# Vinculación de cuentas de supervisión con cuentas de origen
En los temas de esta sección se explica cómo configurar enlaces entre cuentas de supervisión y cuentas de origen.
Le recomendamos que cree una cuenta nueva de AWS que sirva como cuenta de supervisión para su organización.
**Contents**
+ [Permisos necesarios](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [Permisos necesarios para crear enlaces](#Unified-Cross-Account-permissions-setup)
+ [Permisos necesarios para supervisar todas las cuentas](#Unified-Cross-Account-permissions-monitor)
+ [Descripción general de la configuración](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [Paso 1: configuración de una cuenta de supervisión](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [Paso 2: (opcional) descarga de una plantilla o URL de CloudFormation](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [Paso 3: vinculación de las cuentas de origen](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [Use una plantilla de CloudFormation para configurar todas las cuentas de una organización o unidad organizativa como cuentas de origen](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [Uso de una plantilla CloudFormation para configurar cuentas de origen individuales](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [Uso de una URL para configurar cuentas de origen individuales](#Unified-Cross-Account-SetupSource-SingleURL)
## Permisos necesarios
### Permisos necesarios para crear enlaces
Para crear enlaces entre una cuenta de supervisión y una cuenta de origen, debe iniciar sesión con ciertos permisos.
+ **Para configurar una cuenta de supervisión**, debe tener acceso completo de administrador a la cuenta de supervisión o debe iniciar sesión en esa cuenta con los siguientes permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **Cuenta de origen en el ámbito de una cuenta de supervisión específica**: para crear, actualizar y administrar enlaces para una sola cuenta de supervisión específica, debe iniciar sesión en la cuenta con, al menos, los siguientes permisos. En este ejemplo, la cuenta de supervisión es `999999999999`.
Si el vínculo no compartirá todos los siete tipos de recursos (métricas, registros, seguimientos, aplicaciones de Información de aplicaciones, servicios de Application Signals y objetivos de nivel de servicio (SLO), y monitores de Internet Monitor), puede omitir `cloudwatch:Link`, `logs:Link`, `xray:Link`, `applicationinsights:Link`, `application-signals:Link` o `internetmonitor:Link` según sea necesario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **Cuenta de origen, con permisos para vincularse a cualquier cuenta de supervisión**: para crear un enlace a cualquier receptor de cuenta de supervisión existente y compartir métricas, grupos de registro, seguimientos, aplicaciones de Información de aplicaciones y monitores de Internet Monitor, debe iniciar sesión en la cuenta de origen con permisos de administrador completos o iniciar sesión en esta con los siguientes permisos
Si el vínculo no compartirá todos los siete tipos de recursos (métricas, registros, seguimientos, aplicaciones de Información de aplicaciones, servicios de Application Signals y objetivos de nivel de servicio (SLO), y monitores de Internet Monitor), puede omitir `cloudwatch:Link`, `logs:Link`, `xray:Link`, `applicationinsights:Link`, `application-signals:Link` o `internetmonitor:Link` según sea necesario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Permisos necesarios para supervisar todas las cuentas
Luego de crear un enlace, para ver la información de la cuenta de origen desde una cuenta de supervisión, debe iniciar sesión en una cuenta con una de las siguientes opciones:
+ Acceso de administrador completo a la cuenta de supervisión
+ Los siguientes permisos entre cuentas, además de los permisos para ver los tipos específicos de recursos que supervisará
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## Descripción general de la configuración
Los siguientes pasos generales le muestran cómo configurar la observabilidad entre cuentas de CloudWatch.
**nota**
Le recomendamos crear una nueva cuenta de AWS para usarla como cuenta de supervisión de la organización.
1. Configure una cuenta de supervisión dedicada.
1. (Opcional) Descargue una plantilla de CloudFormation o copie una URL para vincular las cuentas de origen.
1. Vincule las cuentas de origen a la cuenta de supervisión.
Después de completar estos pasos, puede usar la cuenta de supervisión para ver los datos de observabilidad de las cuentas de origen.
## Paso 1: configuración de una cuenta de supervisión
Siga los pasos de esta sección para configurar una cuenta de AWS como cuenta de supervisión para la observabilidad entre cuentas de CloudWatch.
