開啟遙測稽核 - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開啟遙測稽核

使用 CloudWatch 主控台為您的 AWS 帳戶 或組織設定遙測。對於組織,CloudWatch 會使用管理帳戶或委派管理員帳戶來探索 AWS 資源,並為組織中的所有成員帳戶設定遙測。

遙測組態會保持作用中狀態,直到您將其關閉為止。如需詳細資訊,請參閱關閉 CloudWatch 遙測組態

建立遙測組態

設定遙測集合以監控您的 AWS 資源。

先決條件

  • 您有設定 CloudWatch 遙測的許可

  • 您已識別要監控 AWS 的資源

建立遙測組態
  1. 開啟 AWS Management Console。

  2. 在導覽窗格中,選擇 CloudWatch,然後選擇遙測組態

  3. 選擇設定遙測

  4. 指定範圍頁面上:

    1. 選擇組態的範圍 (帳戶或組織)。

    2. (選用) 將標籤新增至您的組態。

  5. 選擇下一步

  6. 指定遙測目的地頁面上:

    1. 為您的遙測資料選擇目的地 (例如 CloudWatch Logs)。

    2. 輸入日誌群組名稱的字首。

    3. (選用) 設定其他設定:

      • 啟用評估指標

      • 設定範例百分比

    4. 選擇資料識別符以遮罩敏感資訊。

  7. 選擇下一步

  8. 檢閱您的組態設定。

  9. 選擇建立遙測組態

完成這些步驟後,CloudWatch 會根據您的組態開始收集遙測。

為您的組織設定遙測

若要為您的組織設定遙測,您必須使用管理帳戶或委派管理員帳戶。CloudWatch 使用此帳戶來探索組織 AWS 的資源並設定其遙測。

您必須先啟用 AWS Organizations 和 CloudWatch 之間的受信任存取,才能為組織設定遙測。當您啟用受信任存取時,CloudWatch 會建立名為 AWSServiceRoleForObservabilityAdmin 的服務連結角色,以支援組織的資源和遙測組態探索。角色會在組織的所有成員帳戶中建立。如需服務連結角色的詳細資訊,請參閱CloudWatch 遙測組態的服務連結角色許可。如需詳細資訊 AWS Organizations,請參閱 AWS Organizations 《 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations

若要使用具有遙測組態的管理帳戶,請使用 帳戶登入,啟用信任的存取,然後設定遙測。如需詳細資訊,請參閱為您的組織設定遙測

為您的組織設定遙測
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽痛苦中,選擇設定

  3. 選擇組織索引標籤。

  4. CloudWatch 設定頁面的組織設定管理窗格中,選擇啟用信任的存取啟用受信任存取頁面隨即出現。

    若要檢閱角色政策,請選擇檢視許可詳細資訊,角色政策會出現在視窗中。選擇啟用受信任存取,確認您想要將這些許可提供給管理帳戶。

  5. 管理設定下,在 CloudWatch Telemetry 組態窗格中,選擇開啟

  6. 為組織開啟 Telemtry 組態後,會出現通知。在通知上,選擇移至遙測組態。此時會顯示遙測組態頁面CloudWatch 會開始探索組織中 AWS 的資源。當 CloudWatch 探索資源時,它會更新遙測組態頁面上的資訊。

    注意

    資源出現在遙測組態頁面上之前的時間延遲取決於您組織或帳戶中的成員帳戶和資源數量。

為您的組織註冊委派管理員帳戶

委派管理員帳戶是共用管理員存取權以取得服務受管許可的成員帳戶。您註冊為委派管理員的帳戶必須位於您的組織中。組織的委派管理員帳戶可以在 CloudWatch 之外使用,因此請務必先了解此帳戶類型,再遵循此程序。如需詳細資訊,請參閱 AWS Organizations 《 使用者指南》中的 Amazon CloudWatch 和 AWS Organizations

若要移除或變更委派管理員帳戶,請先取消註冊帳戶。如需詳細資訊,請參閱取消註冊委派管理員帳戶

註冊委派管理員帳戶
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇 Settings (設定)。

  3. 選擇組織索引標籤。

  4. 組織設定管理窗格中,選擇註冊委派管理員

  5. 註冊委派管理員對話方塊中,針對委派管理員帳戶 ID,輸入組織成員帳戶的 12 位數帳戶 ID。

  6. 選擇 Register delegated administrator (註冊委派管理員)。在 CloudWatch 查看頁面頂端,會顯示訊息,指出帳戶已成功註冊。若要查看委派管理員帳戶的相關資訊,請選取委派管理員下方的號碼。

