Konto- und regionenübergreifende CloudWatch-Konsole - Amazon CloudWatch
Aktivieren der konto- und regionenübergreifenden Funktionalität(Optional) Integration mit AWS OrganizationsFehlersucheDeaktivieren und Bereinigen nach kontoübergreifender Verwendung

Konto- und regionenübergreifende CloudWatch-Konsole

Anmerkung

Wir empfehlen Ihnen die Nutzung der kontoübergreifenden Beobachtbarkeit von CloudWatch, um die kontoübergreifende Beobachtbarkeit und Aufdeckungs-Erfahrung für Ihre Metriken, Protokolle und Ablaufverfolgungen zu erhalten. Weitere Informationen finden Sie unter Kontoübergreifende Beobachtbarkeit von CloudWatch.

Mit der konto- und regionenübergreifenden CloudWatch-Konsole können Sie einfach zwischen verschiedenen Konten und Regionen wechseln, indem Sie mithilfe von Auswahlfunktionen in der Konsole die Dashboards, Alarme und Metriken in anderen Konten und Regionen ansehen. Mit dieser Funktion können Sie auch konto- und regionenübergreifende Dashboards erstellen, die Ihre CloudWatch-Metriken aus mehreren AWS-Konten und Regionen in einem einzigen Dashboard zusammenfassen, sodass Sie ohne den Wechsel zwischen Konten oder Regionen darauf zugreifen können.

Viele Organisationen haben ihre AWS-Ressourcen in mehreren Konten bereitgestellt, um Abrechnungs- und Sicherheitsgrenzen einzurichten. In diesem Fall empfiehlt es sich, ein oder mehrere Konten als Überwachungskonten festzulegen und in diesen Konten konten- und regionenübergreifende Dashboards zu erstellen. Die konten- und regionenübergreifende Konsolenfunktionalität ist in AWS Organizations integriert, um Ihnen dabei zu helfen, Ihre konten- und regionenübergreifenden Dashboards effizient zu erstellen.

Die konto- und regionenübergreifende CloudWatch-Konsole bietet keine konto- und regionenübergreifende Protokollsichtbarkeit. Darüber hinaus unterstützt sie nicht das Erstellen von Alarmen für Metriken in anderen Konten oder Regionen innerhalb eines Überwachungskontos.

Aktivieren der konto- und regionenübergreifenden Funktionalität in CloudWatch

Um in Ihrer CloudWatch-Konsole eine konto- und regionenübergreifende Funktionalität einzurichten, richten Sie in der CloudWatch-Konsole Freigabe- und Überwachungskonten ein.

Ein Freigabekonto einrichten

Sie müssen die Freigabe in jedem Konto aktivieren, das dem Überwachungskonto Daten zur Verfügung stellt.

Dadurch werden die schreibgeschützten Berechtigungen, die Sie in Schritt 5 ausgewählt haben, allen Benutzern gewährt, die ein kontoübergreifendes Dashboard in dem Konto anzeigen, mit dem Sie teilen, wenn der Benutzer über entsprechende Berechtigungen in dem Konto verfügt, mit dem Sie teilen.

So aktivieren Sie Ihr Konto zum Freigeben von CloudWatch-Daten für andere Konten:

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie für Share your CloudWatch-Daten (Ihre CloudWatch-Daten teilen) die Option Configure (Konfigurieren) aus.

  4. Wählen Sie unter Sharing (Freigeben) die Option Specific Accounts (Bestimmte Konten) und geben Sie die IDs der Konten ein, für die Sie Daten freigeben möchten.

    Alle Konten, die Sie hier angeben, können die CloudWatch-Daten Ihres Kontos anzeigen. Geben Sie nur die IDs von Konten an, die Sie kennen und denen Sie vertrauen.

  5. Geben Sie unter Permissions (Berechtigungen) mit einer der folgenden Optionen an, wie Ihre Daten freigegeben werden sollen:

    • Bereitstellen von schreibgeschütztem Zugriff auf Ihre CloudWatch-Metriken, -Dashboards und -Alarme. Über diese Option können die Überwachungskonten konto- und regionsübergreifende Dashboards mit Widgets erstellen, die CloudWatch-Daten aus Ihrem Konto enthalten.