**Requisitos previos**
+ **Si quiere configurar las cuentas de una organización AWS Organizations como cuentas de origen**: obtenga la ruta de acceso de la organización o el ID de esta.
+ **Si no usa Organizations en las cuentas de origen**, puede obtener los ID de las cuentas de origen.
Para configurar una cuenta como cuenta de supervisión, debe contar con determinados permisos. Para obtener más información, consulte [Permisos necesarios](#CloudWatch-Unified-Cross-Account-Setup-permissions).
**Configuración de una cuenta de supervisión**
1. Inicie sesión en la cuenta que quiera usar como cuenta de supervisión.
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. Al **supervisar la configuración de la cuenta**, seleccione **Configure** (Configurar).
1. En **Seleccionar datos**, elija si esta cuenta de supervisión podrá ver datos de **Registros**, **Métricas**, **Seguimientos**, **Información de aplicaciones: aplicaciones**, **Internet Monitor: Monitores** y **Servicios y objetivos de nivel de servicio (SLO) de Application Signals** de las cuentas de origen a las que está vinculada.
1. Para **enumerar las cuentas de origen**, ingrese las cuentas de origen que verá la cuenta de supervisión. Para identificar las cuentas de origen, introduzca los ID de las cuentas individuales, las rutas de acceso de la organización o los ID de la organización. Si ingresa una ruta de acceso de la organización o un ID de organización, tenga presente que la cuenta de supervisión podrá ver los datos de observabilidad de todas las cuentas vinculadas a la organización.
Separe las entradas de la lista con comas.
**importante**
Cuando introduzca la ruta de una organización, siga el formato exacto. El ou-id debe terminar con una `/` (barra oblicua). Por ejemplo: .: `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. Para **Definir una etiqueta que se utilizará para identificar su cuenta de origen**, puede definir una etiqueta que se utilice para crear una plantilla de CloudFormation. La etiqueta se aplica entonces a las cuentas de origen cuando esa plantilla se utiliza para vincular las cuentas de origen a esta cuenta de supervisión.
Puede especificar si desea utilizar nombres de cuenta o direcciones de correo electrónico en esta etiqueta, y también utilizar variables como `$AccountName`, `$AcccountEmail` y `$AcccountEmailNoDomain`.
**nota**
En las regiones AWS GovCloud (Este de EE. UU.) y AWS GovCloud (Oeste de EE. UU.), la única opción admitida es usar etiquetas personalizadas, y las variables `$AccountName`, `$AcccountEmail` y `$AcccountEmailNoDomain` se resuelven todas como *account-id* en lugar de la variable especificada.
1. Elija **Configurar**.
**importante**
El enlace entre las cuentas de supervisión y de origen no estará completo hasta que configure las cuentas de origen. Para obtener más información, consulte las siguientes secciones.
## Paso 2: (opcional) descarga de una plantilla o URL de CloudFormation
Para vincular las cuentas de origen a una cuenta de supervisión, es recomendable usar una plantilla o una URL de AWS CloudFormation.
+ **Si va a vincular una organización completa**, CloudWatch le proporciona una plantilla CloudFormation.
+ **Si va a vincular cuentas individuales**, use la plantilla o URL de CloudFormation que le proporcione CloudWatch.
Para usar una plantilla CloudFormation, debe descargarla durante estos pasos. Después de vincular la cuenta de supervisión con al menos una cuenta de origen, la plantilla CloudFormation ya no estará disponible para descargar.
**Descarga de una plantilla CloudFormation o copiar una URL para vincular las cuentas de origen a la cuenta de supervisión**
1. Inicie sesión en la cuenta que quiera usar como cuenta de supervisión.
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la opción **Monitoring account configuration** (Configuración de cuentas de supervisión), elija **Resources to link accounts** (Recursos para vincular cuentas).
1. Realice una de las siguientes acciones:
+ Elija **AWS organización** para obtener la plantilla que quiera usar para vincular las cuentas de una organización a esta cuenta de supervisión.
+ Elija **Any account** (Cualquier cuenta) para obtener una plantilla o URL para configurar cuentas individuales como cuentas de origen.
1. Realice una de las siguientes acciones:
+ Si elige **AWS organization**, seleccione **Download CloudFormation template** (Descargar plantilla de CloudFormation).
