Console do CloudWatch entre contas e entre regiões - Amazon CloudWatch

Console do CloudWatch entre contas e entre regiões

Você pode adicionar a funcionalidade entre contas ao console do CloudWatch. Essa funcionalidade fornece visibilidade entre contas e painéis, alarmes, métricas e painéis automáticos sem precisar fazer login e sair das diferentes contas.

Depois, você pode criar painéis que resumem os dados do CloudWatch de várias contas da AWS e várias regiões da AWS em um único painel. Também é possível criar um alarme em uma conta que observe uma métrica localizada em uma conta diferente.

Muitas organizações têm seus recursos da AWS implantados em várias contas, para fornecer limites de faturamento e segurança. Nesse caso, recomendamos que você designe uma ou mais de suas contas como suas contas de monitoramento e crie seus painéis entre essas contas.

A funcionalidade entre contas é integrado com o AWS Organizations, para ajudá-lo a criar de forma eficiente seus painéis entre contas.

Funcionalidades entre regiões

A funcionalidade entre regiões agora é incorporada automaticamente. Você não precisa seguir nenhum passo adicional para poder exibir métricas de regiões diferentes em uma única conta no mesmo gráfico ou no mesmo painel.

Habilitar a funcionalidade entre contas no CloudWatch

Para configurar a funcionalidade entre contas no console do CloudWatch, use o console do CloudWatch para configurar suas contas de compartilhamento e contas de monitoramento.

Configurar uma conta de compartilhamento

Você deve habilitar o compartilhamento em cada conta que disponibilizará os dados para a conta de monitoramento.

Isso concederá as permissões somente para leitura escolhidas na etapa 5 a todos os usuários que visualizarem um painel entre contas na conta com a qual você compartilha, se o usuário tiver permissões correspondentes nessa conta.

Como permitir que sua conta compartilhe dados do CloudWatch com outras contas

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Settings (Configurações) e, depois, Configure (Configurar).

  3. Escolha Share data (Compartilhar dados).

  4. Em Sharing (Compartilhamento), escolha Specific accounts (Contas específicas) e insira os IDs das contas com as quais você deseja compartilhar dados.

    Todas as contas especificadas aqui poderão visualizar os dados do CloudWatch de sua conta. Especifique os IDs somente de contas que você conhece e nas quais confia.

  5. Em Permissions (Permissões), especifique como compartilhar seus dados com uma das seguintes opções:

    • Provide read-only access to your CloudWatch metrics, dashboards, and alarms (Fornecer acesso somente leitura a métricas, painéis e alarmes do CloudWatch). Essa opção permite que as contas de monitoramento criem painéis entre contas que incluam widgets com dados do CloudWatch a partir de sua conta.

    • Incluir painéis automáticos do CloudWatch. Se você selecionar essa opção, os usuários na conta de monitoramento também poderão exibir as informações nos painéis automáticos dessa conta. Para obter mais informações, consulte Conceitos básicos do Amazon CloudWatch.

    • Include X-Ray read-only access for ServiceLens (Incluir acesso somente para leitura do X-Ray para o ServiceLens). Se você selecionar essa opção, os usuários na conta de monitoramento também poderão exibir o mapa de serviço do ServiceLens e informações de rastreamento do X-Ray nessa conta. Para obter mais informações, consulte Usar o ServiceLens para monitorar a integridade das aplicações.

    • Full read-only access to everything in your account (Acesso total somente leitura a tudo o que estiver na sua conta. Essa opção permite que as contas usadas para compartilhamento criem painéis entre contas que incluam widgets com dados do CloudWatch de sua conta. Também permite que essas contas investiguem mais profundamente a sua conta e visualizem os dados da sua conta nos consoles de outros produtos da AWS.

  6. Escolha Launch CloudFormation template (Iniciar modelo CloudFormation).

    Na tela de confirmação, digite Confirm e escolha Launch template (Iniciar modelo).

