Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Konto- und regionenübergreifende Überwachung CloudWatch Bietet die folgenden Funktionen, um eine einheitliche Überwachung für alle Konten zu ermöglichen: + **[CloudWatchkontenübergreifende Observability](CloudWatch-Unified-Cross-Account.md)** — erleichtern Sie mit dem Observability Access Manager (OAM) -Service die Observability Access Manager (OAM) die Beobachtbarkeit innerhalb einer einzelnen Region. Sie können Konten verknüpfen und einfach Metriken, Protokolle, Ablaufverfolgungen und andere Telemetriedaten zwischen Konten einsehen. Auf diese Weise können Sie die Beobachtbarkeit in zentralen Überwachungskonten vereinheitlichen, die von Quellkonten gemeinsam genutzte Telemetriedaten anzeigen und diese gemeinsam genutzte Telemetrie wie nativ im Überwachungskonto verwenden. + **[Kontoübergreifende, regionsübergreifende CloudWatch Konsole](Cross-Account-Cross-Region.md)** — bietet ein Konsolenerlebnis, mit dem Sie Dashboards, Metriken und Alarmkonsolen anderer Konten in verschiedenen Regionen einsehen können, indem Sie zwischen Konten hin- und herschalten. Nachdem Sie die erforderlichen Berechtigungen eingerichtet haben, nutzen Sie eine Kontoauswahl, die in die Konsolen für Alarme, Dashboards und Metriken integriert ist, um Metriken, Dashboards und Alarme in anderen Konten aufzurufen, ohne sich bei den Konten an- und abmelden zu müssen. Wenn Sie dieses Feature aktivieren, können Sie für einen zentralen Überblick innerhalb eines Kontos auch Dashboards einrichten, die konto- und regionenübergreifende Metriken enthalten. + **[Konto- und regionenübergreifende Protokollzentralisierung](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)** – sammelt Kopien von Protokolldaten aus mehreren Mitgliedskonten in einem Datenspeicher unter Verwendung von konto- und regionenübergreifenden Zentralisierungsregeln. Sie definieren die Regeln, mit denen Protokolldaten von mehreren Konten automatisch AWS-Regionen in ein zentrales Konto innerhalb Ihrer Organisation repliziert werden. Diese Funktion optimiert die Protokollkonsolidierung und sorgt so für eine verbesserte zentrale Überwachung, Analyse und Einhaltung von Vorschriften in Ihrer gesamten AWS Infrastruktur. Diese drei Funktionen ergänzen sich gegenseitig und lassen sich unabhängig voneinander oder zusammen verwenden. Siehe folgende Tabelle für einen Vergleich der Features, Wir empfehlen Ihnen, die CloudWatch kontenübergreifende Observability zu verwenden, um die umfassendste kontenübergreifende Observability und Discovery-Erfahrung innerhalb einer Region für Ihre Metriken, Logs und Traces zu erzielen. | | **[CloudWatch kontenübergreifende Beobachtbarkeit](CloudWatch-Unified-Cross-Account.md)** | **[Kontoübergreifende, regionsübergreifende Konsole CloudWatch](Cross-Account-Cross-Region.md)** | **[Konto- und regionenübergreifende Protokollzentralisierung](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)** | | --- | --- | --- | --- | | **Was ist es? ** | Einheitlicher Zugriff auf zugrunde liegende Telemetrie- und andere Beobachtbarkeitsressourcen über mehrere Konten hinweg. Nach der Konfiguration sind Beobachtbarkeitsressourcen nahtlos zwischen Konten sichtbar, sodass keine Rollenannahmen erforderlich sind. Das zentrale Überwachungskonto erhält direkten Zugriff auf die Telemetriedaten und Ressourcen von Quellkonten, was den Überwachungs- und Beobachtbarkeitsprozess optimiert. | Bei einem bestimmten Überwachungskonto wird davon ausgegangen, dass es sich um ein in der Konsole **CrossAccountSharingRole**definiertes Quellkonto handelt. CloudWatch Durch die Übernahme dieser Rolle kann das Überwachungskonto direkt von seiner Konsole aus Vorgänge wie die Ansicht von Dashboards für Quellkonten aufrufen. | Die CloudWatch Datenzentralisierungsfunktion von Amazon Logs optimiert die Protokollkonsolidierung und sorgt so für eine verbesserte zentrale Überwachung, Analyse und Einhaltung von Vorschriften in Ihrer gesamten AWS Infrastruktur. | | **Wie funktioniert das?** | Ein Überwachungskonto, das den Observability-Access-Monitoring-Service nutzt, erstellt eine *Senke und ergänzt dazu eine Sink-Richtlinie*. Die Sink-Richtlinie definiert, welche Ressourcen sie einsehen möchten und welche Quellkonten sie gemeinsam nutzen sollen. Anschließend können Quellkonten einen Link zur Senke des Überwachungskontos erstellen und so festlegen, was sie tatsächlich teilen möchten. Nach dem Erstellen des Links sind die angegebenen Ressourcen im Überwachungskonto sichtbar. | Ein Quellkonto initiiert die Konfiguration, indem es ein einrichtet **CrossAccountSharingRole**, sodass ein Überwachungskonto Operationen im Quellkonto ausführen kann. Anschließend aktiviert ein Überwachungskonto die konto- und regionenübergreifende Auswahl in der Konsole, indem die Quellkonto-ID angegeben wird. Dadurch kann das Überwachungskonto in das Quellkonto wechseln. Beim Umschalten prüft die CloudWatch Konsole, ob eine dienstbezogene Rolle vorhanden ist, sodass davon ausgegangen werden kann, dass CloudWatch die Rolle **CrossAccountSharingRole**, die im Quellkonto erstellt wurde, vorhanden ist. | Bei AWS Organizations der Datenzentralisierung von Amazon CloudWatch Logs werden Protokolldaten von mehreren Mitgliedskonten mithilfe von konto- und regionsübergreifenden Zentralisierungsregeln in ein Daten-Repository kopiert. Sie definieren die Regeln, nach denen Protokolldaten von mehreren Konten automatisch AWS-Regionen in ein zentrales Konto innerhalb Ihrer Organisation repliziert werden. | | **Welche Telemetrie wird unterstützt?** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | | **Welche Funktionalitäten werden unterstützt?** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) Weitere Details finden Sie unter [Kontoübergreifende, regionsübergreifende Konsole CloudWatch](Cross-Account-Cross-Region.md). | CloudWatch Logs und EinblickeAbonnement-FilterMetrikfilter | | **Mit wie vielen Konten ist die Nutzung möglich?** | Ein Überwachungskonto kann Ressourcen von bis zu 100.000 Quellkonten gleichzeitig anzeigen. Ein Quellkonto kann seine Ressourcen mit bis zu fünf unterschiedlichen Überwachungskonten teilen. | Mithilfe der konto- und regionenübergreifenden Auswahl in der Konsole kann ein Überwachungskonto zu einem anderen Konto wechseln. Die Anzahl der Konten, die verknüpft werden können, ist jedoch unbegrenzt. Bei der Definition von kontenübergreifenden Dashboards und Alarmen lassen sich viele Quellkonten referenzieren. | Funktioniert mit der AWS Organizations unterstützten Anzahl von Konten | | **Werden Telemetriedaten verschoben?** | Nein. Ressourcen werden von Konten gemeinsam genutzt, mit der Ausnahme von kopierten Ablaufverfolgungen. | Nein. Eine IAM-Richtlinie ist so konfiguriert, dass sie einen Wechsel eingebetteter Konten ermöglicht, um für konto- und regionenübergreifende Ressourcentransparenz zu sorgen. | Ja | | **Wie viel kostet es?