+ Si elige **Any account**, seleccione **Download CloudFormation template** (Descargar la plantilla de CloudFormation) o **Copy URL** (Copiar URL).
1. (Opcional) Repita los pasos 5 y 6 para descargar tanto la plantilla CloudFormation como la URL.
## Paso 3: vinculación de las cuentas de origen
Siga los pasos de estas secciones para vincular cuentas de origen a una cuenta de supervisión.
Para vincular cuentas de supervisión con cuentas de origen, debe contar con determinados permisos. Para obtener más información, consulte [Permisos necesarios](#CloudWatch-Unified-Cross-Account-Setup-permissions).
### Use una plantilla de CloudFormation para configurar todas las cuentas de una organización o unidad organizativa como cuentas de origen
En estos pasos se supone que ya ha descargado la plantilla de CloudFormation necesaria al realizar los pasos de la sección [Paso 2: (opcional) descarga de una plantilla o URL de CloudFormation](#Unified-Cross-Account-Setup-TemplateOrURL).
**Uso de una plantilla de CloudFormation para vincular las cuentas de una organización o unidad organizativa a la cuenta de supervisión**
1. Inicie sesión en la cuenta administrativa de la organización.
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. En el panel de navegación de la izquierda, seleccione **StackSets**.
1. Compruebe que ha iniciado sesión en la región que quiera usar y, a continuación, seleccione **Create StackSet** (Crear StackSet).
1. Elija **Siguiente**.
1. Seleccione **Template is ready** (La plantilla está lista) y **Upload a template file** (Cargar un archivo de plantilla).
1. Seleccione **Choose file** (Elegir archivo), elija la plantilla que descargó de la cuenta de supervisión y haga clic en **Open** (Abrir).
1. Elija **Siguiente**.
1. En la página **Specify StackSet details** (Especificar detalles de StackSet), escriba el nombre de la instancia de StackSet, y haga clic en **Next** (Siguiente).
1. En **Add stacks to stack set** (Agregar pilas al conjunto de pilas), seleccione **Deploy new stacks** (Implementar pilas nuevas).
1. En **Deployment targets** (Objetivos de implementación), decida si quiere realizar la implementación en toda la organización o en unidades organizativas especificadas.
1. En **Specify regions** (Especificar regiones), seleccione las regiones en las que quiera implementar la observabilidad entre cuentas de CloudWatch.
1. Elija **Siguiente**.
1. En la página **Review** (Revisar), confirme las opciones seleccionadas y haga clic en **Submit** (Enviar).
1. En la pestaña **Stack instances** (Instancias de pila), actualice la pantalla hasta que vea que las instancias de pila tienen el estado **CREATE\$1COMPLETE** (CREACIÓN COMPLETA).
### Uso de una plantilla CloudFormation para configurar cuentas de origen individuales
En estos pasos se supone que ya ha descargado la plantilla de CloudFormation necesaria al realizar los pasos de la sección [Paso 2: (opcional) descarga de una plantilla o URL de CloudFormation](#Unified-Cross-Account-Setup-TemplateOrURL).
**Uso de una plantilla de CloudFormation para configurar cuentas de origen individuales para la observabilidad entre cuentas de CloudWatch**
1. Inicie sesión en la cuenta de origen.
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. En el panel de navegación de la izquierda, seleccione **Stacks** (Pilas).
1. Compruebe que ha iniciado sesión en la región que quiera usar y, a continuación, seleccione **Create stack** (Crear pila) y la opción **With new resources (standard)** (Con recursos nuevos [estándar]).
1. Elija **Siguiente**.
1. Elija **Upload a template file (Cargar un archivo de plantilla)**.
1. Seleccione **Choose file** (Elegir archivo), elija la plantilla que descargó de la cuenta de supervisión y haga clic en **Open** (Abrir).
1. Elija **Siguiente**.
1. En la página **Specify stack details** (Especificar los detalles de la pila), ingrese un nombre para la pila, y haga clic en **Next** (Siguiente).
1. En la página **Configurar opciones de pila**, elija **Siguiente**.
1. En la página **Review** (Revisar), elija **Submit** (Enviar).
1. En la página de estado de la pila, actualice la pantalla hasta que vea que la pila tiene el estado **CREATE\$1COMPLETE**.
