교차 계정 교차 리전 CloudWatch 콘솔 - Amazon CloudWatch
교차 계정 교차 리전 기능 사용 설정(선택 사항) AWS Organizations와 통합문제 해결교차 계정 사용 후 사용 중지 및 정리

교차 계정 교차 리전 CloudWatch 콘솔

지표, 로그 및 추적에 대해 가장 풍부한 크로스 계정 관측성 및 검색 경험을 얻으려면 CloudWatch 크로스 계정 관측성을 사용하는 것이 좋습니다. 자세한 내용은 CloudWatch 크로스 계정 관측성 섹션을 참조하세요.

CloudWatch는 크로스 계정, 크로스 리전 CloudWatch 대시보드도 제공합니다. 이 기능은 대시보드, 경보, 지표 및 자동 대시보드에 대한 크로스 계정 가시성을 제공합니다. 로그나 추적에 대한 크로스 계정 가시성은 제공하지 않습니다.

CloudWatch 크로스 계정 관측성도 사용하는 경우 이 크로스 계정 CloudWatch 대시보드의 한 가지 사용 사례는 CloudWatch 크로스 계정 관측성 소스 계정 중 하나가 다른 소스 계정의 지표를 볼 수 있도록 하는 것입니다.

이 섹션의 나머지 부분에서는 크로스 계정, 크로스 리전 대시보드에 대해 설명합니다. 여러 AWS 계정 및 여러 AWS 리전의 CloudWatch 데이터를 단일 대시보드에 요약하는 대시보드를 생성할 수 있습니다. 또한 다른 계정에 있는 지표를 감시하는 경보를 한 계정에서 생성할 수도 있습니다.

많은 조직에서는 결제 및 보안 경계를 제공하기 위해 AWS 리소스를 여러 계정에 배포하고 있습니다. 이 경우 하나 이상의 사용자 계정을 모니터링 계정으로 지정하고 이러한 계정에 교차 계정 대시보드를 구축하는 것이 좋습니다.

교차 계정 기능이 AWS Organizations와 통합되어 교차 계정 대시보드를 효율적으로 구축할 수 있습니다.

크로스 리전 기능

이제 교차 리전 기능이 자동으로 기본 제공됩니다. 별도의 단계가 필요 없이 동일한 그래프나 동일한 대시보드에서 단일 계정으로 여러 리전의 지표를 표시할 수 있습니다. 경보에 대한 교차 리전 기능을 지원하지 않으므로 다른 리전의 지표를 감시하는 리전에서는 경보를 생성할 수 없습니다.

CloudWatch에서 교차 계정 기능 사용 설정

CloudWatch 콘솔에서 교차 계정 기능을 설정하려면 CloudWatch 콘솔을 사용하여 공유 계정 및 모니터링 계정을 설정합니다.

공유 계정 설정

모니터링 계정에서 데이터를 사용할 수 있도록 각 계정에서 공유를 활성화해야 합니다.

이렇게 하면 공유받는 계정의 사용자에게 해당 권한이 있는 경우 공유받는 계정의 교차 계정 대시보드를 보는 모든 사용자에게 5단계에서 선택한 읽기 전용 권한이 부여됩니다.

계정이 CloudWatch 데이터를 다른 계정과 공유할 수 있도록 하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. Share your CloudWatch data(CloudWatch 데이터 공유)에서 Configure(구성)를 선택합니다.

  4. 공유(Sharing)에서 특정 계정(Specific accounts)을 선택하고 데이터를 공유할 계정의 ID를 입력합니다.

    여기에서 지정되는 해당 계정은 공유하는 계정의 CloudWatch 데이터를 볼 수 있습니다. 알고 신뢰하는 계정의 ID만 지정합니다.

  5. 권한(Permissions)에 대해 다음 옵션 중 하나를 사용하여 데이터를 공유하는 방법을 지정합니다.

    • CloudWatch 지표, 대시보드 및 경보에 대한 읽기 전용 액세스 권한 제공(Provide read-only access to your CloudWatch metrics, dashboards, and alarms). 이 옵션을 사용하면 모니터링 계정이 계정의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다.

    • CloudWatch 자동 대시보드 포함(Include CloudWatch automatic dashboards). 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 자동 대시보드에서 정보를 볼 수도 있습니다. 자세한 내용은 Amazon CloudWatch 시작하기 섹션을 참조하세요.

    • X-Ray 트레이스 맵에 대한 X-Ray 읽기 전용 액세스를 포함합니다. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 X-Ray 트레이스 맵 및 X-Ray 트레이스 정보도 볼 수 있습니다. 자세한 내용은 X-Ray 트레이스 맵 사용을 참조하세요.