** | Es fallen keine zusätzlichen Kosten für gemeinsam genutzte Protokolle und Metriken an, und die erste Ablaufverfolgungs-Kopie ist kostenlos. Weitere Informationen zur Preisgestaltung finden Sie unter [ CloudWatchAmazon-Preise](https://aws.amazon.com/cloudwatch/pricing). | Keine zusätzlichen Gebühren für konto- oder regionenübergreifende Aktionen. | Sie können eine Protokollkopie kostenlos zentralisieren. Zusätzliche Kopien werden mit 0,05 USD/GB für zentralisierte Protokolle berechnet (die Funktion „Backup-Region“ wird als zusätzliche Kopie betrachtet). Informationen zu den Preisen für Lagerkosten im Zielkonto und zu anderen Mehrwertangeboten finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/). | | **Unterstützt es die regionenübergreifende Beobachtbarkeit?** | Nein | Ja | Ja, Sie können Daten regionenübergreifend zentralisieren. | | **Wird der programmatische Zugriff unterstützt?** | Ja. Die AWS CLI AWS Cloud Development Kit (AWS CDK), und APIs werden unterstützt. | Nein | Ja | | **Wird die programmatische Einrichtung unterstützt?** | Ja | Ja | Ja | | **Werden AWS Organizations unterstützt?** | Ja | Ja | Ja. AWS Organizations ist erforderlich, um diese Funktion nutzen zu können. | **Topics** + [CloudWatch kontenübergreifende Beobachtbarkeit](CloudWatch-Unified-Cross-Account.md) + [Kontoübergreifende, regionsübergreifende Konsole CloudWatch](Cross-Account-Cross-Region.md) # CloudWatch kontenübergreifende Beobachtbarkeit Mit der CloudWatch kontenübergreifenden Observability von Amazon können Sie Anwendungen überwachen und Fehler beheben, die sich über mehrere Konten innerhalb einer Region erstrecken. Sie können Ihre Metriken, Logs, Traces, Application-Signals-Dienste und Service Level Objectives (SLOs), Application Insights-Anwendungen und Internetüberwachungen in allen verknüpften Konten ohne Kontogrenzen nahtlos durchsuchen, visualisieren und analysieren. Richten Sie ein oder mehrere AWS Konten als *Überwachungskonten* ein und verknüpfen Sie sie mit mehreren *Quellkonten*. Ein Überwachungskonto ist ein zentrales AWS -Konto, das aus Quellkonten generierte Beobachtbarkeits-Daten anzeigen und mit ihnen interagieren kann. Ein Quellkonto ist ein AWS Einzelkonto, das Beobachtbarkeitsdaten für die darin enthaltenen Ressourcen generiert. Quellkonten teilen ihre Beobachtbarkeits-Daten mit dem Überwachungskonto. Die gemeinsam genutzten Beobachtbarkeits-Daten können die folgenden Arten von Telemetrie umfassen: + Metriken bei Amazon CloudWatch. Sie können wählen, ob Sie die Metriken aus allen Namespaces mit dem Überwachungskonto teilen oder nach einer Teilmenge von Namespaces filtern möchten. + Gruppen in Amazon CloudWatch Logs protokollieren. Sie können wählen, ob Sie alle Protokollgruppen mit dem Überwachungskonto teilen oder nach einer Teilmenge von Protokollgruppen filtern möchten. + Spuren in AWS X-Ray + Dienste und Service-Level-Ziele (SLOs) in Anwendungssignalen + Anwendungen in Amazon CloudWatch Application Insights + Monitore im CloudWatch Internetmonitor Um Verknüpfungen zwischen Überwachungskonten und Quellkonten herzustellen, können Sie die CloudWatch Konsole verwenden. Verwenden Sie alternativ die *Observability Access Manager-Befehle* in der API AWS CLI und. Weitere Informationen finden Sie unter [Observability-Access-Manager-API-Referenz](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html). Eine *Senke* ist eine Ressource, die einen Zuordnungspunkt in einem Überwachungskonto darstellt. Quellkonten können eine Verknüpfung zur Senke herstellen, um Beobachtbarkeits-Daten auszutauschen. Jedes Konto kann pro Region eine Senke haben. Jede Senke wird von dem Überwachungskonto verwaltet, in dem sie sich befindet. Ein *Beobachtbarkeits-Link* ist eine Ressource, die die Verbindung darstellt, die zwischen einem Quellkonto und einem Überwachungskonto hergestellt wurde. Links werden vom Quellkonto verwaltet. Eine Videodemonstration zur Einrichtung CloudWatch kontenübergreifender Observability finden Sie im folgenden Video. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lUaDO9dqISc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lUaDO9dqISc) Im nächsten Thema wird erklärt, wie die CloudWatch kontenübergreifende Beobachtbarkeit sowohl für Begleitkonten als auch für Quellkonten eingerichtet wird. Informationen zum kontenübergreifenden Dashboard für regionsübergreifende CloudWatch Konten finden Sie unter. [Kontoübergreifende, regionsübergreifende Konsole CloudWatch](Cross-Account-Cross-Region.md) **Organisationen für Quellkonten verwenden** Es gibt zwei Möglichkeiten, Quellkonten mit Ihrem Überwachungskonto zu verknüpfen. Sie können eine oder beide Optionen verwenden. + Wird verwendet AWS Organizations , um Konten in einer Organisation oder Organisationseinheit mit dem Überwachungskonto zu verknüpfen. + Connect einzelne AWS Konten mit dem Überwachungskonto. Wir empfehlen Ihnen, Organizations zu verwenden, damit neue AWS Konten, die später in der Organisation erstellt werden, automatisch als Quellkonten in die kontenübergreifende Observability aufgenommen werden. **Details zur Verknüpfung von Überwachungskonten und Quellkonten** + Jedes Überwachungskonto kann mit bis zu 100 000 Quellkonten verknüpft werden. + Jedes Quellkonto kann Daten mit bis zu fünf Überwachungskonten teilen. + Sie können ein einzelnes Konto sowohl als Überwachungskonto als auch als Quellkonto einrichten. Wenn Sie dies tun, sendet dieses Konto nur die Beobachtbarkeits-Daten von sich selbst an das verknüpfte Überwachungskonto. Es leitet die Daten von seinen Quellkonten nicht weiter. + Ein Überwachungskonto gibt an, welche Telemetrietypen mit ihm gemeinsam genutzt werden können. Ein Quellkonto gibt an, welche Telemetrietypen es teilen möchte. + Wenn im *Überwachungskonto* mehr Telemetrietypen ausgewählt sind als im Quellkonto, werden die Konten verknüpft. Nur die Datentypen, die in beiden Konten ausgewählt wurden, werden gemeinsam genutzt. + Wenn im *Quellkonto* mehr Telemetrietypen ausgewählt sind als im Überwachungskonto, schlägt die Erstellung der Verknüpfung fehl und es wird nichts freigegeben. + Ein Metrikname wird erst in der Konsole des Überwachungskontos angezeigt, wenn diese Metrik nach dem Erstellen des Links neue Datenpunkte ausgibt. + Um eine Verknüpfung zwischen Konten zu entfernen, tun Sie dies vom Quellkonto aus. + Um die Senke in einem Überwachungskonto zu löschen, müssen Sie zuerst alle Links zu der Senke im Überwachungskonto entfernen. **Preise** CloudWatch Bei kontenübergreifender Observability fallen keine zusätzlichen Kosten für Logs und Metriken, Anwendungssignale an und die erste Trace-Kopie ist kostenlos. Weitere Informationen zur Preisgestaltung finden Sie unter [ CloudWatchAmazon-Preise](https://aws.amazon.com/cloudwatch/pricing). **Contents** + [Überwachungskonten mit Quellkonten verknüpfen](CloudWatch-Unified-Cross-Account-Setup.md) + [Erforderliche Berechtigungen](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions) + [Berechtigungen sind zum Erstellen von Links erforderlich](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-setup) + [Für die kontenübergreifende Überwachung werden Berechtigungen benötigt](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-monitor) + [Übersicht über die Einrichtung](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-overview) + [Schritt 1: Einrichten eines Überwachungskontos](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureMonitoringAccount) + [Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-TemplateOrURL) + [Schritt 