Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Monitoraggio per account e Regioni differenti Per abilitare il monitoraggio unificato tra gli account, CloudWatch offre le seguenti funzionalità: + **[CloudWatchosservabilità tra account: facilita l'osservabilità](CloudWatch-Unified-Cross-Account.md)** all'interno di una singola regione con il servizio Observability Access Manager (OAM). Puoi collegare gli account e visualizzare facilmente metriche, log, tracce e altri dati di telemetria per account differenti. In questo modo, gli account di monitoraggio centralizzati dispongono di un'osservabilità unificata, potendo visualizzare la telemetria condivisa dagli account di origine e utilizzarla come se fosse nativa dell'account di monitoraggio. + Console **[interregionale: offre un'esperienza di CloudWatch console che consente di visualizzare dashboard, metriche e console di allarmi di altri account](Cross-Account-Cross-Region.md)** in tutte le regioni passando da un account all'altro. Dopo aver impostato le autorizzazioni necessarie, si utilizza un selettore di account integrato nelle console di allarmi, pannelli di controllo e metriche per visualizzare metriche, pannelli di controllo e allarmi in altri account senza dover effettuare l'accesso e la disconnessione dagli account. Inoltre, abilitando questa funzionalità, è possibile configurare pannelli di controllo che contengono le metriche per tutti gli account e tutte le Regioni per una visibilità centralizzata all'interno di un account. + **[Centralizzazione dei log su tutti gli account e tutte le Regioni](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)**: raccoglie copie dei dati di log da più account membri in un unico archivio di dati utilizzando regole di centralizzazione su tutti gli account e tutte le Regioni. Sei tu a definire le regole che replicano automaticamente i dati di registro da più account in un account centralizzato all'interno dell'organizzazione. Regioni AWS Questa funzionalità semplifica il consolidamento dei log per migliorare il monitoraggio, l'analisi e la conformità centralizzati sull'intera infrastruttura. AWS Queste tre funzionalità sono complementari tra loro e possono essere utilizzate indipendentemente o insieme. Per un confronto delle funzionalità, consulta la tabella seguente. Ti consigliamo di utilizzare l'osservabilità CloudWatch tra account per la più ricca esperienza di osservabilità e scoperta tra account all'interno di una regione per le tue metriche, i log e le tracce. | | **[CloudWatch osservabilità tra account](CloudWatch-Unified-Cross-Account.md)** | **[Console per più account e più regioni CloudWatch](Cross-Account-Cross-Region.md)** | **[Centralizzazione dei log per tutti gli account e tutte le Regioni](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)** | | --- | --- | --- | --- | | **Di cosa si tratta? ** | Accesso unificato alla telemetria sottostante e ad altre risorse di osservabilità su più account. Dopo la configurazione, le risorse di osservabilità sono facilmente visualizzabili tra account differenti, eliminando la necessità di assumere ruoli specifici. L'account di monitoraggio centrale ottiene l'accesso diretto ai dati e alle risorse di telemetria dagli account di origine, semplificando il processo di monitoraggio e osservabilità. | Un account di monitoraggio designato presuppone un account di origine **CrossAccountSharingRole**definito dalla CloudWatch console. Assumendo questo ruolo, l'account di monitoraggio può invocare, direttamente dalla sua console, operazioni come la visualizzazione del pannello di controllo per conto degli account di origine. | La funzionalità di centralizzazione dei dati di Amazon CloudWatch Logs semplifica il consolidamento dei log per migliorare il monitoraggio, l'analisi e la conformità centralizzati nell'intera infrastruttura. AWS | | **Come funziona?** | Un account di monitoraggio che utilizza il servizio Observability Access Monitoring crea un *sink* e gli associa una policy di sink. La policy di sink definisce quali risorse desiderano visualizzare e quali account di origine devono condividerle. Dopodiché, gli account di origine possono creare un collegamento al sink dell'account di monitoraggio, stabilendo cosa vogliono effettivamente condividere. Dopo la creazione del collegamento, le risorse specificate sono visibili nell'account di monitoraggio. | Un account di origine avvia la configurazione impostando un **CrossAccountSharingRole**account di monitoraggio che consente a un account di monitoraggio di eseguire operazioni nell'account di origine. Dopodiché, un account di monitoraggio abilita il selettore per tutti gli account e tutte le Regioni nella console specificando l'ID dell'account di origine. In questo modo, l'account di monitoraggio è in grado di passare all'account di origine. Quando si cambia, la CloudWatch console verifica l'esistenza di un ruolo collegato al servizio che consente di CloudWatch assumere quello **CrossAccountSharingRole**che è stato creato nell'account di origine. | La centralizzazione dei dati di Amazon CloudWatch Logs consente di AWS Organizations copiare i dati di log da più account membri in un unico repository di dati utilizzando regole di centralizzazione tra account e regioni. Sei tu a definire le regole che replicano automaticamente i dati di log da più account in un account centralizzato all' Regioni AWS interno della tua organizzazione. | | **Quale telemetria è supportata?** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | | **Quali funzionalità sono supportate?** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonCloudWatch/latest/monitoring/CloudWatch-Cross-Account-Methods.html) Per ulteriori dettagli, consultare [Console per più account e più regioni CloudWatch](Cross-Account-Cross-Region.md). | CloudWatch Approfondimenti sui logFiltri di sottoscrizioneFiltri di parametri | | **Con quanti account posso utilizzare questa funzionalità?** | Un account di monitoraggio può visualizzare contemporaneamente le risorse di un massimo di 100.000 account di origine. Ogni account di origine può condividere le proprie risorse con un massimo di cinque account di monitoraggio. | Utilizzando il selettore per tutti gli account e tutte le Regioni presente nella console, un account di monitoraggio può passare a un singolo altro account alla volta, ma il numero di account collegabili non prevede un limite. Quando si definiscono pannelli di controllo e allarmi tra account, è possibile fare riferimento a molti account di origine. | Funziona con il numero di account AWS Organizations supportato | | **I dati di telemetria vengono spostati?** | No. Le risorse vengono solamente condivise con gli altri account, ad eccezione delle tracce copiate. | No. Una policy IAM è configurata per consentire il cambio di account incorporato per la visibilità delle risorse per tutti gli account e tutte le Regioni. | Sì | | **Quanto costa?** | Non comporta costi aggiuntivi per log e metriche condivisi. Inoltre, la prima copia della traccia è gratuita. Per ulteriori informazioni sui prezzi, consulta la pagina [ CloudWatchdei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing). | Nessun costo aggiuntivo per le operazioni su tutti gli account o tutte le Regioni. | Una copia dei log può essere centralizzata gratuitamente. Per le copie aggiuntive viene addebitato un costo di 0,05 USD per GB di log centralizzati (la funzionalità della Regione di backup è considerata una copia aggiuntiva). Per informazioni sui prezzi dei costi di archiviazione nell'account di destinazione e altre esperienze a valore aggiunto, consulta la pagina dei prezzi di [Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/pricing/). | | **Supporta l'osservabilità su tutte le Regioni?** | No | Sì | Sì, è possibile centralizzare i dati su tutte le Regioni. | | **Supporta l'accesso programmatico?** | Sì. I AWS CLI AWS Cloud Development Kit (AWS CDK), e APIs sono supportati. | No | Sì | | **Supporta la configurazione programmatica?** | Sì | Sì | Sì | | **Supporta AWS Organizations?** | Sì | Sì | Sì. AWS Organizations è necessario per utilizzare questa funzionalità. | **Topics** + [CloudWatch osservabilità tra più account](CloudWatch-Unified-Cross-Account.md) + [Console per più account e più regioni CloudWatch](Cross-Account-Cross-Region.md) # CloudWatch osservabilità tra più account Con l'osservabilità CloudWatch tra più account di Amazon, puoi monitorare e risolvere i problemi delle applicazioni che si estendono su più account all'interno di una regione. Cerca, visualizza e analizza senza interruzioni metriche, log, tracce, servizi di Application Signals e obiettivi di livello di servizio (SLOs), applicazioni Application Insights e monitor Internet in tutti gli account collegati senza limiti di account. *Configura uno o più AWS account come account di *monitoraggio e collegali a più account* di origine.* Un account di monitoraggio è un account AWS principale in grado di visualizzare e interagire con i dati di osservabilità generati dagli account di origine. Un account di origine è un AWS account individuale che genera dati di osservabilità per le risorse che vi risiedono. Gli account di origine condividono i dati di osservabilità con l'account di monitoraggio. I dati di osservabilità condivisi possono includere i seguenti tipi di dati di telemetria: + Metriche in Amazon CloudWatch. Puoi scegliere di condividere le metriche di tutti i namespace con l'account di monitoraggio o filtrare in base a un sottoinsieme di namespace. + Gruppi di log in Amazon CloudWatch Logs. Puoi scegliere di condividere tutti i gruppi di log con l'account di monitoraggio o filtrare in base a un sottoinsieme di gruppi di log. + Tracce in AWS X-Ray + Servizi e obiettivi del livello di servizio (SLOs) in Application Signals + Applicazioni in Amazon CloudWatch Application Insights + Monitor in CloudWatch Internet Monitor Per creare collegamenti tra gli account di monitoraggio e gli account di origine, puoi utilizzare la CloudWatch console. In alternativa, utilizza i comandi *di Observability Access Manager* nell'API AWS CLI and. Per ulteriori informazioni, consulta [Documentazione di riferimento delle API di Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html). Un *sink* è una risorsa che rappresenta un punto di attacco in un account di monitoraggio. Gli account di origine possono collegarsi al sink per condividere i dati di osservabilità. Ogni account può avere un sink per Regione. Ogni sink è gestito dall'account di monitoraggio in cui si trova. Un *link di osservabilità* è una risorsa che rappresenta il collegamento stabilito tra un account di origine e un account di monitoraggio. I collegamenti sono gestiti dall'account di origine. Per una dimostrazione video della configurazione dell'osservabilità CloudWatch tra account, guarda il seguente video. