モニターリングアカウントをソースアカウントにリンクする - Amazon CloudWatch

モニターリングアカウントをソースアカウントにリンクする

このセクションのトピックでは、モニターリングアカウントとソースアカウント間のリンクを設定する方法について説明します。

組織のモニターリングアカウントとして機能する新しい AWS アカウントを作成することをお勧めします。

必要なアクセス許可

リンクの作成に必要なアクセス許可

モニターリングアカウントとソースアカウント間のリンクを作成するには、特定のアクセス許可を使用してサインインする必要があります。

  • モニターリングアカウントを設定するには — モニターリングアカウントの完全な管理者アクセス権を持っているか、次のアクセス許可を使用してそのアカウントにサインインする必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSinkModification", "Effect": "Allow", "Action": [ "oam:CreateSink", "oam:DeleteSink", "oam:PutSinkPolicy", "oam:TagResource" ], "Resource": "*" }, { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": ["oam:Get*", "oam:List*"], "Resource": "*" } ] }
  • 特定のモニターリングアカウントにスコープされるソースアカウント — 指定した 1 つのモニターリングアカウントのみのリンクを作成、更新、管理するには、少なくとも次のアクセス許可を持つアカウントにサインインする必要があります。この例では、モニターリングアカウントは 999999999999 です。

    リンクが 5 つのリソースタイプ (メトリクス、ログ、トレース、Application Insights アプリケーション、Internet Monitor モニター) のいずれかを共有していない場合は、必要に応じて cloudwatch:Linklogs:Linkxray:Linkapplicationinsights:Link、または internetmonitor:Link を省略できます。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "oam:CreateLink", "oam:UpdateLink", "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:link/*" }, { "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:sink/*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "999999999999" ] } } }, { "Action": "oam:ListLinks", "Effect": "Allow", "Resource": "*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" } ] }
  • 任意のモニタリングアカウントにリンクできるアクセス許可を持つソースアカウント — 既存のモニタリングアカウントのシンクへのリンクを作成し、メトリクス、ロググループ、トレース、Application Insights アプリケーション、Internet Monitor モニターを共有するには、完全な管理者アクセス許可または次のアクセス許可で、ソースアカウントにサインインする必要があります。

    リンクが 5 つのリソースタイプ (メトリクス、ログ、トレース、Application Insights アプリケーション、Internet Monitor モニター) のいずれかを共有していない場合は、必要に応じて cloudwatch:Linklogs:Linkxray:Linkapplicationinsights:Link、または internetmonitor:Link を省略できます。

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] }, { "Effect": "Allow", "Action": [ "oam:List*", "oam:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" } ] }

アカウント間のモニタリングに必要なアクセス許可

リンクが作成された後に、モニタリング アカウントからソース アカウント情報を表示するには、次のいずれかのアカウントにログインする必要があります:

  • モニタリング アカウントでの管理者によるフルアクセス

  • モニタリングする特定のタイプのリソースを表示するためのアクセス許可に加えて、次のクロスアカウント アクセス許可が必要です。

    { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" }

設定の概要

次の大まかな手順では、CloudWatch のクロスアカウントオブザーバビリティを設定する方法を示します。

注記

組織のモニターリングアカウントとして使用する新しい AWS アカウントを作成することをお勧めします。

  1. 専用のモニターリングアカウントを設定します。

  2. (オプション) AWS CloudFormation テンプレートをダウンロードするか URL をコピーして、ソースアカウントをリンクします。

  3. ソースアカウントをモニターリングアカウントにリンクします。

これらの手順を完了すると、モニターリングアカウントを使用してソースアカウントのオブザーバビリティデータを表示できます。

ステップ1: モニターリングアカウントを設定する

このセクションの手順に従って、CloudWatch のクロスアカウントオブザーバビリティ用のモニターリングアカウントとして AWS アカウントを設定します。

前提条件
  • ソースアカウントとして AWS Organizations 組織内のアカウントを設定する場合 — 組織パスまたは組織 ID を取得します。

  • ソースアカウントに Organizations を使用していない場合 — ソースアカウントのアカウント ID を取得します。

アカウントをモニターリングアカウントとして設定するには、特定のアクセス許可が必要です。詳細については、「必要なアクセス許可」を参照してください。

モニターリングアカウントを設定するには
  1. モニターリングアカウントとして使用するアカウントにサインインします。

  2. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  3. 左のナビゲーションペインの [設定] を選択します。

  4. [Monitoring account configuration] (モニターリングアカウント設定) で、[Configure] (設定) を選択します。

  5. [データの選択] で、このモニタリングアカウントが、リンクされているソースアカウントからの [ログ][メトリクス][トレース][Application Insights - Applications][Internet Monitor - モニター] のデータを表示できるようにするかどうかを選択します。

  6. [List source accounts] (ソースアカウントを一覧表示) に、このモニターリングアカウントが表示するソースアカウントを入力します。ソースアカウントを特定するには、個々のアカウント ID、組織パス、または組織 ID を入力します。組織パスまたは組織 ID を入力すると、その組織内のすべてのリンクされたアカウントからのオブザーバビリティデータをモニターリングアカウントで表示できます。

