Liaison des comptes de surveillance avec les comptes sources - Amazon CloudWatch
Autorisations nécessairesPrésentation de la configurationÉtape 1 : configurer un compte de surveillanceÉtape 2 : (facultatif) télécharger un modèle CloudFormation ou une URLÉtape 3 : lier les comptes sources

Liaison des comptes de surveillance avec les comptes sources

Les rubriques de cette section expliquent comment configurer les liens entre les comptes de surveillance et les comptes sources.

Nous vous recommandons de créer un nouveau compte AWS qui servira de compte de surveillance pour votre organisation.

Autorisations nécessaires

Autorisations nécessaires pour créer des liens

Pour créer des liens entre un compte de surveillance et un compte source, vous devez être connecté avec certaines autorisations.

  • Pour configurer un compte de surveillance : vous devez avoir un accès administrateur complet dans le compte de surveillance, ou vous devez vous connecter à ce compte avec les autorisations suivantes :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • Compte source, étendu à un compte de surveillance spécifique : pour créer, mettre à jour et gérer des liens pour un seul compte de surveillance spécifié, vous devez vous connecter au compte avec au moins les autorisations suivantes. Dans cet exemple, le compte de surveillance est 999999999999.

    Si le lien ne va pas partager les sept types de ressources (métriques, journaux, traces, applications Application Insights, services de la vigie applicative et objectifs de niveau de service (SLO), et moniteurs du Moniteur Internet), vous pouvez omettre cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link, application-signals:Link ou internetmonitor:Link selon les besoins.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • Compte source, avec les autorisations nécessaires pour créer un lien vers n’importe quel compte de surveillance : pour créer un lien vers n’importe quel compte de surveillance existant et partager des métriques, des groupes de journaux, des traces, des applications Application Insights et des moniteurs du Moniteur Internet, vous devez vous connecter au compte source avec des autorisations d’administrateur complètes ou vous y connecter avec les autorisations suivantes

    Si le lien ne va pas partager les sept types de ressources (métriques, journaux, traces, applications Application Insights, services de la vigie applicative et objectifs de niveau de service (SLO), et moniteurs du Moniteur Internet), vous pouvez omettre cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link, application-signals:Link ou internetmonitor:Link selon les besoins.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

Autorisations nécessaires pour la surveillance entre comptes

Après la création d’un lien, pour afficher les informations du compte source à partir d’un compte de surveillance, vous devez être connecté à un compte disposant de l’une des autorisations suivantes :

  • Accès administrateur complet dans le compte de surveillance

  • Les autorisations entre comptes suivantes, en plus des autorisations permettant d’afficher les types de ressources spécifiques que vous surveillerez

    {
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

Présentation de la configuration

Les étapes de haut niveau suivantes vous montrent comment configurer l'observabilité inter-comptes de CloudWatch.

Note

Nous vous recommandons de créer un nouveau compte AWS à utiliser comme compte de surveillance de votre organisation.

  1. Configurez un compte de surveillance dédié.

  2. (Facultatif) Téléchargez un modèle CloudFormation ou copiez une URL pour lier les comptes sources.

  3. Liez les comptes sources au compte de surveillance.

Après avoir effectué ces étapes, vous pouvez utiliser le compte de surveillance pour visualiser les données d'observabilité des comptes sources.

Étape 1 : configurer un compte de surveillance

Suivez les étapes de cette section pour configurer un compte AWS comme compte de surveillance pour l'observabilité inter-comptes de CloudWatch.

Prérequis

  • Si vous configurez des comptes dans une organisation AWS Organizations comme comptes sources : obtenez le chemin de l'organisation ou l'ID de l'organisation.

  • Si vous n'utilisez pas d'organisations pour les comptes sources : obtenez les ID de compte des comptes sources.

Pour configurer un compte en tant que compte de surveillance, vous devez disposer de certaines autorisations. Pour de plus amples informations, consultez Autorisations nécessaires.

Pour configurer un compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.

  2. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  3. Dans le panneau de navigation de gauche, choisissez Paramètres.

  4. Dans Monitoring account configuration (Configuration du compte de surveillance), choisissez Configure (Configurer).

  5. Pour Sélectionner les données, indiquez si ce compte de surveillance pourra afficher les journaux, Métriques, Traces, Application Insights – Applications, Moniteur Internet – Moniteurs, et la Vigie applicative – Services, Objectifs de niveau de service (SLO) des comptes source auxquels il est lié.

  6. Pour List source accounts (Répertorier les comptes sources), saisissez les comptes sources que ce compte de surveillance pourra afficher. Pour identifier les comptes sources, entrez des ID de comptes individuels, des chemins d'organisation ou des ID d'organisation. Si vous saisissez un chemin d'organisation ou un ID d'organisation, ce compte de surveillance est autorisé à visualiser les données d'observabilité de tous les comptes liés dans cette organisation.

    Séparez les entrées de cette liste par des virgules.