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lUaDO9dqISc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lUaDO9dqISc) L'argomento successivo spiega come impostare l'osservabilità tra account sia CloudWatch negli account di monitoraggio che negli account di origine. Per informazioni sulla dashboard interregionale CloudWatch tra account, consulta. [Console per più account e più regioni CloudWatch](Cross-Account-Cross-Region.md) **Utilizzo di Organizations per gli account di origine** Sono disponibili due opzioni per collegare gli account di origine all'account di monitoraggio. Puoi utilizzare una o entrambe le opzioni. + Utilizzato AWS Organizations per collegare gli account di un'organizzazione o unità organizzativa all'account di monitoraggio. + Connect AWS i singoli account all'account di monitoraggio. Ti consigliamo di utilizzare Organizations in modo che AWS i nuovi account creati in un secondo momento nell'organizzazione vengano automaticamente inseriti come account di origine per consentire l'osservabilità tra più account. **Dettagli sul collegamento di account di monitoraggio e account di origine** + Ogni account di monitoraggio può essere collegato a un massimo di 100.000 account di origine. + Ogni account di origine può condividere dati con un massimo di cinque account di monitoraggio. + Puoi configurare un singolo account sia come account di monitoraggio che come account di origine. In questo caso, tale account invia all'account di monitoraggio collegato soltanto i dati di osservabilità provenienti da se stesso, non dai relativi account di origine. + Un account di monitoraggio specifica i dati di telemetria che possono essere condivisi con esso. Un account di origine specifica i dati di telemetria che desidera condividere. + Se nell'*account di monitoraggio* sono selezionati più tipi di telemetria rispetto all'account di origine, gli account sono collegati. Vengono condivisi solo i tipi di dati selezionati in entrambi gli account. + Se nell'*account di origine* sono selezionati più tipi di dati di telemetria rispetto all'account di monitoraggio, la creazione del collegamento ha esito negativo e non viene condiviso nulla. + Il nome di una metrica non viene visualizzato nella console dell'account di monitoraggio finché tale metrica non emette nuovi punti dati dopo la creazione del collegamento. + Per rimuovere un collegamento tra account, esegui questa operazione dall'account di origine. + Per eliminare un sink in un account di monitoraggio, devi prima rimuovere tutti i collegamenti a tale sink dall'account di monitoraggio. **Prezzi** L'osservabilità tra più account non CloudWatch comporta costi aggiuntivi per log e metriche, Application Signals e la prima copia di traccia è gratuita. Per ulteriori informazioni sui prezzi, consulta la pagina [ CloudWatchdei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing). **Contents** + [Collegamento degli account di monitoraggio agli account di origine](CloudWatch-Unified-Cross-Account-Setup.md) + [Autorizzazioni necessarie](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions) + [Autorizzazioni necessarie per creare i collegamenti](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-setup) + [Autorizzazioni necessarie per il monitoraggio tra account](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-monitor) + [Panoramica della configurazione](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-overview) + [Passaggio 1: configurazione di un account di monitoraggio](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureMonitoringAccount) + [Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-TemplateOrURL) + [Passaggio 3: collegamento degli account di origine](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureSourceAccount) + [Utilizza un CloudFormation modello per configurare tutti gli account di un'organizzazione o di un'unità organizzativa come account di origine](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-OrgTemplate) + [Utilizza un CloudFormation modello per configurare singoli account di origine](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleTemplate) + [Utilizzo di un URL per configurare singoli account di origine](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleURL) + [Gestione degli account di monitoraggio e di