교차 계정 교차 리전 CloudWatch 콘솔 - Amazon CloudWatch

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 계정 교차 리전 CloudWatch 콘솔

추가할 수 있습니다.교차 계정기능을 CloudWatch 콘솔에 추가합니다. 이 기능은 다른 계정에서 로그인하고 로그아웃하지 않고도 대시보드, 경보, 지표 및 자동 대시보드에 대한 교차 계정 가시성을 제공합니다.

그런 다음 CloudWatch 데이터를 요약하는 대시보드를 생성할 수 있습니다.AWS계정 및 다중AWS단일 대시보드로 리전. 한 계정에서 다른 계정에 있는 지표를 감시하는 경보를 만들 수도 있습니다.

많은 조직에서는 결제 및 보안 경계를 제공하기 위해 AWS 리소스를 여러 계정에 배포하고 있습니다. 이 경우 하나 이상의 사용자 계정을 모니터링 계정으로 지정하고 이러한 계정에 교차 계정 대시보드를 구축하는 것이 좋습니다.

교차 계정 기능이 AWS Organizations와 통합되어 교차 계정 대시보드를 효율적으로 구축할 수 있습니다.

교차 리전 기능

이제 교차 리전 기능이 자동으로 기본 제공됩니다. 별도의 단계가 필요 없이 동일한 그래프나 동일한 대시보드에서 단일 계정으로 여러 리전의 지표를 표시할 수 있습니다.

CloudWatch 에서 교차 계정 기능 활성화

CloudWatch 콘솔에서 교차 계정 기능을 설정하려면 CloudWatch 콘솔을 사용하여 공유 계정과 모니터링 계정을 설정합니다.

공유 계정 설정

모니터링 계정에서 데이터를 사용할 수 있도록 각 계정에서 공유를 활성화해야 합니다.

이렇게 하면 공유 계정에서 교차 계정 대시보드를 보는 모든 사용자에게 5단계에서 선택한 읽기 전용 권한이 부여됩니다 (사용자가 공유하는 계정에 해당 권한이 있는 경우).

사용자 계정에서 CloudWatch 데이터를 다른 계정과 공유하도록 활성화하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택한 다음 구성을 선택합니다.

  3. 데이터 공유를 선택합니다.

  4. 공유에서 특정 계정을 선택하고 데이터를 공유할 계정의 ID를 입력합니다.

    여기에서 지정하는 모든 계정은 사용자 계정의 CloudWatch 데이터를 볼 수 있습니다. 알고 신뢰하는 계정의 ID만 지정합니다.

  5. 권한에 대해 다음 옵션 중 하나를 사용하여 데이터를 공유하는 방법을 지정합니다.

    • CloudWatch 지표, 대시보드 및 경보에 대한 읽기 전용 액세스 권한을 제공합니다.. 이 옵션을 사용하면 모니터링 계정에서 사용자의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다.

    • CloudWatch 자동 대시보드 포함. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 자동 대시보드에서 정보를 볼 수도 있습니다. 자세한 정보는 Amazon CloudWatch 시작하기을 참조하십시오.

    • ServiceLens 대한 X-Ray 읽기 전용 액세스 포함. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 ServiceLens 서비스 맵과 X-Ray 추적 정보도 볼 수 있습니다. 자세한 정보는 ServiceLens를 사용하여 애플리케이션의 상태 모니터링을 참조하십시오.

    • 사용자 계정의 모든 항목에 대한 전체 읽기 전용 액세스 권한. 이 옵션을 사용하면 공유에 사용하는 계정에서 사용자 계정의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다. 또한 이러한 계정에서 사용자 계정을 더 자세히 살펴보고 다른 AWS 서비스의 콘솔에서 사용자 계정의 데이터를 볼 수 있습니다.

  6. CloudFormation 템플릿 실행을 선택합니다.

    확인 화면에서 Confirm을 입력하고 템플릿 실행을 선택합니다.