3: Die Quellkonten verknüpfen](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureSourceAccount) + [Verwenden Sie eine CloudFormation Vorlage, um alle Konten in einer Organisation oder einer Organisationseinheit als Quellkonten einzurichten](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-OrgTemplate) + [Verwenden Sie eine CloudFormation Vorlage, um einzelne Quellkonten einzurichten](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleTemplate) + [Eine URL verwenden, um individuelle Quellkonten einzurichten](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleURL) + [Überwachungskonten und Quellkonten verwalten](Unified-Cross-Account-Manage.md) + [Quellkonten mit einem vorhandenen Überwachungskonto verknüpfen](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-AddSourceAccounts) + [Die Verknüpfung zwischen einem Überwachungskonto und einem Quellkonto entfernen](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-UnlinkAccount) + [Informationen über ein Überwachungskonto anzeigen](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-ManageMonitoringAccount) # Überwachungskonten mit Quellkonten verknüpfen Die Themen in diesem Abschnitt beschreiben, wie Sie Verknüpfungen zwischen Überwachungskonten und Quellkonten einrichten. Wir empfehlen Ihnen, ein neues AWS Konto zu erstellen, das als Überwachungskonto für Ihre Organisation dient. **Contents** + [Erforderliche Berechtigungen](#CloudWatch-Unified-Cross-Account-Setup-permissions) + [Berechtigungen sind zum Erstellen von Links erforderlich](#Unified-Cross-Account-permissions-setup) + [Für die kontenübergreifende Überwachung werden Berechtigungen benötigt](#Unified-Cross-Account-permissions-monitor) + [Übersicht über die Einrichtung](#CloudWatch-Unified-Cross-Account-Setup-overview) + [Schritt 1: Einrichten eines Überwachungskontos](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount) + [Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter](#Unified-Cross-Account-Setup-TemplateOrURL) + [Schritt 3: Die Quellkonten verknüpfen](#Unified-Cross-Account-Setup-ConfigureSourceAccount) + [Verwenden Sie eine CloudFormation Vorlage, um alle Konten in einer Organisation oder einer Organisationseinheit als Quellkonten einzurichten](#Unified-Cross-Account-SetupSource-OrgTemplate) + [Verwenden Sie eine CloudFormation Vorlage, um einzelne Quellkonten einzurichten](#Unified-Cross-Account-SetupSource-SingleTemplate) + [Eine URL verwenden, um individuelle Quellkonten einzurichten](#Unified-Cross-Account-SetupSource-SingleURL) ## Erforderliche Berechtigungen ### Berechtigungen sind zum Erstellen von Links erforderlich Um Links zwischen einem Überwachungskonto und einem Quellkonto zu erstellen, müssen Sie mit bestimmten Berechtigungen angemeldet sein. + **Um ein Überwachungskonto einzurichten** – Sie müssen entweder vollen Administratorzugriff auf das Überwachungskonto haben, oder Sie müssen sich mit den folgenden Berechtigungen bei diesem Konto anmelden: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSinkModification", "Effect": "Allow", "Action": [ "oam:CreateSink", "oam:DeleteSink", "oam:PutSinkPolicy", "oam:TagResource" ], "Resource": "*" }, { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": ["oam:Get*", "oam:List*"], "Resource": "*" } ] } ``` ------ + **Quellkonto, auf ein bestimmtes Überwachungskonto beschränkt** – Um Links für nur ein bestimmtes Überwachungskonto zu erstellen, zu aktualisieren und zu verwalten, müssen Sie sich mit mindestens den folgenden Berechtigungen bei einem Konto anmelden. In diesem Beispiel ist das Überwachungskonto `999999999999`. Wenn der Link nicht alle sieben Ressourcentypen (Metriken, Protokolle, Traces, Application Insights-Anwendungen, Application Signals-Dienste und Service Level Objectives (SLOs) sowie Internet Monitor-Monitore) gemeinsam nutzen soll, können Sie`cloudwatch:Link`,,, `logs:Link` `xray:Link` `applicationinsights:Link``application-signals:Link`, oder nach `internetmonitor:Link` Bedarf weglassen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "oam:CreateLink", "oam:UpdateLink", "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:link/*" }, { "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:sink/*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "999999999999" ] } } }, { "Action": "oam:ListLinks", "Effect": "Allow", "Resource": "*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "application-signals:Link", "Effect": "Allow", "Resource": "*" } ] } ``` ------ + **Quellkonto, mit der Berechtigung, eine Verknüpfung mit einem beliebigen Überwachungskonto herzustellen** – Um einen Link zu einer vorhandenen Überwachungskontosenke zu erstellen, Metriken, Protokollgruppen, Ablaufverfolgungen, Application-Insights-Anwendungen und Internet-Monitor-Monitore zu versenden, müssen Sie sich mit vollen Administratorrechten beim Quellkonto anmelden oder sich dort mit den folgenden Berechtigungen anmelden Wenn der Link nicht alle sieben Ressourcentypen (Metriken, Protokolle, Traces, Application Insights-Anwendungen, Application Signals-Dienste und Service Level Objectives (SLOs) und Internet Monitor-Monitore) gemeinsam nutzen soll, können Sie`cloudwatch:Link`,,`logs:Link`, `xray:Link` `applicationinsights:Link``application-signals:Link`, oder nach `internetmonitor:Link` Bedarf weglassen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] }, { "Effect": "Allow", "Action": [ "oam:List*", "oam:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "application-signals:Link", "Effect": "Allow", "Resource": "*" } ] } ``` ------ ### Für die kontenübergreifende Überwachung werden Berechtigungen benötigt Nachdem ein Link erstellt wurde, müssen Sie bei einem der folgenden Konten angemeldet sein, um die Quellkontoinformationen aus einem Überwachungskonto anzusehen: + Vollständiger Administratorzugriff im Überwachungskonto + Die folgenden kontoübergreifenden Berechtigungen, zusätzlich zu den Berechtigungen zum Anzeigen spezifischer Ressourcentypen, die Sie überwachen werden ``` { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ``` ## Übersicht über die Einrichtung Die folgenden allgemeinen Schritte zeigen Ihnen, wie Sie CloudWatch kontenübergreifende Observability einrichten. **Anmerkung** Wir empfehlen, ein neues AWS Konto zu erstellen, das als Überwachungskonto Ihrer Organisation verwendet werden kann. 1. Richten Sie einen dedizierten Überwachungskonto ein. 1. (Optional) Laden Sie eine CloudFormation Vorlage herunter oder kopieren Sie eine URL, um Quellkonten zu verknüpfen. 1. Verknüpfen Sie Quellkonten mit dem Überwachungskonto. Nachdem Sie diese Schritte abgeschlossen haben, können Sie das Überwachungskonto verwenden, um die Beobachtbarkeits-Daten der Quellkonten einzusehen. ## Schritt 1: Einrichten eines Überwachungskontos Folgen Sie den Schritten in diesem Abschnitt, um ein AWS Konto als Überwachungskonto für CloudWatch kontenübergreifende Beobachtbarkeit einzurichten. **Voraussetzungen** + **Wenn Sie Konten in einer AWS Organizations Organisation als Quellkonten einrichten, rufen Sie den** Organisationspfad oder die Organisations-ID ab. + **Wenn Sie Organizations nicht für die Quellkonten verwenden**, rufen Sie das Konto IDs der Quellkonten ab. Um ein Konto als Überwachungskonto einzurichten, müssen Sie über bestimmte Berechtigungen verfügen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#CloudWatch-Unified-Cross-Account-Setup-permissions). **So richten Sie ein Überwachungskonto ein** 1. Melden Sie sich bei dem Konto an, das Sie als Überwachungskonto verwenden möchten. 