Amazon CloudWatch und AWS Organizations - AWS Organizations
Service-verknüpfte RollenService-PrinzipaleDen vertrauenswürdigen Zugriff aktivierenSchalten Sie den vertrauenswürdigen Zugriff ausRegistrieren Sie den delegierten AdministratorDeregistrieren Sie einen delegierten Administrator für CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon CloudWatch und AWS Organizations

Sie können AWS Organizations for Amazon CloudWatch für die folgenden Anwendungsfälle verwenden:

  • Entdecken und verstehen Sie den Status der Telemetriekonfiguration für Ihre AWS Ressourcen von einer zentralen Ansicht in der CloudWatch Konsole aus. Dies vereinfacht den Prozess der Prüfung Ihrer Telemetrieerfassungskonfigurationen für mehrere Ressourcentypen in Ihrer Organisation oder Ihrem AWS Konto. Sie müssen den vertrauenswürdigen Zugriff aktivieren, um die Telemetriekonfiguration in Ihrer gesamten Organisation verwenden zu können.

    Weitere Informationen finden Sie unter Prüfen von CloudWatch Telemetriekonfigurationen im CloudWatch Amazon-Benutzerhandbuch.

  • Arbeiten Sie mit mehreren Konten in Network Flow Monitor, einer Funktion von Amazon CloudWatch Network Monitoring. Network Flow Monitor bietet nahezu in Echtzeit Einblick in die Netzwerkleistung des Datenverkehrs zwischen Amazon EC2 EC2-Instances. Nachdem Sie den vertrauenswürdigen Zugriff für die Integration mit Organizations aktiviert haben, können Sie einen Monitor erstellen, um Netzwerkleistungsdetails für mehrere Konten zu visualisieren.

    Weitere Informationen finden Sie unter Network Flow Monitor für die Überwachung mehrerer Konten initialisieren im CloudWatch Amazon-Benutzerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration von Amazon CloudWatch zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Erstellen Sie die folgende dienstbezogene Rolle im Verwaltungskonto Ihrer Organisation. Die dienstverknüpfte Rolle wird automatisch in Mitgliedskonten erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Diese Rolle ermöglicht CloudWatch die Ausführung unterstützter Operationen innerhalb der Konten Ihrer Organisation in Ihrer Organisation. Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen CloudWatch Organizations deaktivieren oder wenn Sie das Mitgliedskonto aus der Organisation entfernen.

  • AWSServiceRoleForObservabilityAdmin

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von verwendeten dienstbezogenen Rollen CloudWatch gewähren Zugriff auf die folgenden Dienstprinzipale:

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Vertrauenswürdigen Zugriff aktivieren mit CloudWatch

Informationen zu den Berechtigungen, die Sie zum Aktivieren des vertrauenswürdigen Zugriffs benötigen, finden Sie unterErforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die CloudWatch Amazon-Konsole oder die AWS Organizations Konsole aktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die CloudWatch Amazon-Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen. Auf diese Weise kann Amazon jede erforderliche Konfiguration CloudWatch durchführen, z. B. die Erstellung von Ressourcen, die für den Service benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration mit den von Amazon bereitgestellten Tools nicht aktivieren können CloudWatch. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der CloudWatch Amazon-Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

Um den vertrauenswürdigen Zugriff über die CloudWatch Konsole zu aktivieren

Weitere Informationen finden Sie unter CloudWatch Telemetrieprüfungen aktivieren im CloudWatch Amazon-Benutzerhandbuch.

Wenn Sie den vertrauenswürdigen Zugriff in aktivieren CloudWatch, aktivieren Sie die Telemetrieprüfung und können in Network Flow Monitor mit mehreren Konten arbeiten.

Sie können vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder einen API-Vorgang in einem der AWS SDKs Befehle aufrufen.

AWS-Managementkonsole
So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

  1. Melden Sie sich bei der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie im Navigationsbereich Services.

  3. Wählen Sie Amazon CloudWatch in der Liste der Dienste aus.

  4. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

  5. Geben Sie im CloudWatch Dialogfeld Enable Trusted Access for Amazon den Text enable ein, um zu bestätigen, und wählen Sie dann Enable Trusted Access aus.

  6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator von Amazon mit CloudWatch , dass er diesen Service jetzt über die Servicekonsole für die Arbeit mit AWS Organizations diesem Service aktivieren kann.