    • CloudWatch Dashboards einschließen. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die Informationen in den automatischen Dashboards dieses Kontos anzeigen. Weitere Informationen finden Sie unter Erste Schritte mit automatischen CloudWatch-Dashboards.

    • Schreibgeschützten X-Ray-Zugriff für die X-Ray Trace Map einschließen. Wenn Sie diese Option auswählen, können Benutzer im Überwachungskonto auch die X-Ray Trace Map und die X-Ray-Ablaufverfolgungsinformationen in diesem Konto anzeigen. Weitere Informationen finden Sie unter Verwenden der X-Ray Trace Map.

    • Full read-only access to everything in your account (Vollständiger schreibgeschützter Zugriff auf alles in Ihrem Konto). Mit dieser Option können die Konten, die Sie für die Freigabe verwenden, konto- und regionsübergreifende Dashboards mit Widgets erstellen, die CloudWatch-Daten aus Ihrem Konto enthalten. Außerdem können diese Konten tiefer in Ihr Konto sehen und die Daten Ihres Kontos in den Konsolen anderer AWS-Dienste anzeigen.

  6. Wählen Sie Launch CloudFormation template (CloudFormation-Vorlage starten).

    Geben Sie auf dem Bestätigungsbildschirm Confirm ein und wählen Sie Launch template (Vorlage starten).

  7. Aktivieren Sie das Kontrollkästchen I acknowledge... (Ich bestätige...). Wählen Sie anschließend Create stack (Stack erstellen) aus.

Freigeben für eine ganze Organisation

Wenn Sie das vorangegangene Verfahren ausführen, wird eine IAM-Rolle erstellt, mit der Ihr Konto Daten für ein Konto freigeben kann. Sie können eine IAM-Rolle erstellen oder bearbeiten, die Ihre Daten für alle Konten in einer Organisation freigibt. Tun Sie dies nur, wenn Sie alle Konten in der Organisation kennen und ihnen vertrauen.

Dadurch werden allen Benutzern, die ein kontoübergreifendes Dashboard in dem von Ihnen freigegebenen Konto anzeigen, die in den Richtlinien in Schritt 5 des vorherigen Verfahrens aufgeführten schreibgeschützten Berechtigungen erteilt, wenn der Benutzer über entsprechende Berechtigungen in dem von Ihnen freigegebenen Konto verfügt mit.

So geben Sie Ihre CloudWatch-Kontodaten für alle Konten in einer Organisation frei:

  1. Wenn Sie dies noch nicht getan haben, führen Sie das vorangehende Verfahren aus, um Ihre Daten für ein AWS-Konto freizugeben.

  2. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  3. Wählen Sie im Navigationsbereich Roles.

  4. Wählen Sie in der Liste der Rollen CloudWatch-CrossAccountSharingRole.

  5. Wählen Sie auf der Registerkarte Trust Relationships (Vertrauensbeziehungen) Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

    Sie sehen eine Richtlinie wie diese:

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  6. Ändern Sie die Richtlinie folgendermaßen, indem Sie org-id durch die ID Ihrer Organisation ersetzen.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "org-id"
        }
      }

    }
  ]
}

  7. Wählen Sie Update Trust Policy (Trust Policy aktualisieren).

Einrichten eines Überwachungskontos

Sie müssen jedes Überwachungskonto aktivieren, wenn Sie kontoübergreifende CloudWatch-Daten anzeigen möchten.

Wenn Sie das folgende Verfahren ausführen, erstellt CloudWatch eine serviceverknüpfte Rolle, die CloudWatch im Überwachungskonto verwendet, um auf Daten zuzugreifen, die von Ihren anderen Konten freigegeben wurden. Diese serviceverknüpfte Rolle heißt AWSServiceRoleForCloudWatchCrossAccount. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für CloudWatch.

So aktivieren Sie Ihr Konto für die Anzeige kontoübergreifender CloudWatch-Daten

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Einstellungen und dann im Abschnitt Kontoübergreifend und regionsübergreifend die Option Konfigurieren aus.