  7. I acknowledge...(...확인합니다.) 확인란을 선택하고 Create stack(스택 생성)을 선택합니다.

전체 조직과 공유

위의 절차를 완료하면 사용자 계정에서 하나의 계정과 데이터를 공유할 수 있는 IAM 역할이 생성됩니다. 조직의 모든 계정과 데이터를 공유하는 IAM 역할을 생성하거나 편집할 수 있습니다. 조직의 모든 계정을 알고 신뢰하는 경우에만 이 작업을 수행하십시오.

이렇게 하면 공유 계정에서 교차 계정 대시보드를 보는 모든 사용자에게 이전 절차의 5단계에 표시된 정책에 나열된 읽기 전용 권한이 부여됩니다 (사용자에게 공유 대상 계정에 해당 권한이 있는 경우).

CloudWatch 계정 데이터를 조직의 모든 계정과 공유하려면

  1. 아직 수행하지 않은 경우 이전 절차를 완료하여 한 AWS 계정과 데이터를 공유하십시오.

  2. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  3. 탐색 창에서 역할을 선택합니다.

  4. 역할 목록에서 CloudWatch-CrossAccountSharingRole을 선택합니다.

  5. 신뢰 관계, 신뢰 관계 편집을 차례대로 선택합니다.

    다음과 같은 정책이 표시됩니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }
  6. 정책을 다음과 같이 변경하여 org-id 를 조직의 ID로 바꿉니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "org-id" } } } ] }
  7. 신뢰 정책 업데이트(Update Trust Policy)를 선택합니다.

모니터링 계정 설정

교차 계정 CloudWatch 데이터를 보려면 각 모니터링 계정을 활성화합니다.

다음 절차를 완료하면 CloudWatch 서비스 연결 역할을 생성하여 CloudWatch 계정에서 사용하여 다른 계정에서 공유된 데이터에 액세스합니다. 이 서비스 연결 역할을 AWSServiceRoleForCloudWatchCrossAccount라고 합니다. 자세한 내용은 CloudWatch 에 서비스 연결 역할 사용 섹션을 참조하세요.

사용자 계정에서 교차 계정 CloudWatch 데이터를 볼 수 있도록 활성화하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [] [] 를 선택합니다.설정을 선택한 다음교차 계정 교차 리전섹션에서 [] []구성.

  3. Select콘솔에 선택기 표시을 선택하여 지표를 그래프로 작성하거나 경보를 생성할 때 계정 선택기가 CloudWatch 콘솔에 표시되도록 할 수 있습니다.

  4. 교차 계정 교차 리전 보기에서 다음 옵션 중 하나를 선택합니다.

    • 계정 ID 입력. 이 옵션은 교차 계정 데이터를 볼 때 계정을 전환할 때마다 계정 ID를 수동으로 입력하라는 메시지를 표시합니다.

    • AWS조직 계정 선택기. 이 옵션을 사용하면 Organizations 과의 교차 계정 통합을 완료할 때 지정한 계정이 표시됩니다. 다음에 콘솔을 사용하면 CloudWatch 교차 계정 데이터를 볼 때 선택할 수 있는 이러한 계정의 드롭다운 목록이 CloudWatch 에 표시됩니다.

      이렇게 하려면 먼저 CloudWatch 조직의 계정 목록을 볼 수 있도록 조직 관리 계정을 사용해야 합니다. 자세한 정보는 (선택 사항) 와 통합AWS Organizations을 참조하십시오.

    • 사용자 지정 계정 선택기. 이 옵션은 계정 ID 목록을 입력하라는 메시지를 표시합니다. 다음에 콘솔을 사용하면 CloudWatch 교차 계정 데이터를 볼 때 선택할 수 있는 이러한 계정의 드롭다운 목록이 CloudWatch 에 표시됩니다.

      또한 보려는 계정을 선택할 때 계정을 식별하는 데 도움이 되도록 각 계정에 대한 레이블을 입력할 수도 있습니다.

      여기서 사용자가 지정하는 계정 선택기 설정은 모니터링 계정의 다른 모든 사용자가 아니라 해당 사용자에 대해서만 유지됩니다.

  5. [Enable]을 선택합니다.

이 설정을 완료한 후 교차 계정 대시보드를 생성할 수 있습니다. 자세한 정보는 교차 계정 교차 리전 대시보드을 참조하십시오.