    • 사용자 계정의 모든 항목에 대한 전체 읽기 전용 액세스 권한(Full read-only access to everything in your account). 이 옵션을 사용하면 공유에 사용되는 계정이 계정의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다. 또한 이러한 계정에서 사용자 계정을 더 자세히 살펴보고 다른 AWS 서비스의 콘솔에서 사용자 계정의 데이터를 볼 수 있습니다.

  6. CloudFormation 템플릿 실행(Launch CloudFormation template)을 선택합니다.

    확인 화면에서 Confirm을 입력하고 템플릿 실행(Launch template)을 선택합니다.

  7. ...확인합니다.(I acknowledge...) 확인란을 선택하고 스택 생성(Create stack)을 선택합니다.

조직 전체와 공유

위의 절차를 완료하면 IAM 역할이 생성됩니다. 이 역할을 사용하여 계정이 하나의 계정과 데이터를 공유할 수 있습니다. 조직의 모든 계정과 데이터를 공유하는 IAM 역할을 생성하거나 편집할 수 있습니다. 조직의 모든 계정을 알고 신뢰하는 경우에만 이 작업을 수행하십시오.

이렇게 하면 공유받는 계정의 사용자에게 해당 권한이 있는 경우 공유받는 계정의 교차 계정 대시보드를 보는 모든 사용자에게 위 절차의 5단계에 나와 있는 정책에 나열된 읽기 전용 권한이 부여됩니다.

조직의 모든 계정과 CloudWatch 계정 데이터를 공유하려면

  1. 아직 수행하지 않은 경우 이전 절차를 완료하여 한 AWS 계정과 데이터를 공유하십시오.

  2. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  3. 탐색 창에서 역할을 선택합니다.

  4. 역할 목록에서 CloudWatch-CrossAccountSharingRole을 선택합니다.

  5. 신뢰 관계(Trust relationships), 신뢰 관계 편집(Edit trust relationship)을 차례대로 선택합니다.

    다음과 같은 정책이 표시됩니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. 정책을 다음과 같이 변경하여 org-id 를 조직의 ID로 바꿉니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. 신뢰 정책 업데이트를 선택합니다.

모니터링 계정 설정

교차 계정 CloudWatch 데이터를 보려는 경우 각 모니터링 계정을 사용 설정합니다.

다음 절차를 완료하면 CloudWatch는 다른 계정에서 공유한 데이터에 액세스하는 데 사용하는 모니터링 계정의 서비스 연결 역할을 생성합니다. 이 서비스 연결 역할을 AWSServiceRoleForCloudWatchCrossAccount라고 합니다. 자세한 내용은 CloudWatch에 서비스 연결 역할 사용 섹션을 참조하십시오.

계정이 교차 계정 CloudWatch 데이터를 볼 수 있도록 사용 설정하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정(Settings)을 선택한 다음 교차 계정 교차 리전(Cross-account cross-region) 섹션에서 구성(Configure)을 선택합니다.

  3. 교차 계정 교차 리전 보기(View cross-account cross-region) 섹션에서 사용 설정(Enable)을 선택한 다음 콘솔에 선택기 표시(Show selector in the console) 확인란을 선택하여 지표를 그래프로 표시하거나 경보를 생성할 때 CloudWatch 콘솔에 계정 선택기가 표시되도록 합니다.

  4. 교차 계정 교차 리전 보기(View cross-account cross-region)에서 다음 옵션 중 하나를 선택합니다.

    • 계정 ID 입력(Account Id Input). 이 옵션은 교차 계정 데이터를 볼 때 계정을 전환할 때마다 계정 ID를 수동으로 입력하라는 메시지를 표시합니다.

    • AWS Organization account selector. 이 옵션을 사용하면 Organizations와의 교차 계정 통합을 완료할 때 지정한 계정이 표시됩니다. 다음에 콘솔을 사용하면 CloudWatch는 교차 계정 데이터를 볼 때 선택할 수 있도록 이러한 계정의 드롭다운 목록을 표시합니다.

      이렇게 하려면 먼저, 조직 관리 계정을 사용하여 CloudWatch가 조직의 계정 목록을 확인할 수 있도록 해야 합니다. 자세한 내용은 (선택 사항) AWS Organizations와 통합 섹션을 참조하세요.

    • 사용자 지정 계정 선택기(Custom account selector). 이 옵션은 계정 ID 목록을 입력하라는 메시지를 표시합니다. 다음에 콘솔을 사용하면 CloudWatch는 교차 계정 데이터를 볼 때 선택할 수 있도록 이러한 계정의 드롭다운 목록을 표시합니다.

      또한 보려는 계정을 선택할 때 계정을 식별하는 데 도움이 되도록 각 계정에 대한 레이블을 입력할 수도 있습니다.