origine](Unified-Cross-Account-Manage.md) + [Collegamento di molteplici account di origine a un account di monitoraggio esistente](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-AddSourceAccounts) + [Rimozione del collegamento tra un account di monitoraggio e un account di origine](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-UnlinkAccount) + [Visualizzazione delle informazioni relative a un account di monitoraggio](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-ManageMonitoringAccount) # Collegamento degli account di monitoraggio agli account di origine Gli argomenti di questa sezione illustrano come configurare i collegamenti tra account di monitoraggio e account di origine. Ti consigliamo di creare un nuovo AWS account che funga da account di monitoraggio per la tua organizzazione. **Contents** + [Autorizzazioni necessarie](#CloudWatch-Unified-Cross-Account-Setup-permissions) + [Autorizzazioni necessarie per creare i collegamenti](#Unified-Cross-Account-permissions-setup) + [Autorizzazioni necessarie per il monitoraggio tra account](#Unified-Cross-Account-permissions-monitor) + [Panoramica della configurazione](#CloudWatch-Unified-Cross-Account-Setup-overview) + [Passaggio 1: configurazione di un account di monitoraggio](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount) + [Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL](#Unified-Cross-Account-Setup-TemplateOrURL) + [Passaggio 3: collegamento degli account di origine](#Unified-Cross-Account-Setup-ConfigureSourceAccount) + [Utilizza un CloudFormation modello per configurare tutti gli account di un'organizzazione o di un'unità organizzativa come account di origine](#Unified-Cross-Account-SetupSource-OrgTemplate) + [Utilizza un CloudFormation modello per configurare singoli account di origine](#Unified-Cross-Account-SetupSource-SingleTemplate) + [Utilizzo di un URL per configurare singoli account di origine](#Unified-Cross-Account-SetupSource-SingleURL) ## Autorizzazioni necessarie ### Autorizzazioni necessarie per creare i collegamenti Per creare un collegamento tra un account di monitoraggio e un account di origine, devi accedere con determinate autorizzazioni. + **Per configurare un account di monitoraggio**. È necessario disporre dell'accesso completo come amministratore nell'account di monitoraggio oppure accedere a tale account con le seguenti autorizzazioni: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSinkModification", "Effect": "Allow", "Action": [ "oam:CreateSink", "oam:DeleteSink", "oam:PutSinkPolicy", "oam:TagResource" ], "Resource": "*" }, { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": ["oam:Get*", "oam:List*"], "Resource": "*" } ] } ``` ------ + **Account di origine associato a un account di monitoraggio specifico**. Per creare, aggiornare e gestire i collegamenti per un solo account di monitoraggio specificato, è necessario accedere all'account almeno con le autorizzazioni seguenti. In questo esempio, l'account di monitoraggio è `999999999999`. Se il link non intende condividere tutti e sette i tipi di risorse (metriche, log, tracce, applicazioni Application Insights, servizi Application Signals e obiettivi dei livelli di servizio (SLOs) e monitor di Internet Monitor), puoi omettere`cloudwatch:Link`,,, `logs:Link` `xray:Link` `applicationinsights:Link``application-signals:Link`, o se necessario. `internetmonitor:Link` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "oam:CreateLink", "oam:UpdateLink", "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:link/*" }, { "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Effect": "Allow", "Resource": "arn:*:oam:*:*:sink/*", "Condition": { "StringEquals": { "aws:ResourceAccount": [ "999999999999" ] } } }, { "Action": "oam:ListLinks", "Effect": "Allow", "Resource": "*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "application-signals:Link", "Effect": "Allow", "Resource": "*" } ] } ``` ------ + **Account di origine con autorizzazioni per collegarsi a qualsiasi account di monitoraggio**: per creare un collegamento a qualsiasi sink dell'account di monitoraggio esistente e condividere metriche, gruppi di log, tracce, applicazioni di Approfondimenti sulle applicazioni e monitoraggi di Monitor Internet, è necessario accedere all'account di origine con le autorizzazioni di amministratore complete o con le seguenti autorizzazioni Se il link non intende condividere tutti e sette i tipi di risorse (metriche, log, tracce, applicazioni Application Insights, servizi Application Signals e obiettivi del livello di servizio (SLOs) e monitor di Internet Monitor), puoi omettere `cloudwatch:Link``logs:Link`,`xray:Link`,`applicationinsights:Link`,`application-signals:Link`, o `internetmonitor:Link` secondo necessità. