Amazon CloudWatch dan AWS Organizations - AWS Organizations
Peran terkait layananPrinsipal layananAktifkan akses terpercayaMatikan akses tepercayaDaftarkan administrator yang didelegasikanMembatalkan pendaftaran administrator yang didelegasikan untuk CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon CloudWatch dan AWS Organizations

Anda dapat menggunakan AWS Organizations untuk Amazon CloudWatch untuk kasus penggunaan berikut:

  • Temukan dan pahami status konfigurasi telemetri untuk AWS sumber daya Anda dari tampilan pusat di CloudWatch konsol. Ini menyederhanakan proses audit konfigurasi pengumpulan telemetri Anda untuk beberapa jenis sumber daya di seluruh organisasi atau akun Anda. AWS Anda harus mengaktifkan akses tepercaya untuk menggunakan konfigurasi telemetri di seluruh organisasi Anda.

    Untuk informasi selengkapnya, lihat Mengaudit konfigurasi CloudWatch telemetri di Panduan Pengguna Amazon. CloudWatch

  • Bekerja dengan beberapa akun di Network Flow Monitor, fitur Amazon CloudWatch Network Monitoring. Network Flow Monitor menyediakan visibilitas hampir real-time ke kinerja jaringan untuk lalu lintas antar instans Amazon EC2. Setelah mengaktifkan akses tepercaya untuk berintegrasi dengan Organizations, Anda dapat membuat monitor untuk memvisualisasikan detail kinerja jaringan di beberapa akun.

    Untuk informasi selengkapnya, lihat Menginisialisasi Monitor Aliran Jaringan untuk pemantauan multi-akun di CloudWatch Panduan Pengguna Amazon.

Gunakan informasi berikut untuk membantu Anda mengintegrasikan Amazon CloudWatch AWS Organizations.

Peran tertaut layanan yang dibuat saat Anda mengaktifkan integrasi

Buat peran terkait layanan berikut di akun manajemen organisasi Anda. Peran terkait layanan dibuat secara otomatis di akun anggota saat Anda mengaktifkan akses tepercaya. Peran ini memungkinkan CloudWatch untuk melakukan operasi yang didukung dalam akun organisasi Anda di organisasi Anda. Anda dapat menghapus atau mengubah peran ini hanya jika Anda menonaktifkan akses tepercaya antara CloudWatch dan Organizations, atau jika Anda menghapus akun anggota dari organisasi.

  • AWSServiceRoleForObservabilityAdmin

Prinsipal layanan yang digunakan oleh peran tertaut layanan

Peran tertaut layanan di bagian sebelumnya dapat diambil hanya oleh prinsipal layanan yang diotorisasi oleh hubungan kepercayaan yang ditetapkan untuk peran tersebut. Peran terkait layanan yang digunakan oleh CloudWatch memberikan akses ke prinsipal layanan berikut:

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Mengaktifkan akses tepercaya dengan CloudWatch

Untuk informasi tentang izin yang Anda perlukan untuk mengaktifkan akses tepercaya, lihatIzin yang diperlukan untuk mengaktifkan akses terpercaya.

Anda dapat mengaktifkan akses tepercaya menggunakan CloudWatch konsol Amazon atau AWS Organizations konsol.

penting

Kami sangat menyarankan bahwa jika memungkinkan, Anda menggunakan CloudWatch konsol Amazon atau alat untuk mengaktifkan integrasi dengan Organizations. Ini memungkinkan Amazon CloudWatch melakukan konfigurasi apa pun yang diperlukan, seperti membuat sumber daya yang dibutuhkan oleh layanan. Lanjutkan dengan langkah-langkah ini hanya jika Anda tidak dapat mengaktifkan integrasi menggunakan alat yang disediakan oleh Amazon CloudWatch. Untuk informasi lebih lanjut, lihat catatan ini.

Jika Anda mengaktifkan akses tepercaya dengan menggunakan CloudWatch konsol atau alat Amazon, Anda tidak perlu menyelesaikan langkah-langkah ini.

Untuk mengaktifkan akses tepercaya menggunakan CloudWatch konsol

Lihat Mengaktifkan audit CloudWatch telemetri di Panduan Pengguna Amazon CloudWatch .

Saat mengaktifkan akses tepercaya CloudWatch, Anda mengaktifkan audit telemetri dan Anda dapat bekerja dengan beberapa akun di Network Flow Monitor.

Anda dapat mengaktifkan akses tepercaya dengan menggunakan AWS Organizations konsol, dengan menjalankan AWS CLI perintah, atau dengan memanggil operasi API di salah satu AWS SDKs.

Konsol Manajemen AWS
Untuk mengaktifkan akses layanan terpercaya menggunakan konsol Organizations

  1. Masuklah ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root (tidak direkomendasikan) di akun pengelolaan organisasi.

  2. Pada panel navigasi, silakan pilih Layanan.

  3. Pilih Amazon CloudWatch dalam daftar layanan.

  4. Pilih Aktifkan akses terpercaya.

  5. Di kotak CloudWatch dialog Aktifkan akses tepercaya untuk Amazon, ketik aktifkan untuk mengonfirmasi, lalu pilih Aktifkan akses tepercaya.