1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus. 1. Wählen Sie unter **Monitoring account configuration** (Konfiguration des Überwachungskontos) die Option **Configure** (Konfigurieren) aus. 1. **Wählen Sie unter Daten** auswählen aus, ob dieses Monitoring-Konto **Logs**, **Metrics**, **Traces**, **Application Insights — Anwendungen**, **Internet Monitor — Monitore** und **Application Signals — Services, Service Level Objectives (SLOs)** Daten der Quellkonten anzeigen kann, mit denen es verknüpft ist. 1. Geben Sie unter **List source accounts** (Quellkonten auflisten) die Quellkonten ein, die dieses Überwachungskonto anzeigen soll. Um die Quellkonten zu identifizieren, geben Sie einzelne Konten IDs, Organisationspfade oder Organisationen ein IDs. Wenn Sie einen Organisationspfad oder eine Organisations-ID eingeben, darf dieses Überwachungskonto Beobachtbarkeits-Daten aus allen verknüpften Konten in dieser Organisation anzeigen. Trennen Sie die Einträge in der Liste durch Kommas. **Wichtig** Wenn Sie einen Organisations-Pfad eingeben, halten Sie sich an das genaue Format. Die OU-ID muss auf einen `/` (einen Schrägstrich) enden. Beispiel: `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/` 1. Unter **Definieren Sie ein Label zur Identifizierung Ihres Quellkontos** können Sie ein Label definieren, das zur Erstellung einer CloudFormation Vorlage verwendet wird. Das Label wird beim Verwenden dieser Vorlage dann auf Quellkonten angewendet, um die Quellkonten mit diesem Überwachungskonto zu verknüpfen. Sie können angeben, ob Kontonamen oder E-Mail-Adressen in diesem Label verwendet werden sollen, und auch Variablen wie `$AccountName`, `$AcccountEmail` und `$AcccountEmailNoDomain` nutzen. **Anmerkung** In den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) besteht die einzige unterstützte Option darin, benutzerdefinierte Labels zu verwenden, und die `$AcccountEmailNoDomain` Variablen `$AccountName``$AcccountEmail`, und werden alle als *account-id* anstelle der angegebenen Variablen aufgelöst. 1. Wählen Sie **Konfigurieren** aus. **Wichtig** Die Verknüpfung zwischen dem Überwachungs- und dem Quellkonto ist erst abgeschlossen, wenn Sie die Quellkonten konfiguriert haben. Weitere Informationen finden Sie in den folgenden Abschnitten. ## Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter Um Quellkonten mit einem Überwachungskonto zu verknüpfen, empfehlen wir die Verwendung einer AWS CloudFormation -Vorlage oder einer URL. + **Wenn Sie eine gesamte Organisation verknüpfen**, wird CloudWatch eine CloudFormation Vorlage bereitgestellt. + **Wenn Sie einzelne Konten verknüpfen**, verwenden Sie entweder eine CloudFormation Vorlage oder eine URL, die Folgendes CloudWatch bereitstellt. Um eine CloudFormation Vorlage zu verwenden, müssen Sie sie während dieser Schritte herunterladen. Nachdem Sie das Überwachungskonto mit mindestens einem Quellkonto verknüpft haben, steht die CloudFormation Vorlage nicht mehr zum Herunterladen zur Verfügung. **Um eine CloudFormation Vorlage herunterzuladen oder eine URL für die Verknüpfung von Quellkonten mit dem Überwachungskonto zu kopieren** 1. Melden Sie sich bei dem Konto an, das Sie als Überwachungskonto verwenden möchten. 1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus. 1. Wählen Sie unter **Monitoring account configuration** (Konfiguration des Überwachungskontos) die Option **Resources to link accounts** (Ressourcen, um Konten zu verknüpfen) aus. 1. Führen Sie eine der folgenden Aktionen aus: + Wählen Sie **AWS -Organisation** aus, um eine Vorlage zu erhalten, mit der Sie Konten in einer Organisation mit diesem Überwachungskonto verknüpfen können. + Wählen Sie **Any account** (Beliebiges Konto), um eine Vorlage oder URL für die Einrichtung einzelner Konten als Quellkonten zu erhalten. 1. Führen Sie eine der folgenden Aktionen aus: + Wenn Sie **AWS Organisation** ausgewählt haben, wählen Sie ** CloudFormation Vorlage herunterladen**. + Wenn Sie **Beliebiges Konto** ausgewählt haben, wählen **Sie entweder CloudFormation Vorlage herunterladen** oder **URL kopieren**. 1. (Optional) Wiederholen Sie die Schritte 5 bis 6, um sowohl die CloudFormation Vorlage als auch die URL herunterzuladen. ## Schritt 3: Die Quellkonten verknüpfen Führen Sie die Schritte in diesen Abschnitten aus, um Quellkonten mit einem Überwachungskonto zu verknüpfen. Um Überwachungskonten mit Quellkonten zu verknüpfen, müssen Sie über bestimmte Berechtigungen verfügen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](#CloudWatch-Unified-Cross-Account-Setup-permissions). ### Verwenden Sie eine CloudFormation Vorlage, um alle Konten in einer Organisation oder einer Organisationseinheit als Quellkonten einzurichten Bei diesen Schritten wird davon ausgegangen, dass Sie die erforderliche CloudFormation Vorlage bereits heruntergeladen haben, indem Sie die unter beschriebenen Schritte ausführen[Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter](#Unified-Cross-Account-Setup-TemplateOrURL). **So verwenden Sie eine CloudFormation Vorlage, um Konten in einer Organisation oder Organisationseinheit mit dem Überwachungskonto zu verknüpfen** 1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an. 1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). 1. Wählen Sie in der linken Navigationsleiste. **StackSets** 1. Vergewissern Sie sich, dass Sie in der gewünschten Region angemeldet sind, und wählen Sie dann **Erstellen** aus StackSet. 1. Wählen Sie **Weiter** aus. 1. Wählen Sie **Template is ready** (Vorlage ist bereit) und wählen Sie **Upload a template file** (Eine Vorlagendatei hochladen). 1. Wählen Sie **Choose file** (Datei auswählen), wählen Sie die Vorlage aus, die Sie vom Überwachungskonto heruntergeladen haben, und wählen Sie **Open** (Öffnen). 1. Wählen Sie **Weiter** aus. 1. **Geben Sie unter StackSet Details angeben** einen Namen für die ein StackSet und klicken Sie auf **Weiter**. 1. Wählen Sie für **Add stacks to stack set** (Stacks zum Stack-Set hinzufügen) **Deploy new stacks** (Neue Stacks bereitstellen). 