    Important

    Lorsque vous entrez un chemin d’organisation, respectez le format exact. L’unité d’organisation doit se terminer par un / (une barre oblique). Par exemple : o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Pour Définir une étiquette à utiliser pour identifier votre compte source, vous pouvez définir une étiquette qui est utilisée pour créer un modèle CloudFormation. L’étiquette est ensuite appliquée aux comptes source lorsque ce modèle est utilisé pour lier les comptes source à ce compte de surveillance.

    Vous pouvez indiquer s’il faut utiliser des noms de comptes ou des adresses e-mail dans cette étiquette, et également utiliser des variables telles que $AccountName, $AcccountEmail et $AcccountEmailNoDomain.

    Note

    Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), la seule option prise en charge est l’utilisation d’étiquettes personnalisées, et les variables $AccountName, $AcccountEmail et $AcccountEmailNoDomain se résolvent toutes en account-id au lieu de la variable spécifiée.

  8. Choisissez Configurer.

Important

Le lien entre le compte de surveillance et le compte source n'est pas complet tant que vous n'avez pas configuré les comptes sources. Pour plus d’informations, consultez les sections suivantes.

Étape 2 : (facultatif) télécharger un modèle CloudFormation ou une URL

Pour lier les comptes sources à un compte de surveillance, nous vous recommandons d'utiliser un modèle AWS CloudFormation ou une URL.

  • Si vous liez une organisation entière : CloudWatch fournit un modèle CloudFormation.

  • Si vous liez des comptes individuels : utilisez soit un modèle CloudFormation, soit une URL fournie par CloudWatch.

Pour utiliser un modèle CloudFormation, vous devez le télécharger au cours de ces étapes. Après avoir lié le compte de surveillance avec au moins un compte source, le modèle CloudFormation n'est plus disponible au téléchargement.

Pour télécharger un modèle CloudFormation ou copier une URL pour lier les comptes sources au compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.

  2. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  3. Dans le panneau de navigation de gauche, choisissez Paramètres.

  4. Dans Monitoring account configuration (Configuration du compte de surveillance), choisissez Resources to link accounts (Ressources pour lier les comptes).

  5. Effectuez l’une des actions suivantes :

    • Choisissez Organisation AWS pour obtenir un modèle à utiliser pour lier les comptes d'une organisation à ce compte de surveillance.

    • Choisissez Any account (N'importe quel compte) pour obtenir un modèle ou une URL permettant de configurer des comptes individuels comme comptes sources.

  6. Effectuez l’une des actions suivantes :

    • Si vous avez choisi Organisation AWS, sélectionnez Télécharger un modèle CloudFormation.

    • Si vous avez choisi Any account (N'importe quel compte), choisissez Download CloudFormation template (Télécharger le modèle CloudFormation) ou Copy URL (Copier l'URL).

  7. (Facultatif) Répétez les étapes 5 à 6 pour télécharger à la fois le modèle CloudFormation et l'URL.

Étape 3 : lier les comptes sources

Utilisez les étapes de ces sections pour lier les comptes sources à un compte de surveillance.

Pour lier les comptes de surveillance aux comptes sources, vous devez disposer de certaines autorisations. Pour de plus amples informations, consultez Autorisations nécessaires.

Utiliser un modèle CloudFormation pour configurer tous les comptes d'une organisation ou d'une unité organisationnelle en tant que comptes sources

Ces étapes supposent que vous avez déjà téléchargé le modèle CloudFormation nécessaire en effectuant les étapes décrites dans Étape 2 : (facultatif) télécharger un modèle CloudFormation ou une URL.

Pour utiliser un modèle CloudFormation pour lier les comptes d'une organisation ou d'une unité organisationnelle au compte de surveillance

  1. Connectez-vous au compte de gestion de l'organisation.

  2. Ouvrez la console CloudFormation, à l’adresse https://console.aws.amazon.com/cloudformation.

  3. Dans la barre de navigation de gauche, choisissez StackSets.

  4. Vérifiez que vous êtes connecté à la région que vous voulez, puis choisissez Create StackSet (Créer un StackSet).

  5. Choisissez Suivant.

  6. Choisissez Template is ready (Le modèle est prêt), puis Upload a template file (Charger un fichier modèle).

  7. Choisissez Choose file (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez Open (Ouvrir).

  8. Choisissez Suivant.

  9. Pour Specify StackSet details (Spécifier les détails de StackSet), saisissez un nom pour le StackSet et sélectionnez Next (Suivant).

  10. Pour Add stacks to stack set (Ajouter des piles à un ensemble de piles), sélectionnez Deploy new stacks (Déployer de nouvelles piles).

  11. Pour Deployment targets (Cibles de déploiement), choisissez de déployer sur l'ensemble de l'organisation ou sur des unités organisationnelles spécifiées.

  12. Pour Specify regions (Spécifier les régions), choisissez les régions dans lesquelles déployer l'observabilité inter-comptes CloudWatch.

  13. Choisissez Suivant.

  14. Sur la page Review (Vérification), confirmez vos options sélectionnées et cliquez sur Submit (Soumettre).

  15. Dans l'onglet Stack instances (Instances de pile), actualisez l'écran jusqu'à ce que vous voyiez que vos instances de pile ont le statut CREATE_COMPLETE.