  6. Jika Anda hanya administrator AWS Organizations, beri tahu administrator Amazon CloudWatch bahwa mereka sekarang dapat mengaktifkan layanan itu untuk bekerja dengan AWS Organizations dari konsol layanan.

AWS CLI, AWS API
Untuk mengaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Gunakan AWS CLI perintah atau operasi API berikut untuk mengaktifkan akses layanan tepercaya:

  • AWS CLI: enable-aws-service-access

    Jalankan perintah berikut untuk mengaktifkan Amazon CloudWatch sebagai layanan tepercaya dengan Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Aktifkan AWSService Akses

Matikan akses tepercaya dengan CloudWatch

Untuk informasi tentang izin yang diperlukan untuk menonaktifkan akses terpercaya, lihat Izin yang diperlukan untuk menonaktifkan akses terpercaya.

Anda dapat menonaktifkan akses tepercaya menggunakan Amazon CloudWatch atau AWS Organizations alat.

penting

Kami sangat menyarankan bahwa bila memungkinkan, Anda menggunakan CloudWatch konsol Amazon atau alat untuk menonaktifkan integrasi dengan Organizations. Ini memungkinkan Amazon CloudWatch melakukan pembersihan apa pun yang diperlukan, seperti menghapus sumber daya atau mengakses peran yang tidak lagi diperlukan oleh layanan. Lanjutkan dengan langkah-langkah ini hanya jika Anda tidak dapat menonaktifkan integrasi menggunakan alat yang disediakan oleh Amazon CloudWatch.

Jika Anda menonaktifkan akses tepercaya dengan menggunakan CloudWatch konsol atau alat Amazon maka Anda tidak perlu menyelesaikan langkah-langkah ini.

Untuk mematikan akses tepercaya menggunakan CloudWatch konsol

Lihat Menonaktifkan audit CloudWatch telemetri di Panduan Pengguna Amazon CloudWatch

Saat Anda mematikan akses tepercaya CloudWatch, audit telemetri tidak lagi aktif dan Anda tidak dapat lagi bekerja dengan beberapa akun di Network Flow Monitor.

Anda dapat menonaktifkan akses tepercaya dengan menjalankan AWS CLI perintah Organizations, atau dengan memanggil operasi Organizations API di salah satu AWS SDKs.

AWS CLI, AWS API
Cara menonaktifkan akses layanan terpercaya menggunakan CLI/SDK Organizations

Gunakan AWS CLI perintah atau operasi API berikut untuk menonaktifkan akses layanan tepercaya:

  • AWS CLI: disable-aws-service-access

    Jalankan perintah berikut untuk menonaktifkan Amazon CloudWatch sebagai layanan tepercaya dengan Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Perintah ini tidak menghasilkan output saat berhasil.

  • AWS API: Nonaktifkan AWSService Akses

Mendaftarkan akun administrator yang didelegasikan untuk CloudWatch

Saat Anda mendaftarkan akun anggota sebagai akun administrator yang didelegasikan untuk organisasi, pengguna dan peran dari akun tersebut dapat melakukan tindakan administratif untuk CloudWatch itu hanya dapat dilakukan oleh pengguna atau peran yang masuk dengan akun manajemen organisasi. Menggunakan akun administrator yang didelegasikan membantu Anda memisahkan manajemen organisasi dari pengelolaan fitur di CloudWatch.

Izin minimum

Hanya administrator di akun manajemen Organizations yang dapat mendaftarkan akun anggota sebagai akun administrator yang didelegasikan CloudWatch di organisasi.

Anda dapat mendaftarkan akun administrator yang didelegasikan menggunakan CloudWatch konsol, atau dengan menggunakan operasi Organizations RegisterDelegatedAdministrator API dengan AWS Command Line Interface atau SDK.

Untuk informasi tentang cara mendaftarkan akun administrator yang didelegasikan menggunakan CloudWatch konsol, lihat Mengaktifkan audit CloudWatch telemetri di Panduan Pengguna Amazon. CloudWatch

Saat Anda mendaftarkan akun administrator yang didelegasikan CloudWatch, Anda dapat menggunakan akun untuk operasi manajemen dengan audit telemetri dan dengan Network Flow Monitor.

Membatalkan pendaftaran administrator yang didelegasikan untuk CloudWatch

Izin minimum

Hanya administrator yang masuk dengan akun manajemen Organizations yang dapat membatalkan pendaftaran akun administrator yang didelegasikan di organisasi. CloudWatch

Anda dapat membatalkan pendaftaran akun administrator yang didelegasikan dengan menggunakan CloudWatch konsol, atau dengan menggunakan operasi Organizations DeregisterDelegatedAdministrator API dengan atau SDK AWS Command Line Interface . Untuk informasi selengkapnya, lihat membatalkan pendaftaran akun administrator yang didelegasikan di Panduan Pengguna Amazon. CloudWatch

Saat Anda membatalkan pendaftaran akun administrator yang didelegasikan CloudWatch, Anda tidak dapat lagi menggunakan akun untuk operasi manajemen dengan audit telemetri dan dengan Network Flow Monitor.