1. Wählen Sie unter **Deployment targets** (Bereitstellungsziele) aus, ob die Bereitstellung für die gesamte Organisation oder für bestimmte Organisationseinheiten erfolgen soll. 1. Wählen Sie unter **Regionen angeben** aus, in welchen Regionen CloudWatch kontenübergreifende Observability bereitgestellt werden soll. 1. Wählen Sie **Weiter** aus. 1. Überprüfen Sie auf der Seite **Review** (Überprüfen) Ihre Optionen und wählen Sie anschließend **Submit** (Übermitteln) aus. 1. Aktualisieren Sie auf der Registerkarte **Stack-Instances** den Bildschirm, bis Sie sehen, dass Ihre Stack-Instances den Status **CREATE\$1COMPLETE** (ERSTELLUNG\$1KOMPLETT) haben. ### Verwenden Sie eine CloudFormation Vorlage, um einzelne Quellkonten einzurichten Bei diesen Schritten wird davon ausgegangen, dass Sie die erforderliche CloudFormation Vorlage bereits heruntergeladen haben, indem Sie die unter beschriebenen Schritte ausführen[Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter](#Unified-Cross-Account-Setup-TemplateOrURL). **Um eine CloudFormation Vorlage zur Einrichtung einzelner Quellkonten für CloudWatch kontenübergreifende Beobachtbarkeit zu verwenden** 1. Melden Sie sich beim Quellkonto an. 1. [Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com /cloudformation.](https://console.aws.amazon.com/cloudformation/) 1. Wählen Sie im linken Navigationsbereich **Stacks** (Stacks) aus. 1. Vergewissern Sie sich, dass Sie in der gewünschten Region angemeldet sind, und wählen Sie dann **Create StackSet** (Stack-Set erstellen), **With new resources (standard)** (Mit neuen Ressourcen (Standard)). 1. Wählen Sie **Weiter** aus. 1. Wählen Sie **Upload a template file (Vorlagendatei hochladen)**. 1. Wählen Sie **Choose file** (Datei auswählen), wählen Sie die Vorlage aus, die Sie vom Überwchungskonto heruntergeladen haben, und wählen Sie **Open** (Öffnen). 1. Wählen Sie **Weiter** aus. 1. Geben Sie für **Specify Stack details** (Stack-Details angeben) einen Stack-Namen ein und wählen Sie **Next** (Weiter). 1. Wählen Sie auf der Seite **Configure stack options** (Stack-Optionen konfigurieren) **Next** (Weiter) aus. 1. Klicken Sie auf der Seite **Review** (Überprüfen) auf **Submit** (Übermitteln). 1. Aktualisieren Sie auf der Statusseite Ihres Stacks den Bildschirm, bis Sie sehen, dass Ihr Stapel den Status **CREATE\$1COMPLETE** (ERSTELLUNG\$1KOMPLETT) hat. 1. Um dieselbe Vorlage zu verwenden, um weitere Quellkonten mit diesem Überwachungskonto zu verknüpfen, melden Sie sich von diesem Konto ab und melden Sie sich beim nächsten Quellkonto an. Wiederholen Sie dann die Schritte 2-12. ### Eine URL verwenden, um individuelle Quellkonten einzurichten Bei diesen Schritten wird vorausgesetzt, dass Sie die erforderliche URL bereits heruntergeladen haben, indem Sie die Schritte unter [Schritt 2: (Optional) Laden Sie eine CloudFormation Vorlage oder URL herunter](#Unified-Cross-Account-Setup-TemplateOrURL) ausführten. **Wie Sie eine URL zu verwenden, um einzelne Quellkonten mit dem Überwachungskonto zu verknüpfen** 1. Melden Sie sich bei dem Konto an, das Sie als Quellkonto verwenden möchten. 1. Geben Sie die URL ein, die Sie vom Überwachungskonto kopiert haben. Sie sehen die CloudWatch Einstellungsseite, auf der einige Informationen ausgefüllt sind. 1. Wählen Sie für **Daten auswählen** aus, ob dieses Quellkonto die Daten von **Protokollen**, **Metriken**, **Ablaufverfolgungen**, **Application Insights – Anwendungen** und **Internet Monitor – Monitore** für dieses Überwachungskonto freigeben kann. Sowohl für **Protokolle** als auch für **Metriken** können Sie wählen, ob Sie alle Ressourcen oder eine Teilmenge mit dem Überwachungskonto teilen möchten. 1. (Optional) Um eine Teilmenge der Protokollgruppen dieses Kontos für das Überwachungskonto freizugeben, wählen Sie **Protokolle** und anschließend **Protokolle filtern** aus. Verwenden Sie dann das Feld **Protokolle filtern**, um eine Abfrage zu konstruieren und die Protokollgruppen zu finden, die Sie gemeinsam nutzen möchten. Die Abfrage nutzt den Begriff `LogGroupName` und einen oder mehrere der folgenden Operanden. + `=` und `!=` + `AND` + `OR` + `^` steht für LIKE und `!^` steht für NOT LIKE. Diese können nur als Präfixsuche verwendet werden. Fügen Sie `%` am Ende der Zeichenfolge ein, nach der Sie suchen und die Sie einschließen möchten. + `IN` und `NOT IN` mithilfe von Klammern (`( )`) Die vollständige Abfrage darf maximal 2000 Zeichen lang sein und ist auf fünf bedingte Operanden beschränkt. Bedingte Operanden sind `AND` und `OR`. Es gibt keine Beschränkung für die Anzahl der anderen Operanden. **Tipp** Wählen Sie **Beispielabfragen anzeigen** aus, um die richtige Syntax für gängige Abfrageformate anzusehen. 1. (Optional) Um eine Teilmenge der Metrik-Namespaces dieses Kontos mit dem Überwachungskonto gemeinsam zu nutzen, wählen Sie **Metriken** und dann **Metriken filtern** aus. Verwenden Sie dann das Feld **Metriken filtern**, um eine Abfrage zu konstruieren und die Metrik-Namespaces zu finden, die Sie gemeinsam nutzen möchten. Nutzen Sie den Begriff `Namespace` und einen oder mehrere der folgenden Operanden. + `=` und `!=` + `AND` + `OR` + `LIKE` und `NOT LIKE`. Diese können nur als Präfixsuche verwendet werden. Fügen Sie `%` am Ende der Zeichenfolge ein, nach der Sie suchen und die Sie einschließen möchten. + `IN` und `NOT IN` mithilfe von Klammern (`( )`) Die vollständige Abfrage darf maximal 2000 Zeichen lang sein und ist auf fünf bedingte Operanden beschränkt. Bedingte Operanden sind `AND` und `OR`. Es gibt keine Beschränkung für die Anzahl der anderen Operanden. **Tipp** Wählen Sie **Beispielabfragen anzeigen** aus, um die richtige Syntax für gängige Abfrageformate anzusehen. 1. Ändern Sie den ARN nicht unter **Enter monitoring account configuration ARN** (ARN für die Konfiguration des Überwachungskontos eingeben) ein. 1. Der Abschnitt **Ein Label zur Identifizierung Ihres Quellkontos definieren** ist mit der Labelauswahl aus dem Überwachungskonto vorausgefüllt, sofern vorhanden. Wählen Sie **Edit** (Bearbeiten) aus, um eine Option zu ändern. **Anmerkung** In den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) besteht die einzige unterstützte Option darin, benutzerdefinierte Labels zu verwenden, und die `$AcccountEmailNoDomain` Variablen `$AccountName``$AcccountEmail`, und werden alle als *account-id* anstelle der angegebenen Variablen aufgelöst. 1. Wählen Sie **Verknüpfen**. 1. Geben Sie in das Bestätigungsfeld **Confirm** ein und wählen Sie dann **Confirm** (Bestätigen). 1. Um dieselbe URL zu verwenden, um weitere Quellkonten mit diesem Überwachungskonto zu verknüpfen, melden Sie sich von diesem Konto ab und melden Sie sich beim nächsten Quellkonto an. Wiederholen Sie dann die Schritte 2-7. # Überwachungskonten und Quellkonten verwalten Nachdem Sie Ihre Überwachungs- und Quellkonten eingerichtet haben, können Sie die Schritte in diesen Abschnitten verwenden, um sie zu verwalten. **Contents** + [Quellkonten mit einem vorhandenen Überwachungskonto verknüpfen](#Unified-Cross-Account-Setup-AddSourceAccounts) + [Die Verknüpfung zwischen einem Überwachungskonto und einem Quellkonto entfernen](#Unified-Cross-Account-Setup-UnlinkAccount) + [Informationen über ein Überwachungskonto anzeigen](#Unified-Cross-Account-Setup-ManageMonitoringAccount) ## Quellkonten mit einem vorhandenen Überwachungskonto verknüpfen Führen Sie die Schritte in diesem Abschnitt aus, um Links von zusätzlichen Quellkonten zu einem vorhandenen Überwachungskonto hinzuzufügen. Jedes Quellkonto kann mit bis zu fünf Überwachungskonten verknüpft werden. Jedes Überwachungskonto kann mit bis zu 100 000 Quellkonten verknüpft werden. Um ein Quellkonto zu verwalten, müssen Sie über bestimmte Berechtigungen verfügen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **Wie Sie weitere Quellkonten mit einem vorhandenen Überwachungskonto verknüpfen** 1. Melden Sie sich beim Überwachungskonto an. 1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus. 1. Wählen Sie unter **Monitoring account configuration** (Konfiguration des Überwachungskontos) die Option **Manage source accounts** (Quellkonten verwalten) aus. 1. Wählen Sie die Registerkarte **Configuration policy** (Konfigurationsrichtlinie) aus. 1. Fügen Sie im Feld **Configuration policy** (Konfigurationsrichtlinie) die neue Quellkonto-ID in der Zeile **Principal** (Prinzipal) hinzu. Angenommen, die Zeile **Principal** (Prinzipal) sieht derzeit wie folgt aus: ``` "Principal": {"AWS": ["111111111111", "222222222222"]} ``` Um `999999999999` als drittes Quellkonto hinzuzufügen, bearbeiten Sie die Zeile wie folgt: ``` "Principal": {"AWS": ["111111111111", "222222222222", "999999999999"]} ``` 1. Wählen Sie **Aktualisieren** aus. 1. Wählen Sie die Registerkarte **Configuration details** (Konfigurationsdetails) aus. 1. Wählen Sie das Kopiersymbol, das sich neben dem Sink-ARN des Überwachungskontos befindet. 