View a markdown version of this page

Cross-account Console per più regioni CloudWatch - Amazon CloudWatch
Abilitazione della funzionalità su più account tra più regioni(Facoltativo) Effettua l'integrazione con AWS OrganizationsRisoluzione dei problemiMonitoraggio delle autorizzazioni dell'account per l'accesso da più accountDisabilitazione e pulizia dopo l'utilizzo di più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cross-account Console per più regioni CloudWatch

Nota

Ti consigliamo di utilizzare l'osservabilità CloudWatch tra account per ottenere la più completa esperienza di osservabilità e scoperta tra account per le tue metriche, i log e le tracce all'interno di una regione. Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

La CloudWatch console multiaccount e interregionale ti consente di passare facilmente da un account all'altro e alla regione utilizzando i selettori nella console per visualizzare i dashboard, gli allarmi e le metriche di altri account e regioni. Questa funzionalità consente anche di creare dashboard per più account e più regioni che riepilogano le CloudWatch metriche di più AWS account e più regioni in un'unica dashboard, rendendole accessibili senza dover cambiare account o regione.

Molte organizzazioni hanno le proprie AWS risorse distribuite in più account, per fornire limiti di fatturazione e sicurezza. In questo caso, ti consigliamo di designare uno o più account come account di monitoraggio e di creare dashboard interregionali tra più account in tali account. Cross-account La funzionalità della console per più regioni è integrata con AWS Organizations, per aiutarti a creare in modo efficiente i tuoi dashboard interregionali tra account.

L'esperienza di CloudWatch console tra account e aree geografiche non offre la visibilità dei log tra account e aree geografiche. Inoltre, non supporta la creazione di allarmi sulle metriche di altri account o Regioni dall'interno di un account di monitoraggio.

Abilitazione della funzionalità interregionale tra account in CloudWatch

Per configurare la funzionalità interregionale tra account nella CloudWatch console, utilizza la CloudWatch console per configurare gli account di condivisione e gli account di monitoraggio.

Configurazione di un account di condivisione

È necessario abilitare la condivisione in ogni account che renderà i dati disponibili per l'account di monitoraggio.

In questo modo verranno concesse autorizzazioni di sola lettura che hai scelto nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per consentire al tuo account di condividere CloudWatch dati con altri account

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Per Condividi i tuoi CloudWatch dati, scegli Configura.

  4. In Sharing (Condivisione), scegliere Specific accounts (Account specifici) e immettere gli ID degli account di cui si desidera condividere i dati.

    Tutti gli account che specifichi qui possono visualizzare i CloudWatch dati del tuo account. Specificare gli ID solo degli account conosciuti e attendibili.

  5. Per Permissions (Autorizzazioni), specificare come condividere i dati con una delle seguenti opzioni:

    • Fornisci accesso in sola lettura a CloudWatch metriche, dashboard e allarmi. Questa opzione consente agli account di monitoraggio di creare dashboard per più account che includono widget contenenti i dati del tuo account. CloudWatch

    • Includi dashboard CloudWatch automatici. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare le informazioni nei pannelli di controllo automatici di questo account. Per ulteriori informazioni, consulta Guida introduttiva ai dashboard CloudWatch automatici.

    • Includi l'accesso X-Ray in sola lettura per la X-Ray Trace Map. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la mappa di X-Ray traccia e le informazioni di X-Ray traccia in questo account. Per ulteriori informazioni, consulta Uso della mappa di X-Ray tracciamento.

    • Includi l'accesso in sola lettura per Database Insights. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la telemetria di Database Insights in questo account. Per ulteriori informazioni, consulta Configurare il monitoraggio interregionale tra account per Database Insights. CloudWatch

    • Full read-only access to everything in your account (Accesso completo in sola lettura a tutti di dati dell'account). Questa opzione consente agli account utilizzati per la condivisione di creare dashboard tra più account che includono widget che contengono CloudWatch i dati del tuo account. Consente inoltre a tali account di esaminare più a fondo l'account e visualizzarne i dati nelle console di altri servizi AWS .

  6. Scegli Launch template. CloudFormation

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

  7. Selezionare la casella di controllo I acknowledge... (Acconsento...) e scegliere Create stack (Crea stack).

Condivisione con un'intera organizzazione

Completando la procedura precedente viene creato un ruolo IAM che consente all'account di condividere i dati con un account. È possibile creare o modificare un ruolo IAM che condivide i dati con tutti gli account di un'organizzazione. Eseguire questa operazione solo se si conoscono e si considerano attendibili tutti gli account dell'organizzazione.