(선택 사항) 와 통합AWS Organizations

교차 계정 기능을 AWS Organizations와 통합하려면 조직의 모든 계정 목록을 모니터링 계정에서 사용할 수 있도록 만들어야 합니다.

교차 계정 CloudWatch 기능을 사용하여 조직의 모든 계정 목록에 액세스하려면

  1. 조직의 관리 계정에 로그인합니다.

  2. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  3. 탐색 창에서 설정을 선택한 다음 구성을 선택합니다.

  4. 조직의 계정 목록을 볼 수 있는 권한 부여에 대해 특정 계정을선택하여 계정 ID 목록을 입력하라는 메시지를 표시합니다. 조직의 계정 목록은 여기에서 지정한 계정과만 공유됩니다.

  5. 조직 계정 목록 공유를 선택합니다.

  6. CloudFormation 템플릿 실행을 선택합니다.

    확인 화면에서 Confirm을 입력하고 템플릿 실행을 선택합니다.

CloudWatch 교차 계정 설정 문제 해결

이 섹션에는 CloudWatch 교차 계정 콘솔 배포에 대한 문제 해결 팁이 포함되어 있습니다.

교차 계정 데이터를 표시하는 데 액세스 거부 오류가 발생했습니다.

다음을 확인하십시오.

  • 모니터링 계정에는 AWSServiceRoleForCloudWatchCrossAccount라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 정보는 Set Up a Monitoring Account을 참조하십시오.

  • 각 공유 계정에는 CloudWatch-CrossAccountSharingRole이라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 정보는 Set Up A Sharing Account을 참조하십시오.

  • 공유 역할은 모니터링 계정을 신뢰해야 합니다.

CloudWatch 교차 계정 콘솔에 대해 역할이 올바르게 설정되어 있는지 확인하려면

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 목록에서 필요한 역할이 있는지 확인합니다. 공유 계정에서 CloudWatch-CrossAccountSharingRole을 찾습니다. 모니터링 계정에서 AWSServiceRoleForCloudWatchCrossAccount를 찾습니다.

  4. 공유 계정에 CloudWatch-CrossAccountSharingRole이 이미 있는 경우 CloudWatch-CrossAccountSharingRole을 선택합니다.

  5. 신뢰 관계, 신뢰 관계 편집을 차례대로 선택합니다.

  6. 정책에 모니터링 계정의 계정 ID 또는 모니터링 계정이 포함된 조직의 조직 ID가 나열되어 있는지 확인합니다.

콘솔에 계정 드롭다운이 표시되지 않습니다.

먼저 앞의 문제 해결 섹션에서 설명한 대로 올바른 IAM 역할을 생성했는지 확인합니다. 이러한 항목이 올바르게 설정된 경우 Enable Your Account to View Cross-Account Data에 설명된 대로 이 계정에서 교차 계정 데이터를 볼 수 있도록 활성화해야 합니다.

교차 계정 사용 후 사용 중지 및 정리

CloudWatch 교차 계정 기능을 비활성화하려면 다음 단계를 따르십시오.

단계 1: 교차 계정 스택 또는 역할 제거

가장 좋은 방법은AWS CloudFormation에서 교차 계정 기능을 활성화하는 데 사용된 스택이 있습니다.

  • 각 공유 계정에서CloudWatch 교차 계정 공유역할스택을 생성합니다.

  • 를 사용한 경우AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용하려면CloudWatch 교차 계정 목록계정 역할스택을 조직의 관리 계정에 추가합니다.

사용하지 않은 경우AWS CloudFormation스택을 사용하여 교차 계정 기능을 사용하려면 다음을 수행합니다.

  • 각 공유 계정에서CloudWatch 교차 계정 공유역할IAM 역할.

  • 를 사용한 경우AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용하려면클라우드워치-교차 계정 공유-목록 계정역할조직의 관리 계정의 IAM 역할입니다.

단계 2: 서비스 연결 역할 제거

모니터링 계정에서AWS서비스역할포클라우드워치크로스계정서비스 연결 IAM 역할을 수행합니다.