1. Melden Sie sich bei dem Konto an, das Sie als neues Quellkonto verwenden möchten. 1. Fügen Sie den Sink-ARN des Überwachungskontos ein, den Sie in Schritt 9 kopiert haben. Sie sehen die CloudWatch Einstellungsseite, auf der einige Informationen ausgefüllt sind. 1. **Wählen Sie unter Daten** auswählen aus, ob dieses Quellkonto Daten zu **Logs**, **Metriken**, **Traces** und **Application Insights — Anwendungen**, **Internet Monitor — Monitoren** und **Anwendungssignalen — Services, Service Level Objectives (SLOs)** an die Überwachungskonten sendet, mit denen es verknüpft ist. 1. Ändern Sie den ARN nicht unter **Enter monitoring account configuration ARN** (ARN für die Konfiguration des Überwachungskontos eingeben) ein. 1. Der Abschnitt **Ein Label zur Identifizierung Ihres Quellkontos definieren** ist mit der Labelauswahl aus dem Überwachungskonto vorausgefüllt, sofern vorhanden. Wählen Sie **Edit** (Bearbeiten) aus, um eine Option zu ändern. **Anmerkung** In den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) besteht die einzige unterstützte Option darin, benutzerdefinierte Labels zu verwenden, und die `$AcccountEmailNoDomain` Variablen `$AccountName``$AcccountEmail`, und werden alle als *account-id* anstelle der angegebenen Variablen aufgelöst. 1. Wählen Sie **Verknüpfen**. 1. Geben Sie in das Bestätigungsfeld **Confirm** ein und wählen Sie dann **Confirm** (Bestätigen). ## Die Verknüpfung zwischen einem Überwachungskonto und einem Quellkonto entfernen Führen Sie die Schritte in diesem Abschnitt aus, um das Senden von Daten von einem Quellkonto an ein Überwachungskonto zu beenden. **Anmerkung** Wenn das Quellkonto die Metriken nicht mehr mit dem *Monitoring*-Konto teilt, kann das Überwachungskonto nicht mehr auf die Metrikdaten des *Quellkontos* zugreifen. Die Namen der Quellmetriken können für das Überwachungskonto bis zu 14 Tage lang sichtbar sein. Sie müssen über die für die Verwaltung eines Quellkontos erforderlichen Berechtigungen verfügen, um diese Aufgabe ausführen zu können. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **So entfernen Sie die Verknüpfung zwischen einem Quellkonto und einem Überwachungskonto** 1. Melden Sie sich beim Quellkonto an. 1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus. 1. Wählen Sie unter **Konfiguration des Quellkontos** die Option **Verknüpfte Überwachungskonten anzeigen** aus. 1. Aktivieren Sie das Kontrollkästchen neben dem Überwachungskonto, mit dem Sie keine Daten mehr teilen möchten. 1. Wählen Sie **Überwachungskonto entfernen**, dann **Bestätigen** aus. 1. Melden Sie sich beim Überwachungskonto an. 1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Wählen Sie **Einstellungen** aus. 1. Wählen Sie unter **Konfiguration des Überwachungskontos** die Option **Quellkonto verwalten** aus. 1. Löschen Sie im Feld **Richtlinie** die Quellkonto-ID aus der Zeile **Prinzipal** und wählen Sie **Aktualisieren** aus. ## Informationen über ein Überwachungskonto anzeigen Führen Sie die Schritte in diesem Abschnitt aus, um die kontoübergreifenden Einstellungen eines Überwachungskontos anzuzeigen. Um ein Überwachungskonto zu verwalten, müssen Sie über bestimmte Berechtigungen verfügen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **So verwalten Sie ein Überwachungskonto** 1. Melden Sie sich beim Überwachungskonto an. 1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Wählen Sie im linken Navigationsbereich die Option **Einstellungen** aus. 1. Wählen Sie unter **Konfiguration des Überwachungskontos** die Option **Quellkonten verwalten** aus. 1. Um die Beobachtbarkeits-Zugriffsmanager-Richtlinie anzuzeigen, die dieses Konto als Überwachungskonto ermöglicht, wählen Sie die Registerkarte **Configuration policy** (Konfigurationsrichtlinie) aus. 1. Um die Quellkonten anzuzeigen, die mit diesem Überwachungskonto verknüpft sind, wählen Sie die Registerkarte **Linked source accounts** (Verknüpfte Quellkonten). 1. Wählen Sie die Registerkarte Verknüpfte Quellkonten, um den ARN des Überwachungskontos und die Datentypen anzuzeigen, die dieses Überwachungskonto in der Registerkarte **Linked source accounts** (verknüpfte Quellkonten) anzeigen kann. # Kontoübergreifende, regionsübergreifende Konsole CloudWatch **Anmerkung** Wir empfehlen Ihnen, CloudWatch kontenübergreifende Observability zu verwenden, um die umfassendste kontenübergreifende Beobachtbarkeit und Erkennung Ihrer Messwerte, Logs und Traces innerhalb einer Region zu erhalten. Weitere Informationen finden Sie unter [CloudWatch kontenübergreifende Beobachtbarkeit](CloudWatch-Unified-Cross-Account.md). Mit der konto- und regionsübergreifenden CloudWatch Konsole können Sie ganz einfach zwischen verschiedenen Konten und Regionen wechseln, indem Sie mithilfe von Selektoren in der Konsole die Dashboards, Alarme und Metriken anderer Konten und Regionen einsehen. Mit dieser Funktion können Sie auch konto- und regionsübergreifende Dashboards erstellen, die Ihre CloudWatch Kennzahlen aus mehreren AWS Konten und mehreren Regionen in einem einzigen Dashboard zusammenfassen, sodass Sie darauf zugreifen können, ohne zwischen Konten oder Regionen wechseln zu müssen. Viele Organisationen haben ihre AWS Ressourcen in mehreren Konten bereitgestellt, um Abrechnungs- und Sicherheitsgrenzen zu gewährleisten. In diesem Fall empfiehlt es sich, ein oder mehrere Konten als *Überwachungskonten* festzulegen und in diesen Konten konten- und regionenübergreifende Dashboards zu erstellen. Kontoübergreifende regionsübergreifende Konsolenfunktionen sind integriert, sodass Sie Ihre kontoübergreifenden AWS Organizations, regionsübergreifenden Dashboards effizient erstellen können. Die konto- und regionsübergreifende CloudWatch Konsolenoberfläche bietet keine kontoübergreifende, regionsübergreifende Sichtbarkeit von Protokollen. Darüber hinaus unterstützt sie nicht das Erstellen von Alarmen für Metriken in anderen Konten oder Regionen innerhalb eines Überwachungskontos. **Topics** + [Aktivierung von konto- und regionsübergreifender Funktionalität in CloudWatch](#enable-cross-account-cross-Region) + [(Optional) Integrieren Sie mit AWS Organizations](#cross-account-and-AWS-organizations) + [Problembehebung bei Ihrer CloudWatch kontoübergreifenden Einrichtung](#troubleshooting-cross-account-cross-Region) + [Kontoberechtigungen für den kontoübergreifenden Zugriff überwachen](#cross-account-cross-region-limitations) + [Deaktivieren und Bereinigen nach kontoübergreifender Verwendung](#cleanup-cross-account-cross-Region) ## Aktivierung von konto- und regionsübergreifender Funktionalität in CloudWatch Um kontoübergreifende regionsübergreifende Funktionen in Ihrer CloudWatch Konsole einzurichten, verwenden Sie die CloudWatch Konsole, um Ihre Sharing-Konten und Monitoring-Konten einzurichten. **Ein Freigabekonto einrichten** Sie müssen die Freigabe in jedem Konto aktivieren, das dem Überwachungskonto Daten zur Verfügung stellt. Dadurch werden die schreibgeschützten Berechtigungen, die Sie in Schritt 5 ausgewählt haben, allen Benutzern gewährt, die ein kontoübergreifendes Dashboard in dem Konto anzeigen, mit dem Sie teilen, wenn der Benutzer über entsprechende Berechtigungen in dem Konto verfügt, mit dem Sie teilen. **Damit dein Konto CloudWatch Daten mit anderen Konten teilen kann** 1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen). 