In questo modo verranno concesse autorizzazioni di sola lettura elencate nelle policy mostrate nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione.

Per condividere i dati CloudWatch del tuo account con tutti gli account di un'organizzazione

  1. Se non l'hai già fatto, completa la procedura precedente per condividere i dati con un solo AWS account.

  2. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  3. Nel riquadro di navigazione, seleziona Ruoli.

  4. Nell'elenco dei ruoli, scegli CloudWatch-CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

    Viene visualizzata una policy come questa:

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Modifica la politica con la seguente, sostituendola org-id con l'ID della tua organizzazione.

    JSON
    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Scegli Update Trust Policy (Aggiorna policy di trust).

Configurazione di un account di monitoraggio

Abilita ogni account di monitoraggio se desideri visualizzare i CloudWatch dati di più account.

Una volta completata la procedura seguente, CloudWatch crea un ruolo di servizio da CloudWatch utilizzare nell'account di monitoraggio per accedere ai dati condivisi dagli altri account. Questo ruolo di servizio viene chiamato ServiceRoleForCloudWatchCrossAccountV2.

Per consentire al tuo account di visualizzare i dati di più account CloudWatch

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, scegli Impostazioni, quindi, nella sezione Cross-account interregionale, scegli Configura.

  3. Nella sezione Visualizza tra più account interregionali, scegli Abilita, quindi seleziona la casella di controllo Mostra selettore nella console per consentire la visualizzazione di un selettore di account nella CloudWatch console durante la rappresentazione grafica di una metrica o la creazione di un allarme.

  4. In View cross-account cross-region (Visualizzazione su più account tra più regioni), scegliere una delle seguenti opzioni:

    • Account Id Input (Input ID account). Questa opzione richiede di immettere manualmente un ID account ogni volta che si desidera passare a un altro account quando si visualizzano i dati su più account.

    • AWS Selettore dell'account dell'organizzazione. Questa opzione fa sì che vengano visualizzati gli account specificati al termine dell'integrazione su più account con Organizations visualizzato. Quando si utilizza la console, CloudWatch visualizza un elenco a discesa di questi account da cui selezionare quando si visualizzano i dati su più account.

      A tale scopo, devi prima aver utilizzato l'account di gestione dell'organizzazione CloudWatch per visualizzare un elenco degli account dell'organizzazione. Per ulteriori informazioni, consulta (Facoltativo) Effettua l'integrazione con AWS Organizations.

    • Custom account selector (Selettore account personalizzato). Questa opzione richiede di immettere un elenco di ID account. La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account.

      È anche possibile immettere un'etichetta per ciascuno di questi account per identificarli quando si scelgono gli account da visualizzare.

      Le impostazioni del selettore account effettuate qui da un utente vengono mantenute solo per tale utente, non per tutti gli altri utenti nell'account di monitoraggio.

  5. Scegli Abilita .

Dopo aver completato questa configurazione, è possibile creare pannelli di controllo su più account. Per ulteriori informazioni, consulta Creazione di un pannello di controllo personalizzato CloudWatch.

Cross-Region funzionalità

Cross-Region la funzionalità è integrata automaticamente in questa funzionalità. Non è necessario eseguire ulteriori passaggi per poter visualizzare le metriche di diverse regioni in un unico account sullo stesso grafico o sulla stessa dashboard. Cross-Region la funzionalità non è supportata per gli allarmi, quindi non puoi creare un allarme in una regione che controlli una metrica in un'altra regione.

(Facoltativo) Effettua l'integrazione con AWS Organizations

Se si desidera integrare la funzionalità tra account AWS Organizations, è necessario creare un elenco di tutti gli account dell'organizzazione a disposizione degli account di monitoraggio.

Per abilitare la CloudWatch funzionalità tra account per accedere a un elenco di tutti gli account dell'organizzazione

  1. Accedi all'account di gestione della tua organizzazione.

  2. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel riquadro di spostamento scegliere Settings (Impostazioni), quindi scegliere Configure (Configura).

  4. Per Grant permission to view the list of accounts in the organization (Concedi l'autorizzazione a visualizzare l'elenco degli account nell'organizzazione), scegliere Specific accounts (Account specifici) per inserire un elenco di ID account. L'elenco degli account nell'organizzazione viene condiviso solo con gli account specificati qui.

