Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Liaison des comptes de surveillance avec les comptes sources
Les rubriques de cette section expliquent comment configurer les liens entre les comptes de surveillance et les comptes sources.
Nous vous recommandons de créer un nouveau AWS compte qui servira de compte de surveillance pour votre organisation.
**Contents**
+ [Autorisations nécessaires](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [Autorisations nécessaires pour créer des liens](#Unified-Cross-Account-permissions-setup)
+ [Autorisations nécessaires pour la surveillance entre comptes](#Unified-Cross-Account-permissions-monitor)
+ [Présentation de la configuration](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [Étape 1 : configurer un compte de surveillance](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [Étape 2 : (Facultatif) Téléchargez un CloudFormation modèle ou une URL](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [Étape 3 : lier les comptes sources](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [Utiliser un CloudFormation modèle pour configurer tous les comptes d'une organisation ou d'une unité organisationnelle en tant que comptes sources](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [Utiliser un CloudFormation modèle pour configurer des comptes source individuels](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [Utilisation d'une URL pour configurer des comptes sources individuels](#Unified-Cross-Account-SetupSource-SingleURL)
## Autorisations nécessaires
### Autorisations nécessaires pour créer des liens
Pour créer des liens entre un compte de surveillance et un compte source, vous devez être connecté avec certaines autorisations.
+ **Pour configurer un compte de surveillance** : vous devez avoir un accès administrateur complet dans le compte de surveillance, ou vous devez vous connecter à ce compte avec les autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **Compte source, étendu à un compte de surveillance spécifique** : pour créer, mettre à jour et gérer des liens pour un seul compte de surveillance spécifié, vous devez vous connecter au compte avec au moins les autorisations suivantes. Dans cet exemple, le compte de surveillance est `999999999999`.
Si le lien ne doit pas partager les sept types de ressources (métriques, journaux, traces, applications Application Insights, services Application Signals et objectifs de niveau de service (SLOs), et moniteurs Internet Monitor), vous pouvez omettre`cloudwatch:Link`,`logs:Link`, `xray:Link` `applicationinsights:Link``application-signals:Link`, ou `internetmonitor:Link` selon vos besoins.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **Compte source, avec les autorisations nécessaires pour créer un lien vers n’importe quel compte de surveillance** : pour créer un lien vers n’importe quel compte de surveillance existant et partager des métriques, des groupes de journaux, des traces, des applications Application Insights et des moniteurs du Moniteur Internet, vous devez vous connecter au compte source avec des autorisations d’administrateur complètes ou vous y connecter avec les autorisations suivantes
Si le lien ne doit pas partager les sept types de ressources (métriques, journaux, traces, applications Application Insights, services Application Signals et objectifs de niveau de service (SLOs), et moniteurs Internet Monitor), vous pouvez omettre`cloudwatch:Link`,`logs:Link`, `xray:Link` `applicationinsights:Link``application-signals:Link`, ou `internetmonitor:Link` selon vos besoins.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Autorisations nécessaires pour la surveillance entre comptes
Après la création d’un lien, pour afficher les informations du compte source à partir d’un compte de surveillance, vous devez être connecté à un compte disposant de l’une des autorisations suivantes :
+ Accès administrateur complet dans le compte de surveillance
+ Les autorisations entre comptes suivantes, en plus des autorisations permettant d’afficher les types de ressources spécifiques que vous surveillerez
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## Présentation de la configuration
Les étapes de haut niveau suivantes vous montrent comment configurer l' CloudWatch observabilité entre comptes.
**Note**
Nous vous recommandons de créer un nouveau AWS compte à utiliser comme compte de surveillance pour votre organisation.
1. Configurez un compte de surveillance dédié.
1. (Facultatif) Téléchargez un CloudFormation modèle ou copiez une URL pour lier les comptes source.
1. Liez les comptes sources au compte de surveillance.
Après avoir effectué ces étapes, vous pouvez utiliser le compte de surveillance pour visualiser les données d'observabilité des comptes sources.
## Étape 1 : configurer un compte de surveillance
Suivez les étapes décrites dans cette section pour configurer un AWS compte en tant que compte de surveillance afin d'assurer l' CloudWatch observabilité entre comptes.
