Amazon CloudWatch et AWS Organizations - AWS Organizations
Rôles liés à un servicePrincipaux de servicePermettre un accès sécuriséDésactiver l'accès sécuriséEnregistrer un administrateur déléguéDésenregistrer un administrateur délégué pour CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon CloudWatch et AWS Organizations

Vous pouvez utiliser Amazon AWS Organizations CloudWatch pour les cas d'utilisation suivants :

  • Découvrez et comprenez l'état de la configuration télémétrique de vos AWS ressources à partir d'une vue centrale dans la CloudWatch console. Cela simplifie le processus d'audit de vos configurations de collecte de données télémétriques pour plusieurs types de ressources au sein de votre organisation ou de votre AWS compte. Vous devez activer l'accès sécurisé pour utiliser la configuration de télémétrie au sein de votre organisation.

    Pour plus d'informations, consultez la section Audit des configurations de CloudWatch télémétrie dans le guide de CloudWatch l'utilisateur Amazon.

  • Travaillez avec plusieurs comptes dans Network Flow Monitor, une fonctionnalité d'Amazon CloudWatch Network Monitoring. Network Flow Monitor fournit une visibilité en temps quasi réel sur les performances du réseau pour le trafic entre les instances Amazon EC2. Après avoir activé l'accès sécurisé pour l'intégration à Organizations, vous pouvez créer un moniteur pour visualiser les détails des performances du réseau sur plusieurs comptes.

    Pour plus d'informations, consultez Initialize Network Flow Monitor pour la surveillance multi-comptes dans le guide de CloudWatch l'utilisateur Amazon.

Utilisez les informations suivantes pour vous aider à intégrer Amazon CloudWatch à AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Créez le rôle lié au service suivant dans le compte de gestion de votre organisation. Le rôle lié au service est automatiquement créé dans les comptes des membres lorsque vous activez l'accès sécurisé. Ce rôle permet d' CloudWatch effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation. Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès sécurisé entre CloudWatch et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleForObservabilityAdmin

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par CloudWatch accordent l'accès aux principaux de service suivants :

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Permettre un accès fiable avec CloudWatch

Pour plus d'informations sur les autorisations dont vous avez besoin pour activer l'accès sécurisé, consultezAutorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès sécurisé à l'aide de la CloudWatch console Amazon ou de la AWS Organizations console.

Important

Dans la mesure du possible, nous vous recommandons vivement d'utiliser la CloudWatch console ou les outils Amazon pour permettre l'intégration avec Organizations. Cela permet à Amazon CloudWatch d'effectuer toutes les configurations nécessaires, telles que la création des ressources nécessaires au service. Procédez comme suit uniquement si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par Amazon CloudWatch. Pour plus d'informations, consultez cette note.

Si vous activez l'accès sécurisé à l'aide de la CloudWatch console ou des outils Amazon, vous n'avez pas besoin de suivre ces étapes.

Pour activer l'accès sécurisé à l'aide de la CloudWatch console

Consultez la section Activation de l'audit CloudWatch télémétrique dans le guide de CloudWatch l'utilisateur Amazon.

Lorsque vous activez l'accès sécurisé CloudWatch, vous activez l'audit télémétrique et vous pouvez travailler avec plusieurs comptes dans Network Flow Monitor.

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDKs.

AWS Management Console
Pour activer l'accès approuvé aux services à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez Amazon CloudWatch dans la liste des services.

  4. Choisissez Enable trusted access (Activer l'accès approuvé).

  5. Dans la boîte de CloudWatch dialogue Activer l'accès sécurisé pour Amazon, tapez activer pour confirmer, puis sélectionnez Activer l'accès sécurisé.

  6. Si vous êtes l'administrateur de Only AWS Organizations, dites à l'administrateur d'Amazon CloudWatch qu'il peut désormais activer ce service pour qu'il fonctionne avec la console AWS Organizations de service.

