di organisasi yang tersedia untuk akun pemantauan.

Untuk mengaktifkan CloudWatch fungsionalitas lintas akun untuk mengakses daftar semua akun di organisasi Anda
  1. Masuk ke akun manajemen organisasi Anda.

  2. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  3. Pada panel navigasi, silakan pilih Pengaturan, lalu pilih Konfigurasikan.

  4. Untuk izin Hibah untuk melihat daftar akun di organisasi, pilih Akun khusus yang akan diminta memasukkan daftar akunIDs. Daftar akun-akun yang ada dalam organisasi Anda tersebut hanya akan dibagikan dengan akun-akun yang Anda tentukan di sini.

  5. Pilih Bagikan daftar akun organisasi.

  6. Pilih CloudFormation Template Luncurkan.

    Di layar konfirmasi, ketik Confirm, dan pilih Template peluncuran.

Memecahkan masalah penyiapan lintas akun CloudWatch

Bagian ini berisi tips pemecahan masalah untuk penyebaran konsol lintas akun di. CloudWatch

Saya mendapatkan kesalahan akses ditolak yang menampilkan data lintas akun

Periksa hal-hal berikut:

  • Akun pemantauan Anda harus memiliki nama peran AWSServiceRoleForCloudWatchCrossAccount. Jika tidak, maka Anda harus membuat peran ini terlebih dahulu. Untuk informasi selengkapnya, lihat Set Up a Monitoring Account.

  • Setiap akun berbagi harus memiliki peran bernama CloudWatch- CrossAccountSharingRole. Jika tidak, maka Anda harus membuat peran ini terlebih dahulu. Untuk informasi selengkapnya, lihat Set Up A Sharing Account.

  • Peran berbagi tersebut harus mempercayai akun pemantauan.

Untuk mengonfirmasi bahwa peran Anda telah diatur dengan benar untuk konsol CloudWatch lintas akun
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi, silakan pilih Peran.

  3. Dalam daftar peran, pastikan peran yang diperlukan sudah ada. Di akun berbagi, cari CloudWatch- CrossAccountSharingRole. Dalam akun pemantauan, cari AWSServiceRoleForCloudWatchCrossAccount.

  4. Jika Anda berada di akun berbagi dan CloudWatch- CrossAccountSharingRole sudah ada, pilih CloudWatch- CrossAccountSharingRole.

  5. Pilih Hubungan kepercayaan, Sunting hubungan kepercayaan.

  6. Konfirmasikan bahwa kebijakan tersebut mencantumkan ID akun dari akun pemantauan, atau ID organisasi dari organisasi yang memuat akun pemantauan tersebut.

Saya tidak melihat menu gerser-turun akun di dalam konsol

Pertama, periksa apakah Anda telah membuat IAM peran yang benar, seperti yang dibahas di bagian pemecahan masalah sebelumnya. Jika pengaturan Anda sudah lakukan dengan benar, pastikan Anda telah memungkinkan akun ini untuk menampilkan data lintas akun, seperti yang dijelaskan di Enable Your Account to View Cross-Account Data.

Melakukan penonaktifan dan pembersihan setelah menggunakan lintas akun

Untuk menonaktifkan fungsionalitas lintas akun CloudWatch, ikuti langkah-langkah ini.

Langkah 1: Menghapus tumpukan atau peran lintas akun

Metode terbaik adalah menghapus AWS CloudFormation tumpukan yang digunakan untuk mengaktifkan fungsionalitas lintas akun.

  • Di setiap akun berbagi, hapus CloudWatch- CrossAccountSharingRole tumpukan.

  • Jika Anda menggunakan AWS Organizations untuk mengaktifkan fungsionalitas lintas akun dengan semua akun dalam suatu organisasi, hapus CloudWatch- CrossAccountListAccountsRole tumpukan di akun manajemen organisasi.

Jika Anda tidak menggunakan AWS CloudFormation tumpukan untuk mengaktifkan fungsionalitas lintas akun, lakukan hal berikut:

  • Di setiap akun berbagi, hapus CrossAccountSharingRole IAM peran CloudWatch-.

  • Jika Anda menggunakan AWS Organizations untuk mengaktifkan fungsionalitas lintas akun dengan semua akun dalam suatu organisasi, hapus ListAccountsRole IAM peran CloudWatchCrossAccountSharing- - dalam akun manajemen organisasi.

Langkah 2: Menghapus peran terkait layanan

Di akun pemantauan, hapus peran AWSServiceRoleForCloudWatchCrossAccountterkait layananIAM.