1. Para usar esta misma plantilla para vincular más cuentas de origen a la cuenta de supervisión, cierre la sesión de esta cuenta e iníciela en la siguiente cuenta de origen. A continuación, repita los pasos 2 a 12.
### Uso de una URL para configurar cuentas de origen individuales
En estos pasos se supone que ya copió la URL necesaria al realizar los pasos de la sección [Paso 2: (opcional) descarga de una plantilla o URL de CloudFormation](#Unified-Cross-Account-Setup-TemplateOrURL).
**Uso de una URL para vincular cuentas de origen individuales a la cuenta de supervisión**
1. Inicie sesión en la cuenta que quiera usar como cuenta de origen.
1. Ingrese la URL que copió de la cuenta de supervisión.
Verá la página de configuración de CloudWatch, con algunos datos rellenados.
1. En **Seleccionar datos**, elija si esta cuenta de origen podrá compartir los datos de **Registros**, **Métricas**, **Seguimientos**, **Información de aplicaciones: aplicaciones** y **Internet Monitor: Monitores** de las cuentas de origen a las que esté vinculada.
Tanto para los **Registros** como para las **Métricas**, puede elegir si desea compartir todos los recursos o un subconjunto con la cuenta de supervisión.
1. (Opcional) Para compartir un subconjunto de los grupos de registro de esta cuenta con la cuenta de supervisión, seleccione **Registros** y elija **Filtrar registros**. A continuación, utilice el cuadro **Filtrar registros** para crear una consulta que busque los grupos de registro que desee compartir. La consulta utilizará el término `LogGroupName` y uno o más de los siguientes operandos.
+ `=` y `!=`
+ `AND`
+ `OR`
+ `^` indica IGUAL A y `!^` indica NO ES IGUAL A. Solo se pueden usar como búsquedas de prefijos. Incluya un `%` al final de la cadena que desee buscar e incluir.
+ `IN` y `NOT IN`, usando paréntesis (`( )`)
La consulta completa no debe tener más de 2000 caracteres y está limitada a cinco operandos condicionales. Los operandos condicionales son `AND` y `OR`. No existe límite en el número de otros operandos.
**sugerencia**
Seleccione **Ver las consultas de muestra** para ver la sintaxis correcta de los formatos de consulta más comunes.
1. (Opcional) Para compartir un subconjunto de los espacios de nombres de métricas de esta cuenta con la cuenta de supervisión, seleccione **Métricas** y elija **Filtrar métricas**. A continuación, utilice el recuadro **Filtrar registros** para construir una consulta para encontrar los espacios de nombres de métricas que desea compartir. Utilice el término `Namespace` y uno o más de los siguientes operandos.
+ `=` y `!=`
+ `AND`
+ `OR`
+ `LIKE` y `NOT LIKE`. Solo se pueden usar como búsquedas de prefijos. Incluya un `%` al final de la cadena que desee buscar e incluir.
+ `IN` y `NOT IN`, usando paréntesis (`( )`)
La consulta completa no debe tener más de 2000 caracteres y está limitada a cinco operandos condicionales. Los operandos condicionales son `AND` y `OR`. No existe límite en el número de otros operandos.
**sugerencia**
Seleccione **Ver las consultas de muestra** para ver la sintaxis correcta de los formatos de consulta más comunes.
1. No cambie el ARN de la opción **Enter monitoring account configuration ARN** (Ingrese el ARN de configuración de cuentas de supervisión).
1. La sección **Definir una etiqueta para identificar la cuenta de origen** ya está rellenada con la opción de etiqueta de la cuenta de supervisión, si es que existe una. Para cambiar la opción, puede seleccionar **Edit** (Editar).
**nota**
En las regiones AWS GovCloud (Este de EE. UU.) y AWS GovCloud (Oeste de EE. UU.), la única opción admitida es usar etiquetas personalizadas, y las variables `$AccountName`, `$AcccountEmail` y `$AcccountEmailNoDomain` se resuelven todas como *account-id* en lugar de la variable especificada.
1. Elija **Vincular**.
1. Ingrese **Confirm** en el recuadro y elija **Confirm** (Confirmar).
1. Si quiere usar esta misma URL para vincular más cuentas de origen a la cuenta de supervisión, cierre la sesión de esta cuenta e inicie sesión en la siguiente cuenta de origen. A continuación, repita los pasos 2 a 7.