AWS CLI, AWS API
So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API-Operationen, um den vertrauenswürdigen Servicezugriff zu aktivieren:

  • AWS CLI: enable-aws-service-access

    Führen Sie den folgenden Befehl aus, um Amazon CloudWatch als vertrauenswürdigen Service für Organizations zu aktivieren.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: AWSServiceZugriff aktivieren

Deaktivieren Sie den vertrauenswürdigen Zugriff mit CloudWatch

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über Amazon CloudWatch oder die AWS Organizations Tools deaktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die CloudWatch Amazon-Konsole oder Tools zu verwenden, um die Integration mit Organizations zu deaktivieren. Auf diese Weise kann Amazon alle erforderlichen Bereinigungen CloudWatch durchführen, z. B. Ressourcen löschen oder auf Rollen zugreifen, die vom Service nicht mehr benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration mit den von Amazon bereitgestellten Tools nicht deaktivieren können CloudWatch.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der CloudWatch Amazon-Konsole oder der Tools deaktivieren, müssen Sie diese Schritte nicht ausführen.

Um den vertrauenswürdigen Zugriff über die CloudWatch Konsole zu deaktivieren

Weitere Informationen finden Sie unter Deaktivieren der CloudWatch Telemetrieprüfung im CloudWatch Amazon-Benutzerhandbuch

Wenn Sie den vertrauenswürdigen Zugriff in deaktivieren CloudWatch, ist die Telemetrieprüfung nicht mehr aktiv und Sie können in Network Flow Monitor nicht mehr mit mehreren Konten arbeiten.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie den AWS CLI Befehl Organizations ausführen oder indem Sie einen API-Vorgang für Organizations in einem der aufrufen AWS SDKs.

AWS CLI, AWS API
So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Verwenden Sie die folgenden AWS CLI Befehle oder API-Operationen, um den vertrauenswürdigen Dienstzugriff zu deaktivieren:

  • AWS CLI: disable-aws-service-access

    Führen Sie den folgenden Befehl aus, um Amazon CloudWatch als vertrauenswürdigen Service bei Organizations zu deaktivieren.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

  • AWS API: AWSServiceZugriff deaktivieren

Registrierung eines delegierten Administratorkontos für CloudWatch

Wenn Sie ein Mitgliedskonto als delegiertes Administratorkonto für die Organisation registrieren, können Benutzer und Rollen dieses Kontos administrative Aktionen ausführen, CloudWatch die andernfalls nur von Benutzern oder Rollen ausgeführt werden können, die mit dem Verwaltungskonto der Organisation angemeldet sind. Mithilfe eines delegierten Administratorkontos können Sie die Verwaltung der Organisation von der Verwaltung der Funktionen in trennen. CloudWatch

Mindestberechtigungen

Nur ein Administrator im Verwaltungskonto der Organizations kann ein Mitgliedskonto als delegiertes Administratorkonto für CloudWatch die Organisation registrieren.

Sie können ein delegiertes Administratorkonto über die CloudWatch Konsole oder mithilfe des RegisterDelegatedAdministrator API-Vorgangs Organizations mit dem AWS Command Line Interface oder einem SDK registrieren.

Informationen zur Registrierung eines delegierten Administratorkontos mithilfe der CloudWatch Konsole finden Sie unter CloudWatch Telemetrieprüfung aktivieren im CloudWatch Amazon-Benutzerhandbuch.

Wenn Sie ein delegiertes Administratorkonto in registrieren CloudWatch, können Sie das Konto für Verwaltungsvorgänge mit Telemetrieüberwachung und Network Flow Monitor verwenden.

Deregistrieren Sie einen delegierten Administrator für CloudWatch

Mindestberechtigungen

Nur ein Administrator, der mit dem Verwaltungskonto der Organizations angemeldet ist, kann ein delegiertes Administratorkonto für CloudWatch in der Organisation abmelden.

Sie können das delegierte Administratorkonto abmelden, indem Sie entweder die CloudWatch Konsole oder den DeregisterDelegatedAdministrator API-Vorgang Organizations mit dem AWS Command Line Interface oder einem SDK verwenden. Weitere Informationen finden Sie unter Abmeldung eines delegierten Administratorkontos im CloudWatch Amazon-Benutzerhandbuch.

Wenn Sie ein delegiertes Administratorkonto abmelden CloudWatch, können Sie das Konto nicht mehr für Verwaltungsvorgänge mit Telemetrieprüfungen und Network Flow Monitor verwenden.