跨帳戶跨 CloudWatch 區域主控台 - Amazon CloudWatch
啟用跨帳戶跨區域功能(選擇性) 整合 AWS Organizations故障診斷使用跨帳戶後停用和清除

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶跨 CloudWatch 區域主控台

注意

我們建議您使用 CloudWatch 跨帳戶觀察能力,為區域內的指標、日誌和追蹤取得最豐富的跨帳戶觀察性和探索體驗。如需詳細資訊,請參閱 CloudWatch 跨帳戶可觀察性

跨帳戶的跨區域 CloudWatch 主控台可讓您使用主控台中的選取器來檢視其他帳戶和區域中的儀表板、警示和指標,輕鬆在不同的帳戶和區域之間切換。此功能還允許您創建跨帳戶的跨區域儀表板,將來自多個 AWS 帳戶和多個區域的 CloudWatch 指標摘要到單一儀表板中,使其無需切換帳戶或區域即可訪問。

許多組織都將其 AWS 資源部署在多個帳戶中,以提供計費和安全性限制。在這種情況下,我們建議您指定一或多個帳戶作為監控帳戶,並在這些帳戶中建立跨帳戶跨區域儀表板。整合了跨帳戶跨區域主控台功能 AWS Organizations,可協助您有效率地建置跨帳戶跨區域儀表板。

跨帳戶、跨區域 CloudWatch 主控台體驗無法提供跨帳戶跨區域的記錄能見度。此外,它不支援在監控帳戶內針對其他帳戶或區域中的指標建立警示。

啟用跨帳戶跨區域功能 CloudWatch

若要在 CloudWatch 主控台中設定跨帳戶跨區域功能,請使用 CloudWatch 主控台來設定共用帳戶和監控帳戶。

設定共用帳戶

您必須在每個帳戶中啟用共用,讓資料可供監控帳戶使用。

這會將您在步驟 5 中選擇的唯讀許可授予所有在您共用的帳戶中檢視跨帳戶儀表板的使用者,如果使用者在您共用的帳戶中擁有對應的許可。

讓您的帳戶能夠與其他帳戶共用 CloudWatch 資料

  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇設定

  3. 針對 [共用您的 CloudWatch 資料] 選擇 [設定]。

  4. Sharing (共用) 中,選擇 Specific accounts (特定帳戶),然後輸入您要共用資料之帳戶 ID。

    您在此處指定的任何帳戶都可以檢視您帳戶的 CloudWatch 資料。僅指定您知道且信任的帳戶 ID。

  5. Permissions (權限),請指定如何使用下列其中一個選項以共用您的資料:

    • 提供 CloudWatch 指標、儀表板和警示的唯讀存取權。此選項使監控帳戶能夠創建跨帳戶儀表板,其中包含包含來自您帳戶的 CloudWatch 數據的小部件。

    • 包括 CloudWatch 自動儀表板。如果您選取此選項,監控帳戶中的使用者也可以檢視此帳戶自動儀表板中的資訊。如需詳細資訊,請參閱 開始使用 Amazon CloudWatch

    • 包含 X-Ray 追蹤地圖的 X-Ray 唯讀存取權。如果您選取此選項,監控帳戶中的使用者也可以檢視此帳戶中的 X-Ray 追蹤地圖和 X-Ray 追蹤資訊。如需詳細資訊,請參閱使用 X-Ray 追蹤地圖

    • 完整唯讀存取您帳戶中的所有內容。此選項可讓您用於共用的帳戶建立跨帳戶儀表板,其中包含包含來自您帳戶 CloudWatch 資料的 Widget。它也可以讓這些帳戶更深入地查看您的帳戶,並在其他 AWS 服務的主控台中檢視您帳戶的資料。

  6. 選擇 [啟動 CloudFormation 範本]。

    在確認畫面中輸入 Confirm,並選擇 Launch template (啟動範本)

  7. 選取 I acknowledge... (我知道...) 核取方塊,然後選擇 Create stack (建立堆疊)

與整個組織共用

完成前述程序會建立一個 IAM 角色,讓您的帳戶能夠與一個帳戶共用資料。您可以建立或編輯與組織中所有帳戶共用資料的 IAM 角色。請在您知道並信任組織中的所有帳戶時,才執行這項操作。

這會將先前程序的步驟 5 中所示政策中列出的唯讀許可授予所有在您共用的帳戶中檢視跨帳戶儀表板的使用者,如果使用者在您共用的帳戶中擁有對應的許可。

與組織中的所有 CloudWatch 帳戶共用您的帳戶資料

  1. 如果您尚未完成,請完成上述程序,以便與一個 AWS 帳戶共用您的資料。

  2. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  3. 在導覽窗格中,選擇角色

  4. 在角色清單中,選擇 CloudWatch-CrossAccountSharingRole

  5. 選擇 Trust relationships (信任關係)Edit trust relationship (編輯信任關係)

    您會看到以下政策:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. 將該政策變更為下列內容,以您組織的 ID 取代 org-id

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. 選擇 Update Trust Policy (更新信任政策)。

設定監控帳戶

如果要查看跨帳戶 CloudWatch 數據,請啟用每個監控帳戶。

當您完成下列程序時, CloudWatch 會建立服務連結角色,該角色會在監控帳戶中 CloudWatch 使用該角色來存取從其他帳戶共用的資料。此服務連結角色稱AWSServiceRoleForCloudWatchCrossAccount為。如需詳細資訊,請參閱使用 CloudWatch 的服務連結角色

讓您的帳戶能夠檢視跨帳戶資 CloudWatch 料

  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Settings (設定),然後在 Cross-account cross-region (跨帳戶跨區域) 區段中,選擇 Configure (設定)。