  3. Wählen Sie im Abschnitt View cross-account cross-region (Kontoübergreifend und regionsübergreifend anzeigen) die Option Enable (Aktivieren) aus und wählen Sie dann das Kontrollkästchen Show selector in the console (Selektor in der Konsole anzeigen) aus, damit eine Kontoauswahl in der CloudWatch-Konsole angezeigt wird, wenn Sie eine Metrik grafisch darstellen oder einen Alarm erstellen.

  4. Wählen Sie unter View cross-account cross-region (Konto- und regionenübergreifende Anzeige) eine der folgenden Optionen aus:

    • Account Id Input (Konto-ID-Eingabe). Mit dieser Option werden Sie aufgefordert, jedes Mal, wenn Sie Konten wechseln möchten, manuell eine Konto-ID einzugeben, wenn kontoübergreifende Daten angezeigt werden.

    • AWS-Kontoauswahl der Organisation. Über diese Option können Sie die Konten anzeigen, die Sie während der kontoübergreifenden Integration mit Organizations angegeben haben. Wenn Sie die Konsole beim nächsten Mal verwenden, zeigt CloudWatch eine Dropdown-Liste dieser Konten an, aus der Sie auswählen können, wenn kontoübergreifende Daten angezeigt werden.

      Dazu müssen Sie zunächst Ihr Organisationsverwaltungskonto verwendet haben, damit CloudWatch eine Liste der Konten in Ihrer Organisation anzeigen kann. Weitere Informationen finden Sie unter (Optional) Integration mit AWS Organizations.

    • Custom account selector (Benutzerdefinierte Kontenauswahl). Diese Option fordert Sie auf, eine Liste mit Konto-IDs einzugeben. Wenn Sie die Konsole beim nächsten Mal verwenden, zeigt CloudWatch eine Dropdown-Liste dieser Konten an, aus der Sie auswählen können, wenn kontoübergreifende Daten angezeigt werden.

      Sie können auch ein Label für jedes dieser Konten eingeben, um sie bei der Auswahl der anzuzeigenden Konten zu identifizieren.

      Die Kontoauswahleinstellungen, die ein Benutzer hier vornimmt, werden nur für diesen Benutzer beibehalten, nicht für die anderen Benutzer im Überwachungskonto.

  5. Wählen Sie Enable (Aktivieren) aus.

Nach dem Abschluss dieser Einrichtung können Sie konto- und regionsübergreifende Dashboards erstellen. Weitere Informationen finden Sie unter So erstellen Sie ein benutzerdefiniertes CloudWatch-Dashboard.

Regionsübergreifende Funktionalität

Die regionsübergreifende Funktionalität ist jetzt automatisch in dieses Feature integriert. Sie müssen keine zusätzlichen Schritte ausführen, um Metriken aus verschiedenen Regionen in einem einzigen Konto im selben Diagramm oder Dashboard anzeigen zu können. Alarme werden nicht regionsübergreifend unterstützt, sodass Sie keinen Alarm in einer Region erstellen können, der eine Metrik in einer anderen Region überwacht.

(Optional) Integration mit AWS Organizations

Wenn Sie die kontoübergreifende Funktionalität mit AWS Organizations integrieren möchten, müssen Sie den Überwachungskonten eine Liste aller Konten in der Organisation zur Verfügung stellen.

So aktivieren Sie die kontoübergreifende CloudWatch-Funktionalität für den Zugriff auf eine Liste aller Konten in Ihrer Organisation

  1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an.

  2. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  3. Wählen Sie im Navigationsbereich Settings (Einstellungen) und dann Configure (Konfigurieren) aus.

  4. Wählen Sie unter Grant permission to view the list of accounts in the organization (Berechtigung zum Anzeigen der Liste der Konten in der Organisation erteilen) Specific accounts (Bestimmte Konten), um zur Eingabe einer Liste von Konto-IDs aufgefordert zu werden. Die Liste der Konten in Ihrer Organisation wird nur für die Konten freigegeben, die Sie hier angeben.

  5. Wählen Sie Share organization account list (Organisationskontenliste freigeben).

  6. Wählen Sie Launch CloudFormation template (CloudFormation-Vorlage starten).

    Geben Sie auf dem Bestätigungsbildschirm Confirm ein und wählen Sie Launch template (Vorlage starten).