Utilisation d'un modèle CloudFormation pour configurer des comptes sources individuels

Ces étapes supposent que vous avez déjà téléchargé le modèle CloudFormation nécessaire en effectuant les étapes décrites dans Étape 2 : (facultatif) télécharger un modèle CloudFormation ou une URL.

Pour utiliser un modèle CloudFormation afin de configurer des comptes sources individuels pour l'observabilité inter-comptes de CloudWatch

  1. Connectez-vous au compte source.

  2. Ouvrez la console CloudFormation, à l’adresse https://console.aws.amazon.com/cloudformation.

  3. Dans la barre de navigation de gauche, choisissez Stacks (Piles).

  4. Vérifiez que vous êtes connecté à la région que vous voulez, puis choisissez Create stack (Créer une pile), With new resources (standard) (Avec de nouvelles ressources (standard)).

  5. Choisissez Suivant.

  6. Choisissez Charger un fichier de modèle.

  7. Choisissez Choose file (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez Open (Ouvrir).

  8. Choisissez Suivant.

  9. Pour Specify stack details (Spécifier les détails de la pile), saisissez un nom pour la pile et sélectionnez Next (Suivant).

  10. Sur la page Configurer les options de pile, choisissez Suivant.

  11. Sur la page Review (Vérification), choisissez Submit (Envoyer).

  12. Sur la page d'état de votre pile, actualisez l'écran jusqu'à ce que vous voyiez que votre pile a le statut CREATE_COMPLETE.

  13. Pour utiliser ce même modèle afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 12.

Utilisation d'une URL pour configurer des comptes sources individuels

Ces étapes supposent que vous avez déjà copié l'URL nécessaire en effectuant les étapes de Étape 2 : (facultatif) télécharger un modèle CloudFormation ou une URL.

Pour utiliser une URL afin de lier des comptes sources individuels au compte de surveillance

  1. Connectez-vous au compte que vous voulez utiliser comme compte source.

  2. Saisissez l'URL que vous avez copiée à partir du compte de surveillance.

    La page des paramètres CloudWatch s'affiche, avec quelques informations renseignées.

  3. Pour Sélectionner les données, choisissez si ce compte source partagera les données Journaux, Métriques, Traces, Application Insights – Applications et Moniteur Internet – Moniteurs avec ce compte de surveillance.

    Pour les journaux et les métriques, vous pouvez choisir de partager toutes les ressources ou un sous-ensemble avec le compte de surveillance.

    1. (Facultatif) Pour partager un sous-ensemble des groupes de journaux de ce compte avec le compte de surveillance, sélectionnez Journaux, puis Filtrer les journaux. Utilisez ensuite la boîte Filtrer les journaux pour construire une requête afin de trouver les groupes de journaux que vous voulez partager. La requête utilisera le terme LogGroupName et un ou plusieurs des opérandes suivants.

      • = et !=

      • AND

      • OR

      • ^ indique LIKE et !^ indique NOT LIKE. Ces opérateurs ne peuvent être utilisés qu’en tant que préfixes de recherche. Incluez un % à la fin de la chaîne que vous voulez rechercher et inclure.

      • IN et NOT IN, en utilisant des parenthèses (( ))

      La requête complète ne doit pas dépasser 2000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont AND et OR. Le nombre d’autres opérandes n’est pas limité.

      Astuce

      Choisissez Afficher des exemples de requêtes pour voir la syntaxe correcte des formats de requête courants.

    2. (Facultatif) Pour partager un sous-ensemble des espaces de noms de métriques de ce compte avec le compte de surveillance, sélectionnez Métriques, puis Filtrer les métriques. Utilisez ensuite la zone Filtrer les métriques pour créer une requête permettant de rechercher les espaces de noms de métriques que vous voulez partager. Utilisez le terme Namespace et un ou plusieurs des opérandes suivants.

      • = et !=

      • AND

      • OR

      • LIKE et NOT LIKE. Ces opérateurs ne peuvent être utilisés qu’en tant que préfixes de recherche. Incluez un % à la fin de la chaîne que vous voulez rechercher et inclure.

      • IN et NOT IN, en utilisant des parenthèses (( ))

      La requête complète ne doit pas dépasser 2000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont AND et OR. Le nombre d’autres opérandes n’est pas limité.

    Astuce

    Choisissez Afficher des exemples de requêtes pour voir la syntaxe correcte des formats de requête courants.

  4. Ne modifiez pas l'ARN dans Enter monitoring account configuration ARN (Saisir l'ARN de configuration du compte de surveillance).

  5. La section Définir une étiquette pour identifier votre compte source est préremplie avec le choix d’étiquette du compte de surveillance, s’il y en a un. En option, choisissez Edit (Modifier) pour le modifier.

    Note

    Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), la seule option prise en charge est l’utilisation d’étiquettes personnalisées, et les variables $AccountName, $AcccountEmail et $AcccountEmailNoDomain se résolvent toutes en account-id au lieu de la variable spécifiée.

  6. Choisissez Lier.

  7. Saisissez Confirm dans la case et sélectionnez Confirm (Confirmer).

  8. Pour utiliser cette même URL afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 7.