1. Wählen **Sie für Share your CloudWatch data** die Option **Configure** aus. 1. Wählen Sie unter **Teilen** die Option **Bestimmte Konten** IDs aus und geben Sie die Konten ein, mit denen Sie Daten teilen möchten. Alle Konten, die Sie hier angeben, können die CloudWatch Daten Ihres Kontos einsehen. Geben Sie IDs nur die Konten an, die Sie kennen und denen Sie vertrauen. 1. Geben Sie unter **Permissions (Berechtigungen)** mit einer der folgenden Optionen an, wie Ihre Daten freigegeben werden sollen: + **Bieten Sie nur Lesezugriff auf Ihre CloudWatch Kennzahlen, Dashboards und Alarme**. Diese Option ermöglicht es den Überwachungskonten, kontoübergreifende Dashboards zu erstellen, die Widgets enthalten, die Daten aus Ihrem Konto enthalten CloudWatch . + **Fügen Sie CloudWatch automatische Dashboards hinzu**. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die Informationen in den automatischen Dashboards dieses Kontos anzeigen. Weitere Informationen finden Sie unter [Erste Schritte mit CloudWatch automatischen Dashboards](GettingStarted.md). + **Schreibgeschützten X-Ray-Zugriff für die X-Ray Trace Map einschließen**. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die X-Ray Trace Map und die X-Ray-Ablaufverfolgungsinformationen in diesem Konto anzeigen. Weitere Informationen finden Sie unter [Verwenden der X-Ray Trace Map](https://docs.aws.amazon.com/xray/latest/devguide/xray-console-servicemap.html). + **Schließen Sie schreibgeschützten Zugriff für** Database Insights ein. Wenn Sie diese Option auswählen, können Benutzer des Überwachungskontos auch die Database Insights-Telemetrie in diesem Konto einsehen. Weitere Informationen finden Sie unter [Kontenübergreifendes regionsübergreifendes Monitoring für CloudWatch Database Insights einrichten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Database-Insights-Cross-Account-Cross-Region.html). + **Full read-only access to everything in your account (Vollständiger schreibgeschützter Zugriff auf alles in Ihrem Konto)**. Mit dieser Option können die Konten, die Sie für die gemeinsame Nutzung verwenden, kontoübergreifende Dashboards erstellen, die Widgets enthalten, die CloudWatch Daten aus Ihrem Konto enthalten. Außerdem können diese Konten tiefer in Ihr Konto sehen und die Daten Ihres Kontos in den Konsolen anderer AWS -Dienste anzeigen. 1. Wählen Sie Vorlage **starten CloudFormation **. Geben Sie auf dem Bestätigungsbildschirm **Confirm** ein und wählen Sie **Launch template (Vorlage starten)**. 1. Aktivieren Sie das Kontrollkästchen **I acknowledge... (Ich bestätige...)**. Wählen Sie anschließend **Create stack (Stack erstellen)** aus. **Freigeben für eine ganze Organisation** Wenn Sie das vorangegangene Verfahren ausführen, wird eine IAM-Rolle erstellt, mit der Ihr Konto Daten für ein Konto freigeben kann. Sie können eine IAM-Rolle erstellen oder bearbeiten, die Ihre Daten für alle Konten in einer Organisation freigibt. Tun Sie dies nur, wenn Sie alle Konten in der Organisation kennen und ihnen vertrauen. Dadurch werden allen Benutzern, die ein kontoübergreifendes Dashboard in dem von Ihnen freigegebenen Konto anzeigen, die in den Richtlinien in Schritt 5 des vorherigen Verfahrens aufgeführten schreibgeschützten Berechtigungen erteilt, wenn der Benutzer über entsprechende Berechtigungen in dem von Ihnen freigegebenen Konto verfügt mit. **Um Ihre CloudWatch Kontodaten mit allen Konten in einer Organisation zu teilen** 1. Falls Sie dies noch nicht getan haben, führen Sie das vorherige Verfahren aus, um Ihre Daten mit einem AWS Konto zu teilen. 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie im Navigationsbereich **Rollen**. 1. Wählen Sie in der Rollenliste **CloudWatch- CrossAccountSharingRole** aus. 1. Wählen Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** **Edit Trust Relationship (Vertrauensbeziehung bearbeiten)** aus. Sie sehen eine Richtlinie wie diese: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. Ändern Sie die Richtlinie wie folgt und *org-id* ersetzen Sie sie durch die ID Ihrer Organisation. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "org-id" } } } ] } ``` ------ 1. Wählen Sie **Update Trust Policy** (Trust Policy aktualisieren). **Einrichten eines Überwachungskontos** Aktivieren Sie jedes Überwachungskonto, wenn Sie kontoübergreifende CloudWatch Daten anzeigen möchten. Wenn Sie das folgende Verfahren ausführen, CloudWatch wird eine dienstbezogene Rolle erstellt, die im Überwachungskonto auf Daten CloudWatch zugreift, die von Ihren anderen Konten gemeinsam genutzt wurden. Diese dienstverknüpfte Rolle heißt. **AWSServiceRoleForCloudWatchCrossAccount** Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für CloudWatch](using-service-linked-roles.md). **Um Ihrem Konto die Anzeige kontoübergreifender CloudWatch Daten zu ermöglichen** 1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Wählen Sie im Navigationsbereich **Einstellungen** und dann im Abschnitt **Kontoübergreifend und regionsübergreifend** die Option **Konfigurieren** aus. 1. Wählen Sie im Abschnitt **Kontoübergreifende regionsübergreifende Ansicht** die Option **Aktivieren** aus und aktivieren Sie dann das Kontrollkästchen **Auswahl in der Konsole anzeigen**, damit eine Kontoauswahl in der CloudWatch Konsole angezeigt wird, wenn Sie eine Kennzahl grafisch darstellen oder einen Alarm erstellen. 1. Wählen Sie unter **View cross-account cross-region** (Konto- und regionenübergreifende Anzeige) eine der folgenden Optionen aus: + **Account Id Input (Konto-ID-Eingabe)**. Mit dieser Option werden Sie aufgefordert, jedes Mal, wenn Sie Konten wechseln möchten, manuell eine Konto-ID einzugeben, wenn kontoübergreifende Daten angezeigt werden. + **AWS Kontoauswahl** für Unternehmen. Über diese Option können Sie die Konten anzeigen, die Sie während der kontoübergreifenden Integration mit Organizations angegeben haben. Wenn Sie die Konsole beim nächsten Mal verwenden, zeigt CloudWatch eine Dropdown-Liste dieser Konten an, aus der Sie auswählen können, wenn kontenübergreifende Daten angezeigt werden. Dazu müssen Sie zuerst Ihr Organisationsverwaltungskonto verwendet haben, um eine Liste der Konten in Ihrer Organisation anzeigen CloudWatch zu können. Weitere Informationen finden Sie unter [(Optional) Integrieren Sie mit AWS Organizations](#cross-account-and-AWS-organizations). + **Custom account selector (Benutzerdefinierte Kontenauswahl)**. Diese Option fordert Sie auf, eine IDs Kontenliste einzugeben. Wenn Sie die Konsole das nächste Mal verwenden, CloudWatch wird eine Dropdownliste mit diesen Konten angezeigt, aus der Sie auswählen können, wenn Sie kontenübergreifende Daten anzeigen. Sie können auch ein Label für jedes dieser Konten eingeben, um sie bei der Auswahl der anzuzeigenden Konten zu identifizieren. Die Kontoauswahleinstellungen, die ein Benutzer hier vornimmt, werden nur für diesen Benutzer beibehalten, nicht für die anderen Benutzer im Überwachungskonto. 