    リストのエントリはカンマで区切ります。

    重要

    組織パスを入力するときは、正確な形式に従います。ou-id は / (スラッシュ文字) で終わる必要があります。例: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. [Define a label to identify your source account] (ラベルを定義してソースアカウント特定する) で、モニターリングアカウントを使用してソースアカウントを表示する際に、アカウント名またはメールアドレスのどちらを使用してソースアカウントを特定するかを指定します。

  8. [設定] を選択します。

重要

モニターリングアカウントとソースアカウント間のリンクは、ソースアカウントを設定するまで完了しません。詳細については、次のセクションを参照してください。

ステップ 2: (オプション) AWS CloudFormation テンプレートまたは URL をダウンロードする

ソースアカウントをモニターリングアカウントにリンクするには、AWS CloudFormation テンプレートまたは URL を使用することをお勧めします。

  • 組織全体をリンクする場合 — CloudWatch では、AWS CloudFormation テンプレートが提供されています。

  • 個々のアカウントをリンクする場合 — CloudWatch が提供する URL または AWS CloudFormation テンプレートを使用します。

AWS CloudFormation テンプレートを使用するには、次の手順でテンプレートをダウンロードする必要があります。モニターリングアカウントを少なくとも 1 つのソースアカウントにリンクすると、AWS CloudFormation テンプレートをダウンロードできなくなります。

AWS CloudFormation テンプレートをダウンロードまたは URL をコピーして、ソースアカウントをモニターリングアカウントにリンクするには
  1. モニターリングアカウントとして使用するアカウントにサインインします。

  2. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  3. 左のナビゲーションペインの [設定] を選択します。

  4. [Monitoring account configuration] (モニターリングアカウント設定) から、[Resources to link accounts] (アカウントをリンクするためのリソース) を選択します。

  5. 次のいずれかを行います。

    • [AWS 組織] を選択してテンプレートを入手し、組織内のアカウントをこのモニタリングアカウントにリンクするために使用します。

    • [Any account] (任意のアカウント) を選択して、個々のアカウントをソースアカウントとして設定するためのテンプレートまたは URL を入手します。

  6. 次のいずれかを行います。

    • [AWS 組織] を選択した場合は、[CloudFormation テンプレートをダウンロード] を選択します。

    • [Any account] (任意のアカウント) を選択した場合は、[Download CloudFormation template] (CloudFormation テンプレートのダウンロード) または [Copy URL] (URL のコピー) を選択します。

  7. (オプション) 5 から 6 の手順を繰り返し、AWS CloudFormation テンプレートと URL の両方をダウンロードします。

ステップ 3: ソースアカウントをリンクする

次のセクションの手順を使用して、ソースアカウントをモニターリングアカウントにリンクします。

モニターリングアカウントをソースアカウントにリンクするには、特定のアクセス許可が必要です。詳細については、「必要なアクセス許可」を参照してください。

AWS CloudFormation テンプレートを使用して、組織または組織単位内のすべてのアカウントをソースアカウントとして設定する

これらの手順は、ステップ 2: (オプション) AWS CloudFormation テンプレートまたは URL をダウンロードする の手順を実行し、必要な AWS CloudFormation テンプレートを既にダウンロードしていることを前提としています。

AWS CloudFormation テンプレートを使用して、組織または組織単位内のアカウントをモニターリングアカウントにリンクするには
  1. 組織のモニターリングアカウントにサインインします。

  2. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソール を開きます。

  3. 左のナビゲーションバーから [StackSets] を選択します。

  4. 目的のリージョンにサインインしていることを確認し、[Create StackSet] (StackSet の作成) を選択します。

  5. [Next] を選択します。

  6. [Template is ready] (テンプレートの準備完了) を選択し、[Upload a template file] (テンプレートファイルをアップロード) を選択します。

  7. [Choose file] (ファイルを選択) を選択し、モニターリングアカウントからダウンロードしたテンプレートを選択して、[Open] (開く) をクリックします。

  8. [Next] を選択します。

  9. [Specify StackSet details] (StackSet の詳細を指定) で、StackSet の名前を入力して [Next] (次へ) をクリックします。

  10. [Add stacks to stack set] (スタックセットにスタックを追加) で、[Deploy new stacks] (新しいスタックのデプロイ) を選択します。

  11. [Deployment targets] (デプロイターゲット) で、組織全体にデプロイするか、特定の組織単位にデプロイするかを選択します。

  12. [Specify regions] (リージョンを指定) で、CloudWatch のクロスアカウントオブザーバビリティをデプロイするリージョンを選択します。

  13. [Next] を選択します。

  14. [Review] (確認) ページで、選択内容を確認し [Submit] (送信) をクリックします。

  15. [Stack instances] (スタックインスタンス) タブで、スタックインスタンスのステータスが CREATE_COMPLETE になるまで画面を更新します。

AWS CloudFormation テンプレートを使用して個別のソースアカウントを設定する

これらの手順は、ステップ 2: (オプション) AWS CloudFormation テンプレートまたは URL をダウンロードする の手順を実行し、必要な AWS CloudFormation テンプレートを既にダウンロードしていることを前提としています。

