Console per più account e più regioni CloudWatch - Amazon CloudWatch
Abilitazione della funzionalità su più account tra più regioni(Facoltativo) Effettua l'integrazione con AWS OrganizationsRisoluzione dei problemiDisabilitazione e pulizia dopo l'utilizzo di più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Console per più account e più regioni CloudWatch

Nota

Ti consigliamo di utilizzare l'osservabilità CloudWatch tra account per ottenere la più completa esperienza di osservabilità e scoperta tra account per le tue metriche, i log e le tracce all'interno di una regione. Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

La CloudWatch console multiaccount e interregionale ti consente di passare facilmente da un account all'altro e alla regione utilizzando i selettori nella console per visualizzare i dashboard, gli allarmi e le metriche di altri account e regioni. Questa funzionalità consente anche di creare dashboard per più account e più regioni che riepilogano le CloudWatch metriche di più AWS account e più regioni in un'unica dashboard, rendendole accessibili senza dover cambiare account o regione.

Molte organizzazioni hanno le proprie AWS risorse distribuite in più account, per fornire limiti di fatturazione e sicurezza. In questo caso, ti consigliamo di designare uno o più account come account di monitoraggio e di creare dashboard interregionali tra più account in tali account. La funzionalità della console per più account è integrata con AWS Organizations, per aiutarti a creare in modo efficiente i tuoi dashboard interregionali tra account.

L'esperienza di CloudWatch console tra account e aree geografiche non offre la visibilità dei log tra account e aree geografiche. Inoltre, non supporta la creazione di allarmi sulle metriche di altri account o regioni dall'interno di un account di monitoraggio.

Abilitazione della funzionalità interregionale tra account in CloudWatch

Per configurare la funzionalità interregionale tra account nella CloudWatch console, utilizza la CloudWatch console per configurare gli account di condivisione e gli account di monitoraggio.

Configurazione di un account di condivisione

È necessario abilitare la condivisione in ogni account che renderà i dati disponibili per l'account di monitoraggio.

In questo modo verranno concesse autorizzazioni di sola lettura che hai scelto nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per consentire al tuo account di condividere CloudWatch dati con altri account

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Per Condividi i tuoi CloudWatch dati, scegli Configura.

  4. In Sharing (Condivisione), scegliere Specific accounts (Account specifici) e immettere gli ID degli account di cui si desidera condividere i dati.

    Tutti gli account che specifichi qui possono visualizzare i CloudWatch dati del tuo account. Specificare gli ID solo degli account conosciuti e attendibili.

  5. Per Permissions (Autorizzazioni), specificare come condividere i dati con una delle seguenti opzioni:

    • Fornisci l'accesso in sola lettura a CloudWatch metriche, dashboard e allarmi. Questa opzione consente agli account di monitoraggio di creare dashboard per più account che includono widget contenenti i dati del tuo account. CloudWatch

    • Includi dashboard CloudWatch automatici. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare le informazioni nei pannelli di controllo automatici di questo account. Per ulteriori informazioni, consulta Guida introduttiva ad Amazon CloudWatch.

    • Include l'accesso in sola lettura a X-Ray per la mappa di tracciamento X-Ray. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la mappa del servizio X-Ray e le informazioni di traccia di X-Ray in questo account. Per ulteriori informazioni, consulta Uso della mappa del tracciamento X-Ray.

    • Full read-only access to everything in your account (Accesso completo in sola lettura a tutti di dati dell'account). Questa opzione consente agli account utilizzati per la condivisione di creare dashboard tra più account che includono widget contenenti CloudWatch i dati del tuo account. Consente inoltre a tali account di esaminare più a fondo l'account e visualizzarne i dati nelle console di altri servizi AWS .

  6. Scegli Launch template. CloudFormation

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

  7. Selezionare la casella di controllo I acknowledge... (Acconsento...) e scegliere Create stack (Crea stack).

Condivisione con un'intera organizzazione

Completando la procedura precedente viene creato un ruolo IAM che consente all'account di condividere i dati con un account. È possibile creare o modificare un ruolo IAM che condivide i dati con tutti gli account di un'organizzazione. Eseguire questa operazione solo se si conoscono e si considerano attendibili tutti gli account dell'organizzazione.

In questo modo verranno concesse autorizzazioni di sola lettura elencate nelle policy mostrate nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per condividere i dati CloudWatch del tuo account con tutti gli account di un'organizzazione

  1. Se non l'hai già fatto, completa la procedura precedente per condividere i dati con un solo AWS account.

  2. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  3. Nel riquadro di navigazione, seleziona Ruoli.

  4. Nell'elenco dei ruoli, scegli CloudWatch- CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

    Viene visualizzata una policy come questa:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Modificare la policy nel modo seguente, sostituendo org-id con l'ID dell'organizzazione.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Scegli Update Trust Policy (Aggiorna policy di trust).

Configurazione di un account di monitoraggio

Abilita ogni account di monitoraggio se desideri visualizzare i CloudWatch dati di più account.

Una volta completata la procedura seguente, CloudWatch crea un ruolo collegato al servizio da CloudWatch utilizzare nell'account di monitoraggio per accedere ai dati condivisi dagli altri account. Questo ruolo collegato al servizio viene chiamato. AWSServiceRoleForCloudWatchCrossAccount Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per CloudWatch.

Per consentire al tuo account di visualizzare i dati di più account CloudWatch

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Settings (Impostazioni), quindi nella sezione Cross-account cross-region (Su più account tra più regioni), scegli Configure (Configura).

  3. Nella sezione Visualizza tra più account interregionali, scegli Abilita, quindi seleziona la casella di controllo Mostra selettore nella console per consentire la visualizzazione di un selettore di account nella CloudWatch console quando rappresenti graficamente una metrica o crei un allarme.