AWS CLI, AWS API
Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations

Utilisez les AWS CLI commandes ou opérations d'API suivantes pour activer l'accès sécurisé aux services :

  • AWS CLI: enable-aws-service-access

    Exécutez la commande suivante pour activer Amazon CloudWatch en tant que service de confiance auprès d'Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu’elle réussit.

  • AWS API : Activer AWSService l'accès

Désactivez l'accès sécurisé avec CloudWatch

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Vous pouvez désactiver l'accès sécurisé à l'aide d'Amazon CloudWatch ou des AWS Organizations outils.

Important

Dans la mesure du possible, nous vous recommandons vivement d'utiliser la CloudWatch console ou les outils Amazon pour désactiver l'intégration avec Organizations. Cela permet à Amazon CloudWatch d'effectuer tous les nettoyages nécessaires, tels que la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par Amazon CloudWatch.

Si vous désactivez l'accès sécurisé à l'aide de la CloudWatch console ou des outils Amazon, vous n'avez pas besoin de suivre ces étapes.

Pour désactiver l'accès sécurisé à l'aide de la CloudWatch console

Consultez la section Désactivation de l'audit CloudWatch télémétrique dans le guide de l'utilisateur Amazon CloudWatch

Lorsque vous désactivez l'accès sécurisé dans CloudWatch, l'audit télémétrique n'est plus actif et vous ne pouvez plus travailler avec plusieurs comptes dans Network Flow Monitor.

Vous pouvez désactiver l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDKs.

AWS CLI, AWS API
Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Utilisez les AWS CLI commandes ou opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

  • AWS CLI: disable-aws-service-access

    Exécutez la commande suivante pour désactiver Amazon CloudWatch en tant que service de confiance auprès d'Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu’elle réussit.

  • AWS API : Désactiver AWSService l'accès

Enregistrement d'un compte d'administrateur délégué pour CloudWatch

Lorsque vous enregistrez un compte membre en tant que compte d'administrateur délégué pour l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des actions administratives CloudWatch qui, sinon, ne peuvent être effectuées que par des utilisateurs ou des rôles connectés avec le compte de gestion de l'organisation. L'utilisation d'un compte d'administrateur délégué vous permet de séparer la gestion de l'organisation de la gestion des fonctionnalités dans CloudWatch.

Autorisations minimales

Seul un administrateur du compte de gestion des Organisations peut enregistrer un compte membre en tant que compte d'administrateur délégué pour CloudWatch l'organisation.

Vous pouvez enregistrer un compte d'administrateur délégué à l'aide de la CloudWatch console ou à l'aide de l'opération Organizations RegisterDelegatedAdministrator API avec le AWS Command Line Interface ou un SDK.

Pour plus d'informations sur la procédure d'enregistrement d'un compte d'administrateur délégué à l'aide de la CloudWatch console, consultez la section Activation de l'audit CloudWatch télémétrique dans le guide de CloudWatch l'utilisateur Amazon.

Lorsque vous enregistrez un compte d'administrateur délégué CloudWatch, vous pouvez l'utiliser pour des opérations de gestion avec un audit télémétrique et avec Network Flow Monitor.

Désenregistrer un administrateur délégué pour CloudWatch

Autorisations minimales

Seul un administrateur connecté avec le compte de gestion des Organizations peut annuler l'enregistrement d'un compte d'administrateur délégué CloudWatch au sein de l'organisation.

Vous pouvez désenregistrer le compte d'administrateur délégué à l'aide de la CloudWatch console ou à l'aide de l'opération Organizations DeregisterDelegatedAdministrator API avec le AWS Command Line Interface ou un SDK. Pour plus d'informations, consultez la section Désenregistrement d'un compte d'administrateur délégué dans le guide de l'utilisateur Amazon CloudWatch .

Lorsque vous désenregistrez un compte d'administrateur délégué dans CloudWatch, vous ne pouvez plus l'utiliser pour les opérations de gestion avec l'audit télémétrique et avec Network Flow Monitor.