1. Wählen Sie **Enable (Aktivieren)** aus. Nach dem Abschluss dieser Einrichtung können Sie konto- und regionsübergreifende Dashboards erstellen. Weitere Informationen finden Sie unter [Ein CloudWatch benutzerdefiniertes Dashboard erstellen](create_dashboard.md). **Regionsübergreifende Funktionalität** Die regionsübergreifende Funktionalität ist jetzt automatisch in dieses Feature integriert. Sie müssen keine zusätzlichen Schritte ausführen, um Metriken aus verschiedenen Regionen in einem einzigen Konto im selben Diagramm oder Dashboard anzeigen zu können. Alarme werden nicht regionsübergreifend unterstützt, sodass Sie keinen Alarm in einer Region erstellen können, der eine Metrik in einer anderen Region überwacht. ## (Optional) Integrieren Sie mit AWS Organizations Wenn Sie kontenübergreifende Funktionen in integrieren möchten AWS Organizations, müssen Sie den Überwachungskonten eine Liste aller Konten in der Organisation zur Verfügung stellen. **Um die kontenübergreifende CloudWatch Funktionalität für den Zugriff auf eine Liste aller Konten in Ihrer Organisation zu aktivieren** 1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an. 1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Wählen Sie im Navigationsbereich **Settings (Einstellungen)** und dann **Configure (Konfigurieren)** aus. 1. Wählen Sie für **„Zugriff auf die Liste der Konten in der Organisation gewähren**“ die Option **Bestimmte Konten** aus, um zur Eingabe einer Kontoliste aufgefordert zu werden IDs. Die Liste der Konten in Ihrer Organisation wird nur für die Konten freigegeben, die Sie hier angeben. 1. Wählen Sie **Share organization account list (Organisationskontenliste freigeben)**. 1. Wählen Sie ** CloudFormation Vorlage starten**. Geben Sie auf dem Bestätigungsbildschirm **Confirm** ein und wählen Sie **Launch template (Vorlage starten)**. ## Problembehebung bei Ihrer CloudWatch kontoübergreifenden Einrichtung Dieser Abschnitt enthält Tipps zur Fehlerbehebung bei der kontoübergreifenden Konsolenbereitstellung in CloudWatch. **Ich erhalte Zugriffsverweigerungsfehler bei der Anzeige kontoübergreifender Daten** Überprüfen Sie, ob Folgendes der Fall ist: + Ihr Monitoring-Konto sollte eine Rolle mit dem Namen haben. **AWSServiceRoleForCloudWatchCrossAccount** Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter [Set Up a Monitoring Account](#setup_monitoring_account). + Jedes Sharing-Konto sollte eine Rolle mit dem Namen **CloudWatch-** habenCrossAccountSharingRole. Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter [Set Up A Sharing Account](#setup_sharing_account). + Die Freigaberolle muss dem Überwachungskonto vertrauen. **Um zu überprüfen, ob Ihre Rollen für die CloudWatch kontoübergreifende Konsole ordnungsgemäß eingerichtet sind** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Wählen Sie im Navigationsbereich **Rollen**. 1. Stellen Sie in der Liste der Rollen sicher, dass die erforderliche Rolle vorhanden ist. Suchen Sie in einem Sharing-Konto nach **CloudWatch- CrossAccountSharingRole**. Suchen Sie in einem Überwachungskonto nach **AWSServiceRoleForCloudWatchCrossAccount**. 1. Wenn Sie ein Sharing-Konto haben und **CloudWatch- CrossAccountSharingRole** bereits vorhanden ist, wählen Sie **CloudWatch- CrossAccountSharingRole**. 1. Wählen Sie auf der Registerkarte **Trust Relationships (Vertrauensbeziehungen)** **Edit Trust Relationship (Vertrauensbeziehung bearbeiten)** aus. 1. Bestätigen Sie, dass die Richtlinie entweder die Konto-ID des Überwachungskontos oder die Organisations-ID einer Organisation enthält, die das Überwachungskonto enthält. **In der Konsole wird kein Konten-Dropdown-Menü angezeigt.** Überprüfen Sie zunächst, ob Sie die richtigen IAM-Rollen erstellt haben, wie im vorangegangenen Abschnitt zur Problembehandlung erläutert. Wenn diese korrekt eingerichtet sind, stellen Sie sicher, dass Sie dieses Konto aktiviert haben, um kontoübergreifende Daten anzuzeigen, wie unter [Enable Your Account to View Cross-Account Data](#view_cross_account) beschrieben. ## Kontoberechtigungen für den kontoübergreifenden Zugriff überwachen Um erfolgreich auf eine Aktion in Quellkonten zugreifen zu können, muss der Benutzer im Überwachungskonto über die entsprechenden Berechtigungen für alle Ressourcen (\$1) für diese Aktion im Überwachungskonto verfügen. Dies ist eine lokale Berechtigungsanforderung für das Überwachungskonto und steht in keinem Zusammenhang mit den Berechtigungen in der Rolle „Kontenübergreifende gemeinsame Nutzung“ in Quellkonten. ### Beispiel Um eine Log-Abfrage in einem Quellkonto zu starten, müssen Sie StartQuery im Überwachungskonto über Platzhalterrechte (\$1) verfügen. Die kontoübergreifende Rolle des Quellkontos kann den Zugriff auf bestimmte Protokollgruppen dennoch einschränken. **Unterstützt — Wildcard-Ressource:** ``` { "Effect": "Allow", "Action": "logs:StartQuery", "Resource": "*" } ``` **Nicht unterstützt — spezifischer ARN:** ``` { "Effect": "Allow", "Action": "logs:StartQuery", "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/my-function:*" } ``` ## Deaktivieren und Bereinigen nach kontoübergreifender Verwendung Gehen Sie wie folgt vor, um die kontoübergreifende Funktionalität für CloudWatch zu deaktivieren. **Schritt 1: Kontoübergreifende Stacks oder Rollen entfernen** Die beste Methode besteht darin, die CloudFormation Stacks zu entfernen, die zur Aktivierung der kontenübergreifenden Funktionalität verwendet wurden. + Entfernen Sie in jedem der Sharing-Konten den Stapel **CloudWatch- CrossAccountSharingRole**. + Wenn Sie früher AWS Organizations die kontoübergreifende Funktionalität für alle Konten in einer Organisation aktiviert haben, entfernen Sie den CrossAccountListAccountsRole Stapel **CloudWatch-** aus dem Verwaltungskonto der Organisation. Wenn Sie die CloudFormation Stacks nicht verwendet haben, um die kontenübergreifende Funktionalität zu aktivieren, gehen Sie wie folgt vor: + Löschen Sie in jedem der Sharing-Konten die **CloudWatchCrossAccountSharingRoleIAM-Rolle**. + Wenn Sie bisher AWS Organizations die kontoübergreifende Funktionalität für alle Konten in einer Organisation aktiviert haben, löschen Sie die ListAccountsRole IAM-Rolle **CloudWatchCrossAccountSharing- -** im Verwaltungskonto der Organisation. **Schritt 2: Serviceverknüpfte Rolle entfernen** Löschen Sie im Überwachungskonto die **AWSServiceRoleForCloudWatchCrossAccount**dienstverknüpfte IAM-Rolle.