Fehlerbehebung bei der kontoübergreifenden CloudWatch-Einrichtung

Dieser Abschnitt enthält Tipps zur Fehlerbehebung bei der kontoübergreifenden Konsolenbereitstellung in CloudWatch.

Ich erhalte Zugriffsverweigerungsfehler bei der Anzeige kontoübergreifender Daten

Überprüfen Sie, ob Folgendes der Fall ist:

  • Ihr Überwachungskonto sollte eine Rolle mit der Bezeichnung AWSServiceRoleForCloudWatchCrossAccount besitzen. Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter Set Up a Monitoring Account.

  • Jedes Freigabekonto sollte eine Rolle namens CloudWatch-CrossAccountSharingRole besitzen. Wenn dies nicht der Fall ist, müssen Sie diese Rolle erstellen. Weitere Informationen finden Sie unter Set Up A Sharing Account.

  • Die Freigaberolle muss dem Überwachungskonto vertrauen.

So bestätigen Sie, dass Ihre Rollen ordnungsgemäß für die kontoübergreifende CloudWatch-Konsole eingerichtet sind

  1. Melden Sie sich bei der AWS-Managementkonsole an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles.

  3. Stellen Sie in der Liste der Rollen sicher, dass die erforderliche Rolle vorhanden ist. Suchen Sie in einem Freigabekonto nach CloudWatch-CrossAccountSharingRole. Suchen Sie in einem Überwachungskonto nach AWSServiceRoleForCloudWatchCrossAccount.

  4. Wenn Sie sich in einem Freigabekonto befinden und CloudWatch-CrossAccountSharingRole bereits vorhanden ist, wählen Sie CloudWatch-CrossAccountSharingRole.

  5. Wählen Sie auf der Registerkarte Trust Relationships (Vertrauensbeziehungen) Edit Trust Relationship (Vertrauensbeziehung bearbeiten) aus.

  6. Bestätigen Sie, dass die Richtlinie entweder die Konto-ID des Überwachungskontos oder die Organisations-ID einer Organisation enthält, die das Überwachungskonto enthält.

In der Konsole wird kein Konten-Dropdown-Menü angezeigt.

Überprüfen Sie zunächst, ob Sie die richtigen IAM-Rollen erstellt haben, wie im vorangegangenen Abschnitt zur Problembehandlung erläutert. Wenn diese korrekt eingerichtet sind, stellen Sie sicher, dass Sie dieses Konto aktiviert haben, um kontoübergreifende Daten anzuzeigen, wie unter Enable Your Account to View Cross-Account Data beschrieben.

Deaktivieren und Bereinigen nach kontoübergreifender Verwendung

Gehen Sie folgendermaßen vor, um die kontoübergreifende Funktionalität für CloudWatch zu deaktivieren.

Schritt 1: Kontoübergreifende Stacks oder Rollen entfernen

Die beste Methode besteht darin, die CloudFormation-Stacks zu entfernen, die verwendet wurden, um die kontoübergreifende Funktionalität zu aktivieren.

  • Entfernen Sie in jedem der Freigabekonten den CloudWatch-CrossAccountSharingRole-Stack.

  • Wenn Sie AWS Organizations verwendet haben, um die kontoübergreifende Funktionalität mit allen Konten in einer Organisation zu aktivieren, entfernen Sie den CloudWatch-CrossAccountListAccountsRole-Stack im Verwaltungskonto der Organisation.

Wenn Sie die CloudFormation-Stacks nicht verwendet haben, um die kontoübergreifende Funktionalität zu aktivieren, gehen Sie wie folgt vor:

  • Löschen Sie in jedem der Freigabekonten die IAM-Rolle CloudWatch-CrossAccountSharingRole.

  • Wenn Sie AWS Organizations verwendet haben, um die kontoübergreifende Funktionalität mit allen Konten in einer Organisation zu aktivieren, löschen Sie die IAM-Rolle CloudWatch-CrossAccountSharing-ListAccountsRole im Verwaltungskonto der Organisation.

Schritt 2: Serviceverknüpfte Rolle entfernen

Löschen Sie im Überwachungskonto die serviceverknüpfte IAM-Rolle AWSServiceRoleForCloudWatchCrossAccount.