  7. Marque a caixa de seleção I acknowledge... (Aceito...) e escolha Create stack (Criar pilha).

Compartilhar com uma organização inteira

Ao concluir o procedimento anterior, você cria uma função do IAM que permite que sua conta compartilhe dados com uma conta. Você pode criar ou editar uma função do IAM que compartilhe seus dados com todas as contas em uma organização. Faça isso somente se você conhece e confia em todas as contas da organização.

Isso concederá as permissões somente para leitura ouvidas pelas políticas exibidas na etapa 5 do procedimento anterior a todos os usuários que visualizarem um painel entre contas na conta com a qual você compartilha, se o usuário tiver permissões correspondentes nessa conta.

Como compartilhar os dados da conta do CloudWatch com todas as contas de uma organização

  1. Caso ainda não tenha feito isso, conclua o procedimento anterior para compartilhar seus dados com uma conta da AWS.

  2. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, selecione Roles.

  4. Na lista de funções, escolha CloudWatch-CrossAccountSharingRole.

  5. Escolha Trust relationships (Relacionamentos de confiança), Edit trust relationship (Editar relacionamento de confiança).

    A política é semelhante a esta:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] }
  6. Altere a política para o seguinte, substituindo org-id pelo ID da organização.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "org-id" } } } ] }
  7. Escolha Update Trust Policy.

Configurar uma conta de monitoramento

Habilite cada conta de monitoramento para exibir dados entre contas do CloudWatch.

Quando você concluir o procedimento a seguir, o CloudWatch criará uma função vinculada ao serviço que o CloudWatch usará na conta de monitoramento para acessar dados compartilhados de outras contas. Essa função vinculada ao serviço é chamada AWSServiceRoleForCloudWatchCrossAccount. Para obter mais informações, consulte Usar funções vinculadas ao serviço para o CloudWatch .

Como permitir que sua conta visualize dados entre contas do CloudWatch

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Settings (Configurações) e, na seção Cross-account cross-region (Contas cruzadas entre regiões), escolha Configure (Configurar).

  3. Selecione Show selector in the console (Exibir o seletor no console) para permitir que um seletor de conta seja visualizado no console do CloudWatch quando você estiver representando grafos de uma métrica ou criando um alarme.

  4. Em View cross-account cross-region (Exibir entre contas e entre regiões), escolha uma das seguintes opções:

    • Account Id Input (Entrada de ID da conta. Essa opção solicita que você insira manualmente um ID de conta sempre que deseja alternar contas ao exibir dados entre contas.

    • AWSAWS Organization account selector (Seletor de contas do AWS Organization). Essa opção faz com que as contas especificadas ao concluir a integração entre contas com o Organizations sejam exibidas. Na próxima vez em que você usar o console, o CloudWatch exibirá uma lista suspensa dessas contas para seleção quando estiver exibindo dados entre contas.

      Para fazer isso, você deve primeiro ter usado sua conta de gerencimaneto da organização a fim de permitir que o CloudWatch visualize uma lista de contas em sua organização. Para obter mais informações, consulte (Opcional) Integrar com o AWS Organizations.

    • Custom account selector (Seletor de contas personalizado. Essa opção solicita que você insira uma lista de IDs de contas. Na próxima vez em que você usar o console, o CloudWatch exibirá uma lista suspensa dessas contas para seleção quando estiver exibindo dados entre contas.

      Você também pode inserir um rótulo para cada uma dessas contas a fim de ajudá-lo a identificá-las ao escolher contas para exibição.

      As configurações do seletor de conta que um usuário faz aqui são mantidas somente para esse usuário, não para todos os outros usuários na conta de monitoramento.

  5. Escolha Enable (Habilitar).

Depois de concluir essa configuração, você poderá criar painéis entre contas. Para obter mais informações, consulte Painéis entre contas e entre regiões.

(Opcional) Integrar com o AWS Organizations

Se você quiser integrar a funcionalidade entre contas com o AWS Organizations, deverá disponibilizar uma lista de todas as contas da organização para as contas de monitoramento.