  3. 在 [檢視跨帳戶跨區域] 區段下,選擇 [啟用],然後選取 [在主控台中顯示選取器] 核取方塊,以便在繪製指標或建立警示時,帳戶選擇器顯示在 CloudWatch 主控台中。

  4. View cross-account cross-region (檢視跨帳戶跨區域) 下,選擇下列其中一個選項:

    • Account Id Input (帳戶 ID 輸入)。此選項會在您每次檢視跨帳戶資料,並想切換帳戶時,提示您手動輸入帳戶 ID。

    • AWS 組織帳戶選取器。此選項會導致帳戶出現 (此帳戶是當您完成跨帳戶與 Organizations 的整合時所指定的帳戶)。下次使用主控台時, CloudWatch會顯示這些帳戶的下拉式清單,供您在檢視跨帳戶資料時進行選取。

      若要這麼做,您必須先使用組織管理帳戶,才能 CloudWatch 查看組織中的帳戶清單。如需詳細資訊,請參閱 (選擇性) 整合 AWS Organizations

    • Custom account selector (自訂帳戶選擇器)。此選項會提示您輸入帳戶 ID 清單。下次使用主控台時, CloudWatch 會顯示這些帳戶的下拉式清單,供您在檢視跨帳戶資料時進行選取。

      您也可以為這些帳戶個別輸入標籤,以協助您在選擇要檢視的帳戶時識別這些帳戶。

      使用者在此處進行的帳戶選擇器設定只會保留供該使用者使用,不適用於監控帳戶中的所有其他使用者。

  5. 選擇 啟用

完成此設定之後,您可以建立跨帳戶儀表板。如需詳細資訊,請參閱 跨帳戶跨區域儀表板

跨區域功能

此功能會自動內建跨區域功能。您不需要執行任何額外的步驟,就能在同一個圖形或同一個儀表板上顯示單一帳戶中來自不同區域的指標。警示不支援跨區域功能,因此您無法在一個觀察不同區域指標的區域中建立警示。

(選擇性) 整合 AWS Organizations

如果要將跨帳戶功能與整合 AWS Organizations,則必須列出組織中所有可供監視帳戶使用的帳戶清單。

若要啟用跨帳戶 CloudWatch 功能,以存取組織中所有帳戶的清單

  1. 登入您組織的管理帳戶。

  2. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  3. 在導覽窗格中,選擇 Settings (設定),然後選擇 Configure (配置)

  4. Grant permission to view the list of accounts in the organization (授與檢視組織中帳戶清單權限) 中,請選擇要提示輸入帳戶 ID 清單的 Specific accounts (特定帳戶)。組織中的帳戶清單只會與您在此處指定的帳戶共用。

  5. 選擇 Share organization account list (共用組織帳戶清單)

  6. 選擇 [啟動 CloudFormation 範本]。

    在確認畫面中輸入 Confirm,並選擇 Launch template (啟動範本)

CloudWatch 跨帳戶設定疑難排解

本節包含中 CloudWatch跨帳戶、主控台部署的疑難排解秘訣。

我收到顯示跨帳戶資料的存取被拒錯誤

請檢查以下內容:

  • 您的監控帳戶應具有名為的角色AWSServiceRoleForCloudWatchCrossAccount。如果沒有,則需要建立該角色。如需詳細資訊,請參閱 Set Up a Monitoring Account

  • 每個共享帳戶都應該有一個名為 CloudWatch- 的角色CrossAccountSharingRole。如果沒有,則需要建立該角色。如需詳細資訊,請參閱 Set Up A Sharing Account

  • 該共用角色必須信任監控帳戶。

確認您的角色已正確設定 CloudWatch 跨帳戶主控台

  1. 登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇角色

  3. 在角色清單中,確定所需的角色存在。在共享帳戶中,尋找 CloudWatch-CrossAccountSharingRole。在監控帳戶中,尋找AWSServiceRoleForCloudWatchCrossAccount

  4. 如果您在共用帳戶中且CloudWatchCrossAccountSharingRole已存在,請選擇 CloudWatch-CrossAccountSharingRole

  5. 選擇 Trust relationships (信任關係)Edit trust relationship (編輯信任關係)

  6. 確認政策會列出監控帳戶的帳戶 ID,或包含監控帳戶之組織的組織 ID。

我在主控台中看不到帳戶的下拉式清單

首先,請檢查您是否已建立正確的 IAM 角色,如前述故障診斷一節中所述。如果設定正確,請確定您已啟用此帳戶以檢視跨帳戶資料,如 Enable Your Account to View Cross-Account Data 中所述。

使用跨帳戶後停用和清除

若要停用的跨帳戶功能 CloudWatch,請依照下列步驟執行。

步驟 1:移除跨帳戶堆疊或角色

最好的方法是移除用來啟用跨帳戶功能的 AWS CloudFormation 堆疊。

  • 在每個共用帳戶中,移除 CloudWatch-CrossAccountSharingRole 堆疊。

  • 如果您曾經針 AWS Organizations 對組織中的所有帳戶啟用跨帳戶功能,請移除組織管理帳戶中的 CloudWatch-CrossAccountListAccountsRole 堆疊。

如果您未使用 AWS CloudFormation 堆疊來啟用跨帳戶功能,請執行下列動作:

  • 在每個共用帳戶中,刪除 CloudWatch-CrossAccountSharingRole IAM 角色。

  • 如果您曾經針 AWS Organizations 對組織中的所有帳戶啟用跨帳戶功能,請刪除組織管理帳戶中的 CloudWatchCrossAccountSharing--ListAccountsRole IAM 角色。

步驟 2:移除服務連結角色

在監控帳戶中,刪除AWSServiceRoleForCloudWatchCrossAccount服務連結的 IAM 角色。