  5. Scegliere Share organization account list (Condividi elenco account organizzazione).

  6. Scegli Launch CloudFormation template.

    Nella schermata di conferma digitare Confirm e scegliere Launch template (Avvia modello).

Risoluzione dei problemi relativi alla CloudWatch configurazione di più account

Questa sezione contiene suggerimenti per la risoluzione dei problemi relativi alla distribuzione di console su più account in CloudWatch.

Sto ricevendo errori di accesso negato di visualizzazioni di dati su più account

Verifica quanto segue:

  • Il tuo account di monitoraggio dovrebbe avere un ruolo denominato. ServiceRoleForCloudWatchCrossAccountV2 In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta Set Up a Monitoring Account.

  • Ogni account di condivisione deve avere un ruolo denominato CloudWatch-CrossAccountSharingRole. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta la pagina Set Up A Sharing Account.

  • Il ruolo di condivisione deve considerare attendibile l'account di monitoraggio.

Per confermare che i ruoli siano configurati correttamente per la console con CloudWatch più account

  1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Nell'elenco dei ruoli, assicurarsi che esista il ruolo necessario. In un account di condivisione, cerca CloudWatch-CrossAccountSharingRole. In un account di monitoraggio, cerca ServiceRoleForCloudWatchCrossAccountV2.

  4. Se hai un account di condivisione ed esiste CloudWatch-CrossAccountSharingRolegià, scegli CloudWatch-CrossAccountSharingRole.

  5. Scegliere Trust relationships (Relazioni di trust), quindi Edit trust relationship (Modifica relazione di trust).

  6. Verificare che nella policy sia elencato l'ID dell'account di monitoraggio o l'ID di un'organizzazione contenente l'account di monitoraggio.

Non viene visualizzato un elenco a discesa degli account nella console

Innanzitutto, verificare di aver creato i ruoli IAM corretti, come illustrato nella sezione relativa alla risoluzione dei problemi precedente. Se questi sono impostati correttamente, assicurarsi di aver abilitato l'account per visualizzare i dati su più account, come descritto in Enable Your Account to View Cross-Account Data.

Monitoraggio delle autorizzazioni dell'account per l'accesso da più account

Per accedere correttamente a un'azione negli account di origine, l'utente dell'account di monitoraggio deve disporre dell'autorizzazione equivalente per tutte le risorse (*) per quell'azione nell'account di monitoraggio. Si tratta di un requisito di autorizzazione locale nell'account di monitoraggio e non è correlato alle autorizzazioni relative al ruolo di condivisione tra account negli account di origine.

Esempio

Per avviare una query Logs in un account di origine, è necessario disporre dell'accesso con wildcard (*) nell'account di StartQuery monitoraggio. Il ruolo interaccount dell'account di origine può comunque limitare l'accesso a gruppi di log specifici.

Supportato - risorsa wildcard:

{
  "Effect": "Allow",
  "Action": "logs:StartQuery",
  "Resource": "*"
}

Non supportato - ARN specifico:

{
  "Effect": "Allow",
  "Action": "logs:StartQuery",
  "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/my-function:*"
}

Disabilitazione e pulizia dopo l'utilizzo di più account

Per disabilitare la funzionalità tra account per CloudWatch, segui questi passaggi.

Passaggio 1: rimuovere gli stack o i ruoli di più account

Il metodo migliore consiste nel rimuovere gli CloudFormation stack utilizzati per abilitare la funzionalità tra account.

  • In ciascuno degli account di condivisione, rimuovi lo CloudWatch-CrossAccountSharingRolestack.

  • Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, rimuovi lo CloudWatch-CrossAccountListAccountsRole stack nell'account di gestione dell'organizzazione.

Se non hai utilizzato gli CloudFormation stack per abilitare la funzionalità tra più account, procedi come segue:

  • In ciascuno degli account di condivisione, elimina il ruolo CloudWatch-CrossAccountSharingRoleIAM.

  • Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, elimina il ruolo CloudWatch-CrossAccountSharing-ListAccountsRoleIAM nell'account di gestione dell'organizzazione.

Passaggio 2: rimuovere il ruolo di servizio

Nell'account di monitoraggio, elimina il ruolo del servizio ServiceRoleForCloudWatchCrossAccountV2IAM.