**Conditions préalables**
+ **Si vous configurez des comptes dans une AWS Organizations organisation en tant que comptes source**, obtenez le chemin ou l'identifiant de l'organisation.
+ **Si vous n'utilisez pas Organizations pour les comptes sources**, obtenez le compte IDs des comptes sources.
Pour configurer un compte en tant que compte de surveillance, vous devez disposer de certaines autorisations. Pour de plus amples informations, veuillez consulter [Autorisations nécessaires](#CloudWatch-Unified-Cross-Account-Setup-permissions).
**Pour configurer un compte de surveillance**
1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.
1. Dans **Monitoring account configuration** (Configuration du compte de surveillance), choisissez **Configure** (Configurer).
1. Pour les **données Select**, indiquez si ce compte de surveillance sera en mesure de consulter les **journaux**, **les mesures**, les **traces**, les **informations sur les applications**, **Internet Monitor - moniteurs** et les **signaux d'application - services, objectifs de niveau de service (SLOs)** à partir des comptes sources auxquels il est lié.
1. Pour **List source accounts** (Répertorier les comptes sources), saisissez les comptes sources que ce compte de surveillance pourra afficher. Pour identifier les comptes sources, entrez le compte individuel IDs, les chemins d'organisation ou l'organisation IDs. Si vous saisissez un chemin d'organisation ou un ID d'organisation, ce compte de surveillance est autorisé à visualiser les données d'observabilité de tous les comptes liés dans cette organisation.
Séparez les entrées de cette liste par des virgules.
**Important**
Lorsque vous entrez un chemin d’organisation, respectez le format exact. L’unité d’organisation doit se terminer par un `/` (une barre oblique). Par exemple : `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. Pour **Définir une étiquette à utiliser pour identifier votre compte source**, vous pouvez définir une étiquette utilisée pour créer un CloudFormation modèle. L’étiquette est ensuite appliquée aux comptes source lorsque ce modèle est utilisé pour lier les comptes source à ce compte de surveillance.
Vous pouvez indiquer s’il faut utiliser des noms de comptes ou des adresses e-mail dans cette étiquette, et également utiliser des variables telles que `$AccountName`, `$AcccountEmail` et `$AcccountEmailNoDomain`.
**Note**
Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), la seule option prise en charge est d'utiliser des libellés personnalisés, et les `$AcccountEmailNoDomain` variables `$AccountName``$AcccountEmail`, et sont toutes résolues à la *account-id* place de la variable spécifiée.
1. Choisissez **Configurer**.
**Important**
Le lien entre le compte de surveillance et le compte source n'est pas complet tant que vous n'avez pas configuré les comptes sources. Pour plus d’informations, consultez les sections suivantes.
## Étape 2 : (Facultatif) Téléchargez un CloudFormation modèle ou une URL
Pour lier les comptes sources à un compte de surveillance, nous vous recommandons d'utiliser un modèle AWS CloudFormation ou une URL.
+ **Si vous associez l'ensemble d'une organisation**, CloudWatch fournit un CloudFormation modèle.
+ **Si vous liez des comptes individuels**, utilisez un CloudFormation modèle ou une URL CloudWatch fournissant.
Pour utiliser un CloudFormation modèle, vous devez le télécharger au cours de ces étapes. Une fois que vous avez lié le compte de surveillance à au moins un compte source, le CloudFormation modèle n'est plus disponible au téléchargement.
**Pour télécharger un CloudFormation modèle ou copier une URL permettant de lier les comptes source au compte de surveillance**
1. Connectez-vous au compte que vous voulez utiliser comme compte de surveillance.
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.
1. Dans **Monitoring account configuration** (Configuration du compte de surveillance), choisissez **Resources to link accounts** (Ressources pour lier les comptes).
1. Effectuez l’une des actions suivantes :
+ Choisissez **Organisation AWS ** pour obtenir un modèle à utiliser pour lier les comptes d'une organisation à ce compte de surveillance.
+ Choisissez **Any account** (N'importe quel compte) pour obtenir un modèle ou une URL permettant de configurer des comptes individuels comme comptes sources.