AWS CloudFormation テンプレートを使用して、CloudWatch のクロスアカウントオブザーバビリティ用に個別のソースアカウントを設定するには
  1. ソースアカウントにサインインします。

  2. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソール を開きます。

  3. 左のナビゲーションバーで [Stacks] (スタック) を選択します。

  4. 目的のリージョンにログインしていることを確認し、[Create stack] (スタックの作成)、[With new resources (standard)] (新しいリソースを使用 (標準)) を選択します。

  5. [Next] を選択します。

  6. [Upload a template file(テンプレートファイルをアップロード)] を選択します。

  7. [Choose file] (ファイルを選択) を選択し、モニターリングアカウントからダウンロードしたテンプレートを選択して、[Open] (開く) をクリックします。

  8. [Next] を選択します。

  9. [Specify stack details] (スタックの詳細を指定) ページで、スタックの名前を入力して [Next] (次へ) をクリックします。

  10. [スタックオプションの設定] ページで、[次へ] を選択します。

  11. [Review] (確認) ページで [Submit] (送信) をクリックします。

  12. スタックのステータスのページで、ステータスが CREATE_COMPLETE になるまで画面を更新します。

  13. 同じテンプレートを使用して他のソースアカウントをこのモニターリングアカウントにリンクするには、このアカウントからサインアウトし、次のソースアカウントにサインインします。その後、2 から 12 の手順を繰り返します。

URL を使用して個別のソースアカウントを設定する

これらの手順は、ステップ 2: (オプション) AWS CloudFormation テンプレートまたは URL をダウンロードする の手順を実行し、必要な URL を既にコピーしていることを前提としています。

URL を使用して個々のソースアカウントをモニターリングアカウントにリンクするには
  1. ソースアカウントとして使用するアカウントにサインインします。

  2. モニターリングアカウントからコピーした URL を入力します。

    いくつかの情報が入力された CloudWatch の設定ページが表示されます。

  3. [データの選択] で、このソースアカウントが [ログ][メトリクス][トレース][Application Insights - Applications][Internet Monitor - モニター] のデータをモニタリングアカウントと共有するかどうかを選択します。

    [ログ][メトリクス] では、リソースの全部または一部をモニタリングアカウントと共有するかどうかを選択できます。

    1. (オプション) このアカウントのロググループのサブセットをモニタリングアカウントと共有するには、[ログ] を選択し、[ログのフィルタリング] を選択します。次に、[ログのフィルタリング] ボックスを使用して、共有するロググループを検索するクエリを作成します。そのクエリでは、条件 LogGroupName と次の 1 つ以上のオペランドを使用します。

      • = および !=

      • AND

      • OR

      • ^ は LIKE を示し、!^ は NOT LIKE を示します。どちらも、プレフィックス検索としてのみ使用できます。検索して見つかった文字列を含める場合は、その文字列の末尾に % を含めます。

      • INNOT IN 。括弧 (( )) を使用します。

      クエリ全体の文字数は 2,000 文字以内にする必要があり、指定できる条件オペランドは 5 つまでに制限されています。条件オペランドには、ANDOR があります。他のオペランドの数に上限はありません。

      ヒント

      [サンプルクエリを表示] を選択すると、よく使用されるクエリ形式に適した構文が表示されます。

    2. (オプション) このアカウントのメトリクス名前空間のサブセットをモニタリングアカウントと共有するには、[メトリクス] を選択し、[メトリクスのフィルタリング] を選択します。次に、[メトリクスのフィルタリング] ボックスを使用して、共有するメトリクス名前空間を検索するクエリを作成します。条件 Namespace と次の 1 つ以上のオペランドを使用します。

      • = および !=

      • AND

      • OR

      • LIKE および NOT LIKE。どちらも、プレフィックス検索としてのみ使用できます。検索して見つかった文字列を含める場合は、その文字列の末尾に % を含めます。

      • INNOT IN 。括弧 (( )) を使用します。

      クエリ全体の文字数は 2,000 文字以内にする必要があり、指定できる条件オペランドは 5 つまでに制限されています。条件オペランドには、ANDOR があります。他のオペランドの数に上限はありません。

    ヒント

    [サンプルクエリを表示] を選択すると、よく使用されるクエリ形式に適した構文が表示されます。

  4. [Enter monitoring account configuration ARN] (モニターリングアカウント設定 ARN を入力) で ARN を変更しないでください。

  5. [Define a label to identify your source account] (ラベルを定義してソースアカウントを特定する) セクションには、モニターリングアカウントで選択したラベルがあらかじめ入力されています。必要に応じて、[Edit] (編集) を選択し変更します。

  6. [Link (リンク)] を選択します。

  7. ボックスに「Confirm」と入力し、[Confirm] (確認) をクリックします。

  8. 同じ URL を使用して他のソースアカウントをこのモニターリングアカウントにリンクするには、このアカウントからサインアウトし、次のソースアカウントにログインします。その後、2 から 7 の手順を繰り返します。