Como habilitar a funcionalidade do CloudWatch entre contas a fim de acessar uma lista de todas as contas de sua organização

  1. Faça login na conta de gerenciamento de sua organização.

  2. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  3. No painel de navegação, escolha Settings (Configurações) e, depois, Configure (Configurar).

  4. Em Grant permission to view the list of accounts in the organization (Conceder permissão para exibir a lista de contas da organização), escolha Specific accounts (Contas específicas) que deverão inserir uma lista de IDs de conta. A lista de contas da organização será compartilhada somente com as contas especificadas aqui.

  5. Escolha Share organization account list (Compartilhar lista de contas da organização).

  6. Escolha Launch CloudFormation template (Iniciar modelo CloudFormation).

    Na tela de confirmação, digite Confirm e escolha Launch template (Iniciar modelo).

Solucionar problemas de configuração entre contas do CloudWatch

Esta seção contém dicas de solução de problemas para implantação do console entre contas no CloudWatch.

Estou recebendo erros de acesso negado exibindo dados entre contas

Verifique o seguinte:

  • Sua conta de monitoramento deve ter uma função chamada AWSServiceRoleForCloudWatchCrossAccount. Caso contrário, você precisa criar essa função. Para obter mais informações, consulte Set Up a Monitoring Account.

  • Cada conta de compartilhamento deve ter uma função chamada CloudWatch-CrossAccountSharingRole. Caso contrário, você precisa criar essa função. Para obter mais informações, consulte Set Up A Sharing Account.

  • A função de compartilhamento deve confiar na conta de monitoramento.

Para confirmar se suas funções estão configuradas corretamente para o console entre contas do CloudWatch

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Na lista de funções, verifique se a função necessária existe. Em uma conta de compartilhamento, procure CloudWatch-CrossAccountSharingRole. Em uma conta de monitoramento, procure AWSServiceRoleForCloudWatchCrossAccount.

  4. Se você estiver em uma conta de compartilhamento e a CloudWatch-CrossAccountSharingRole já existir, escolha CloudWatch-CrossAccountSharingRole.

  5. Escolha Trust relationships (Relacionamentos de confiança), Edit trust relationship (Editar relacionamento de confiança).

  6. Confirme se a política lista o ID da conta de monitoramento ou o ID de uma organização que contenha a conta de monitoramento.

Não vejo uma lista suspensa de contas no console

Primeiro, verifique se você criou as funções do IAM corretas, conforme discutido na seção de solução de problemas anterior. Se elas estiverem configuradas corretamente, verifique se ativou essa conta para exibir dados entre contas, conforme descrito em Enable Your Account to View Cross-Account Data.

Desabilitar e limpar depois de usar contas cruzadas

Para desabilitar a funcionalidade de entre contas do CloudWatch, siga estas etapas.

Etapa 1: Remover as pilhas ou funções entre contas

O melhor método é remover as pilhas AWS CloudFormation que foram usadas para habilitar a funcionalidade entre contas.

  • Em cada uma das contas de compartilhamento, remova a pilha CloudWatch-CrossAccountSharingRole.

  • Se você usou o AWS Organizations para habilitar a funcionalidade entre contas em todas as contas de uma organização, remova a pilha CloudWatch-CrossAccountListAccountsRole da conta de gerenciamento da organização.

Se você não usou as pilhas do AWS CloudFormation para habilitar a funcionalidade entre contas, faça o seguinte:

  • Em cada uma das contas de compartilhamento, exclua a função do IAM CloudWatch-CrossAccountSharingRole.

  • Se você usou o AWS Organizations para habilitar a funcionalidade entre contas em todas as contas de uma organização, remova a função do IAM CloudWatch-CrossAccountSharing-ListAccountsRole da conta de gerenciamento da organização.

Etapa 2: Remover a função vinculada ao serviço

Na conta de monitoramento, exclua a função do IAM vinculada ao serviço AWSServiceRoleForCloudWatchCrossAccount.