1. Effectuez l’une des actions suivantes :
+ Si vous avez choisi **AWS l'organisation**, choisissez **Télécharger le CloudFormation modèle**.
+ Si vous avez choisi **N'importe quel compte**, choisissez **Télécharger le CloudFormation modèle** ou **Copier l'URL**.
1. (Facultatif) Répétez les étapes 5 et 6 pour télécharger le CloudFormation modèle et l'URL.
## Étape 3 : lier les comptes sources
Utilisez les étapes de ces sections pour lier les comptes sources à un compte de surveillance.
Pour lier les comptes de surveillance aux comptes sources, vous devez disposer de certaines autorisations. Pour de plus amples informations, veuillez consulter [Autorisations nécessaires](#CloudWatch-Unified-Cross-Account-Setup-permissions).
### Utiliser un CloudFormation modèle pour configurer tous les comptes d'une organisation ou d'une unité organisationnelle en tant que comptes sources
Ces étapes supposent que vous avez déjà téléchargé le CloudFormation modèle nécessaire en effectuant les étapes décrites dans[Étape 2 : (Facultatif) Téléchargez un CloudFormation modèle ou une URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Pour utiliser un CloudFormation modèle pour lier les comptes d'une organisation ou d'une unité organisationnelle au compte de surveillance**
1. Connectez-vous au compte de gestion de l'organisation.
1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation de gauche, choisissez **StackSets**.
1. Vérifiez que vous êtes connecté à la région de votre choix, puis choisissez **Create StackSet**.
1. Choisissez **Suivant**.
1. Choisissez **Template is ready** (Le modèle est prêt), puis **Upload a template file** (Charger un fichier modèle).
1. Choisissez **Choose file** (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez **Open** (Ouvrir).
1. Choisissez **Suivant**.
1. Pour **Spécifier StackSet les détails**, entrez un nom pour le StackSet et choisissez **Next**.
1. Pour **Add stacks to stack set** (Ajouter des piles à un ensemble de piles), sélectionnez **Deploy new stacks** (Déployer de nouvelles piles).
1. Pour **Deployment targets** (Cibles de déploiement), choisissez de déployer sur l'ensemble de l'organisation ou sur des unités organisationnelles spécifiées.
1. Pour **Spécifier les régions**, choisissez les régions dans lesquelles déployer l'observabilité CloudWatch entre comptes.
1. Choisissez **Suivant**.
1. Sur la page **Review** (Vérification), confirmez vos options sélectionnées et cliquez sur **Submit** (Soumettre).
1. Dans l'onglet **Stack instances** (Instances de pile), actualisez l'écran jusqu'à ce que vous voyiez que vos instances de pile ont le statut **CREATE\$1COMPLETE**.
### Utiliser un CloudFormation modèle pour configurer des comptes source individuels
Ces étapes supposent que vous avez déjà téléchargé le CloudFormation modèle nécessaire en effectuant les étapes décrites dans[Étape 2 : (Facultatif) Téléchargez un CloudFormation modèle ou une URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Utiliser un CloudFormation modèle pour configurer des comptes sources individuels pour une observabilité CloudWatch entre comptes**
1. Connectez-vous au compte source.
1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dans la barre de navigation de gauche, choisissez **Stacks** (Piles).
1. Vérifiez que vous êtes connecté à la région que vous voulez, puis choisissez **Create stack** (Créer une pile), **With new resources (standard)** (Avec de nouvelles ressources (standard)).
1. Choisissez **Suivant**.
1. Choisissez **Charger un fichier de modèle**.
1. Choisissez **Choose file** (Choisir un fichier), choisissez le modèle que vous avez téléchargé depuis le compte de surveillance, puis sélectionnez **Open** (Ouvrir).
1. Choisissez **Suivant**.
1. Pour **Specify stack details** (Spécifier les détails de la pile), saisissez un nom pour la pile et sélectionnez **Next** (Suivant).
1. Sur la page **Configurer les options de pile**, choisissez **Suivant**.
1. Sur la page **Review** (Vérification), choisissez **Submit** (Envoyer).
1. Sur la page d'état de votre pile, actualisez l'écran jusqu'à ce que vous voyiez que votre pile a le statut **CREATE\$1COMPLETE**.