為您的組織設定遙測

設定 的遙測 AWS Organizations ,以監控所有成員帳戶中 AWS 資源的遙測。這也會設定個別帳戶的遙測。您也可以為您的帳戶設定遙測。如需詳細資訊,請參閱為您的帳戶設定遙測

您可以停用所有成員帳戶的受信任存取。如需詳細資訊,請參閱關閉 的受信任存取 AWS Organizations

為您的組織設定遙測
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇遙測組態

  3. 選擇設定,然後選擇組織索引標籤。遙測組態概觀頁面隨即出現,CloudWatch 會開始探索組織中 AWS 的資源。當 CloudWatch 探索資源時,它會更新概觀頁面中的資訊。

    注意

    資源出現在概觀頁面上之前的延遲取決於組織中的成員帳戶和資源數量。

為您的帳戶設定遙測

為您的 設定遙測 AWS 帳戶 ,以監控該帳戶中 AWS 資源的遙測。如果您在 中有組織 AWS Organizations,請改為為您的組織設定遙測。如需詳細資訊,請參閱為您的組織設定遙測

為您的 設定遙測 AWS 帳戶
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇遙測組態

  3. 如果您使用管理帳戶或委派管理員帳戶,請選擇設定,然後選擇帳戶。遙測組態概觀頁面隨即出現,CloudWatch 會開始探索您帳戶中 AWS 的資源。當 CloudWatch 探索資源時,它會更新概觀頁面上的資訊。

    注意

    資源出現在概觀頁面上之前的延遲取決於您帳戶中的資源數量。

啟用 資源的遙測

為您的帳戶或組織設定遙測之後,您可以針對特定 AWS 資源啟用遙測收集。

先決條件

  • 您已完成初始遙測組態

  • 您已識別要監控的特定資源

啟用 資源的遙測
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇遙測組態

  3. 選擇啟用遙測

  4. 選取資源頁面上:

    1. 選擇您要監控的資源類型 (例如,Amazon EC2、Lambda、Amazon VPC)。

    2. (選用) 使用篩選條件縮小顯示的資源範圍。

  5. 選擇下一步

  6. 設定資料事件頁面上:

    1. 針對每個資源類型,選取您要收集的資料事件。

    2. (選用) 檢閱現有的線索,以避免重複記錄。

  7. 選擇下一步

  8. 設定取樣率頁面上:

    1. 使用滑桿或輸入百分比來設定取樣率。

    2. (選用) 視需要調整個別資源類型的速率。

  9. 檢閱您的設定。

  10. 選擇啟用遙測

完成這些步驟後,CloudWatch 會開始收集所選資源的遙測。

取消註冊委派管理員帳戶

關閉 的受信任存取之前,請先取消註冊委派管理員帳戶 AWS Organizations。如果委派管理員帳戶不再具有遙測組態的適當 AWS 資源存取權,或選擇不同的成員帳戶做為委派管理員,您也可以取消註冊委派管理員帳戶。此帳戶將無法執行 的帳戶管理任務 AWS Organizations。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的 Amazon CloudWatch 和 AWS Organizations

取消註冊委派管理員帳戶
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇 Settings (設定)。

  3. 組織索引標籤上,選擇取消註冊

  4. 取消註冊委派管理員頁面上,選擇取消註冊

若要將帳戶註冊為委派管理員,請參閱 為您的組織註冊委派管理員帳戶

關閉 的受信任存取 AWS Organizations

受信任的存取會將 管理帳戶的功能延伸至 AWS Organizations 其他 AWS 服務。當您關閉受信任存取時,您的組織與所有 AWS 服務之間的受信任存取將會停止,而不只是 CloudWatch。

如果您不想再為組織開啟受信任存取,您可以將其關閉。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的 Amazon CloudWatch 和 AWS Organizations

注意

關閉組織的受信任存取之前,請先取消註冊委派管理員帳戶。如需詳細資訊,請參閱取消註冊委派管理員帳戶

若要關閉 的受信任存取 AWS Organizations
  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中,選擇 Settings (設定)。

  3. 選擇組織索引標籤。

  4. 組織管理設定區段中,選取關閉