      여기서 사용자가 지정하는 계정 선택기 설정은 모니터링 계정의 다른 모든 사용자가 아니라 해당 사용자에 대해서만 유지됩니다.

  5. 사용(Enable)을 선택합니다.

이 설정을 완료한 후 교차 계정 대시보드를 생성할 수 있습니다. 자세한 내용은 교차 계정 교차 리전 대시보드 섹션을 참조하세요.

(선택 사항) AWS Organizations와 통합

교차 계정 기능을 AWS Organizations와 통합하려면 조직의 모든 계정 목록을 모니터링 계정에서 사용할 수 있도록 만들어야 합니다.

교차 계정 CloudWatch 기능을 사용 설정하여 조직의 모든 계정 목록에 액세스하려면

  1. 조직의 관리 계정에 로그인합니다.

  2. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  3. 탐색 창에서 설정(Settings)을 선택한 다음 구성(Configure)을 선택합니다.

  4. 조직의 계정 목록을 볼 수 있는 권한 부여(Grant permission to view the list of accounts in the organization)에 대해 특정 계정(Specific accounts)을 선택하여 계정 ID 목록을 입력하라는 메시지를 표시합니다. 조직의 계정 목록은 여기에서 지정한 계정과만 공유됩니다.

  5. 조직 계정 목록 공유(Share organization account list)를 선택합니다.

  6. CloudFormation 템플릿 실행(Launch CloudFormation template)을 선택합니다.

    확인 화면에서 Confirm을 입력하고 템플릿 실행(Launch template)을 선택합니다.

CloudWatch 교차 계정 설정 문제 해결

이 단원에는 CloudWatch의 교차 계정 콘솔 배포에 대한 문제 해결 팁이 포함되어 있습니다.

교차 계정 데이터를 표시하는 데 액세스 거부 오류가 발생했습니다.

다음을 확인하세요.

  • 모니터링 계정에는 AWSServiceRoleForCloudWatchCrossAccount라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 내용은 Set Up a Monitoring Account 섹션을 참조하세요.

  • 각 공유 계정에는 CloudWatch-CrossAccountSharingRole이라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 내용은 Set Up A Sharing Account 섹션을 참조하세요.

  • 공유 역할은 모니터링 계정을 신뢰해야 합니다.

CloudWatch 교차 계정 콘솔에 대해 역할이 올바르게 설정되었는지 확인하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 목록에서 필요한 역할이 있는지 확인합니다. 공유 계정에서 CloudWatch-CrossAccountSharingRole을 찾습니다. 모니터링 계정에서 AWSServiceRoleForCloudWatchCrossAccount를 찾습니다.

  4. 공유 계정에 CloudWatch-CrossAccountSharingRole이 이미 있는 경우 CloudWatch-CrossAccountSharingRole을 선택합니다.

  5. 신뢰 관계(Trust relationships), 신뢰 관계 편집(Edit trust relationship)을 차례대로 선택합니다.

  6. 정책에 모니터링 계정의 계정 ID 또는 모니터링 계정이 포함된 조직의 조직 ID가 나열되어 있는지 확인합니다.

콘솔에 계정 드롭다운이 표시되지 않음

먼저, 앞의 문제 해결 단원에서 설명한 대로 올바른 IAM 역할을 생성했는지 확인합니다. 이러한 항목이 올바르게 설정된 경우 Enable Your Account to View Cross-Account Data에 설명된 대로 이 계정에서 교차 계정 데이터를 볼 수 있도록 활성화해야 합니다.

교차 계정 사용 후 사용 중지 및 정리

CloudWatch에 대한 교차 계정 기능을 사용 중지하려면 다음 단계를 따릅니다.

1단계: 크로스 계정 스택 또는 역할 제거

가장 좋은 방법은 교차 계정 기능을 사용 설정하는 데 사용된 AWS CloudFormation 스택을 제거하는 것입니다.

  • 각 공유 계정에서 [CloudWatch-CrossAccountSharingRole] 스택을 제거합니다.

  • AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용 설정한 경우 조직의 관리 계정에서 [CloudWatch-CrossAccountListAccountsRole] 스택을 제거합니다.

교차 계정 기능을 사용 설정하는 데 AWS CloudFormation 스택을 사용하지 않은 경우 다음을 수행합니다.

  • 각 공유 계정에서 [CloudWatch-CrossAccountSharingRole] IAM 역할을 삭제합니다.

  • AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용 설정한 경우 조직의 관리 계정에서 [CloudWatch-CrossAccountSharing-ListAccountsRole] IAM 역할을 삭제합니다.

2단계: 서비스 연결 역할 제거

모니터링 계정에서 [AWSServiceRoleForCloudWatchCrossAccount] 서비스 연결 IAM 역할을 삭제합니다.