1. Pour utiliser ce même modèle afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 12.
### Utilisation d'une URL pour configurer des comptes sources individuels
Ces étapes supposent que vous avez déjà copié l'URL nécessaire en effectuant les étapes de [Étape 2 : (Facultatif) Téléchargez un CloudFormation modèle ou une URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Pour utiliser une URL afin de lier des comptes sources individuels au compte de surveillance**
1. Connectez-vous au compte que vous voulez utiliser comme compte source.
1. Saisissez l'URL que vous avez copiée à partir du compte de surveillance.
Vous voyez la page des CloudWatch paramètres, avec certaines informations renseignées.
1. Pour **Sélectionner les données**, choisissez si ce compte source partagera les données **Journaux**, **Métriques**, **Traces**, **Application Insights – Applications** et **Moniteur Internet – Moniteurs** avec ce compte de surveillance.
Pour les **journaux** et les **métriques**, vous pouvez choisir de partager toutes les ressources ou un sous-ensemble avec le compte de surveillance.
1. (Facultatif) Pour partager un sous-ensemble des groupes de journaux de ce compte avec le compte de surveillance, sélectionnez **Journaux**, puis **Filtrer les journaux**. Utilisez ensuite la boîte **Filtrer les journaux** pour construire une requête afin de trouver les groupes de journaux que vous voulez partager. La requête utilisera le terme `LogGroupName` et un ou plusieurs des opérandes suivants.
+ `=` et `!=`
+ `AND`
+ `OR`
+ `^` indique LIKE et `!^` indique NOT LIKE. Ces opérateurs ne peuvent être utilisés qu’en tant que préfixes de recherche. Incluez un `%` à la fin de la chaîne que vous voulez rechercher et inclure.
+ `IN` et `NOT IN`, en utilisant des parenthèses (`( )`)
La requête complète ne doit pas dépasser 2000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont `AND` et `OR`. Le nombre d’autres opérandes n’est pas limité.
**Astuce**
Choisissez **Afficher des exemples de requêtes** pour voir la syntaxe correcte des formats de requête courants.
1. (Facultatif) Pour partager un sous-ensemble des espaces de noms de métriques de ce compte avec le compte de surveillance, sélectionnez **Métriques**, puis **Filtrer les métriques**. Utilisez ensuite la zone **Filtrer les métriques** pour créer une requête permettant de rechercher les espaces de noms de métriques que vous voulez partager. Utilisez le terme `Namespace` et un ou plusieurs des opérandes suivants.
+ `=` et `!=`
+ `AND`
+ `OR`
+ `LIKE` et `NOT LIKE`. Ces opérateurs ne peuvent être utilisés qu’en tant que préfixes de recherche. Incluez un `%` à la fin de la chaîne que vous voulez rechercher et inclure.
+ `IN` et `NOT IN`, en utilisant des parenthèses (`( )`)
La requête complète ne doit pas dépasser 2000 caractères et est limitée à cinq opérandes conditionnels. Les opérandes conditionnels sont `AND` et `OR`. Le nombre d’autres opérandes n’est pas limité.
**Astuce**
Choisissez **Afficher des exemples de requêtes** pour voir la syntaxe correcte des formats de requête courants.
1. Ne modifiez pas l'ARN dans **Enter monitoring account configuration ARN** (Saisir l'ARN de configuration du compte de surveillance).
1. La section **Définir une étiquette pour identifier votre compte source** est préremplie avec le choix d’étiquette du compte de surveillance, s’il y en a un. En option, choisissez **Edit** (Modifier) pour le modifier.
**Note**
Dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest), la seule option prise en charge est d'utiliser des libellés personnalisés, et les `$AcccountEmailNoDomain` variables `$AccountName``$AcccountEmail`, et sont toutes résolues à la *account-id* place de la variable spécifiée.
1. Choisissez **Lier**.
1. Saisissez **Confirm** dans la case et sélectionnez **Confirm** (Confirmer).
1. Pour utiliser cette même URL afin de lier d'autres comptes sources à ce compte de surveillance, déconnectez-vous de ce compte et connectez-vous au compte source suivant. Répétez ensuite les étapes 2 à 7.