  4. In View cross-account cross-region (Visualizzazione su più account tra più regioni), scegliere una delle seguenti opzioni:

    • Account Id Input (Input ID account). Questa opzione richiede di immettere manualmente un ID account ogni volta che si desidera passare a un altro account quando si visualizzano i dati su più account.

    • AWS Selettore dell'account dell'organizzazione. Questa opzione fa sì che vengano visualizzati gli account specificati al termine dell'integrazione su più account con Organizations visualizzato. La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account.

      A tale scopo, è necessario aver prima utilizzato l'account di gestione dell'organizzazione CloudWatch per consentire la visualizzazione di un elenco degli account dell'organizzazione. Per ulteriori informazioni, consulta (Facoltativo) Effettua l'integrazione con AWS Organizations.

    • Custom account selector (Selettore account personalizzato). Questa opzione richiede di immettere un elenco di ID account. La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account.

      È anche possibile immettere un'etichetta per ciascuno di questi account per identificarli quando si scelgono gli account da visualizzare.

      Le impostazioni del selettore account effettuate qui da un utente vengono mantenute solo per tale utente, non per tutti gli altri utenti nell'account di monitoraggio.

  5. Scegli Abilita .

Dopo aver completato questa configurazione, è possibile creare pannelli di controllo su più account. Per ulteriori informazioni, consulta Pannelli di controllo su più account tra più regioni.

Funzionalità tra più regioni

La funzionalità interregionale è integrata automaticamente in questa funzionalità. Non è necessario eseguire alcuna procedura aggiuntiva per poter visualizzare i parametri di diverse regioni in un singolo account sullo stesso grafico o sullo stesso pannello di controllo. La funzionalità tra regioni non è supportata per gli allarmi, quindi non è possibile creare un allarme in una regione che osserva un parametro in un'altra regione.

(Facoltativo) Effettua l'integrazione con AWS Organizations

Se si desidera integrare la funzionalità tra account AWS Organizations, è necessario creare un elenco di tutti gli account dell'organizzazione a disposizione degli account di monitoraggio.

Per abilitare la CloudWatch funzionalità tra account per accedere a un elenco di tutti gli account dell'organizzazione

  1. Accedi all'account di gestione della tua organizzazione.

  2. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel riquadro di spostamento scegliere Settings (Impostazioni), quindi scegliere Configure (Configura).

  4. Per Grant permission to view the list of accounts in the organization (Concedi l'autorizzazione a visualizzare l'elenco degli account nell'organizzazione), scegliere Specific accounts (Account specifici) per inserire un elenco di ID account. L'elenco degli account nell'organizzazione viene condiviso solo con gli account specificati qui.

  5. Scegliere Share organization account list (Condividi elenco account organizzazione).

  6. Scegli Launch CloudFormation template.

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

Risoluzione dei problemi relativi alla CloudWatch configurazione di più account

Questa sezione contiene suggerimenti per la risoluzione dei problemi relativi alla distribuzione tra account e console in. CloudWatch

Sto ricevendo errori di accesso negato di visualizzazioni di dati su più account

Verifica quanto segue:

  • Il tuo account di monitoraggio dovrebbe avere un ruolo denominato AWSServiceRoleForCloudWatchCrossAccount. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta Set Up a Monitoring Account.

  • Ogni account di condivisione deve avere un ruolo denominato CloudWatch- CrossAccountSharingRole. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta la pagina Set Up A Sharing Account.

  • Il ruolo di condivisione deve considerare attendibile l'account di monitoraggio.

Per confermare che i ruoli siano configurati correttamente per la console con CloudWatch più account

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco dei ruoli, assicurarsi che esista il ruolo necessario. In un account di condivisione, cerca CloudWatch- CrossAccountSharingRole. In un account di monitoraggio, cerca AWSServiceRoleForCloudWatchCrossAccount.

  4. Se hai un account di condivisione e CloudWatch- esiste CrossAccountSharingRole già, scegli CloudWatch- CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

  6. Verificare che nella policy sia elencato l'ID dell'account di monitoraggio o l'ID di un'organizzazione contenente l'account di monitoraggio.

Non viene visualizzato un elenco a discesa degli account nella console

Innanzitutto, verificare di aver creato i ruoli IAM corretti, come illustrato nella sezione relativa alla risoluzione dei problemi precedente. Se questi sono impostati correttamente, assicurarsi di aver abilitato l'account per visualizzare i dati su più account, come descritto in Enable Your Account to View Cross-Account Data.

Disabilitazione e pulizia dopo l'utilizzo di più account

Per disabilitare la funzionalità su più account per CloudWatch, segui questi passaggi.

Passaggio 1: rimuovere gli stack o i ruoli di più account

Il metodo migliore consiste nel rimuovere gli AWS CloudFormation stack utilizzati per abilitare la funzionalità tra più account.

  • In ciascuno degli account di condivisione, rimuovi lo stack CloudWatch- CrossAccountSharingRole.

  • Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, rimuovi lo CrossAccountListAccountsRole stack CloudWatch- nell'account di gestione dell'organizzazione.

Se non hai utilizzato gli AWS CloudFormation stack per abilitare la funzionalità tra più account, procedi come segue:

  • In ciascuno degli account di condivisione, elimina il ruolo CloudWatch- CrossAccountSharingRole IAM.

  • Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, elimina il ruolo CloudWatch- CrossAccountSharing - ListAccountsRole IAM nell'account di gestione dell'organizzazione.

Passaggio 2: rimuovere il ruolo collegato ai servizi

Nell'account di monitoraggio, elimina il ruolo IAM AWSServiceRoleForCloudWatchCrossAccountcollegato al servizio.