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] }, { "Effect": "Allow", "Action": [ "oam:List*", "oam:Get*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Action": "cloudwatch:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "xray:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "logs:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "applicationinsights:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "internetmonitor:Link", "Effect": "Allow", "Resource": "*" }, { "Action": "application-signals:Link", "Effect": "Allow", "Resource": "*" } ] } ``` ------ ### Autorizzazioni necessarie per il monitoraggio tra account Dopo aver creato un collegamento, per visualizzare le informazioni sull'account di origine da un account di monitoraggio, devi accedere a un account con una delle seguenti modalità: + Accesso completo da amministratore nell'account di monitoraggio + Le seguenti autorizzazioni su tutti gli account, oltre alle autorizzazioni per visualizzare i tipi specifici di risorse che verranno monitorate ``` { "Sid": "AllowReadOnly", "Effect": "Allow", "Action": [ "oam:Get*", "oam:List*" ], "Resource": "*" } ``` ## Panoramica della configurazione I seguenti passaggi di alto livello mostrano come impostare l'osservabilità tra account. CloudWatch **Nota** Ti consigliamo di creare un nuovo AWS account da utilizzare come account di monitoraggio della tua organizzazione. 1. Configura un account di monitoraggio dedicato. 1. (Facoltativo) Scarica un CloudFormation modello o copia un URL per collegare gli account di origine. 1. Collega gli account di origine all'account di monitoraggio. Dopo aver completato questi passaggi, puoi utilizzare l'account di monitoraggio per visualizzare i dati di osservabilità degli account di origine. ## Passaggio 1: configurazione di un account di monitoraggio Segui i passaggi in questa sezione per configurare un AWS account come account di monitoraggio per l'osservabilità CloudWatch tra account. **Prerequisiti** + **Se stai configurando gli account di un' AWS Organizations organizzazione come account di origine, ottieni il** percorso dell'organizzazione o l'ID dell'organizzazione. + **Se non utilizzi Organizations per gli account di origine**, ottieni l'account IDs degli account di origine. Per configurare un account come account di monitoraggio, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni necessarie](#CloudWatch-Unified-Cross-Account-Setup-permissions). **Per configurare un account di monitoraggio** 1. Accedi all'account da utilizzare come account di monitoraggio. 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**. 1. In **Monitoring account configuration** (Configurazione dell'account di monitoraggio), scegli **Configure** (Configura). 1. Per **Select data, scegli se questo account di monitoraggio sarà in grado di visualizzare i dati** di **Logs**, **Metrics, **Traces****, **Application Insights - Applications**, **Internet Monitor - Monitor** e **Application Signals - Services, Service Level Objectives (SLOs)** dagli account di origine a cui è collegato. 1. In **List source accounts** (Elenca account di origine), inserisci gli account di origine che verranno visualizzati da questo account di monitoraggio. Per identificare gli account di origine, inserisci il singolo account IDs, i percorsi organizzativi o l'organizzazione. IDs Se inserisci un percorso o un ID dell'organizzazione, l'account di monitoraggio può visualizzare i dati di osservabilità da tutti gli account collegati in tale organizzazione. Separa le voci in elenco con virgole. **Importante** Quando immetti un percorso organizzativo, esprimilo nel formato esatto. L'ou-id deve terminare con `/` (un carattere barra). Ad esempio: `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/` 1. Per **Definire un'etichetta da utilizzare per identificare l'account di origine**, è possibile definire un'etichetta da utilizzare per creare un CloudFormation modello. Quando il modello viene utilizzato per collegare gli account di origine a questo account di monitoraggio, l'etichetta viene applicata agli account di origine. È possibile specificare se utilizzare i nomi degli account o gli indirizzi e-mail in questa etichetta e utilizzare anche variabili come `$AccountName`, `$AcccountEmail` e `$AcccountEmailNoDomain`. **Nota** Nelle regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), l'unica opzione supportata consiste nell'utilizzare etichette personalizzate e le `$AcccountEmailNoDomain` variabili `$AccountName``$AcccountEmail`, e si risolvono tutte *account-id* al posto della variabile specificata. 1. Scegli **Configura**. **Importante** Il collegamento tra gli account di monitoraggio e di origine non è completo finché non si configurano gli account di origine. Per ulteriori informazioni, consultare le sezioni indicate di seguito. ## Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL Per collegare gli account di origine a un account di monitoraggio, ti consigliamo di utilizzare un modello AWS CloudFormation o un URL. + **Se stai collegando un'intera organizzazione**, CloudWatch fornisce un CloudFormation modello. + **Se stai collegando singoli account**, utilizza un CloudFormation modello o un URL che CloudWatch lo fornisca. Per utilizzare un CloudFormation modello, devi scaricarlo durante questi passaggi. Dopo aver collegato l'account di monitoraggio ad almeno un account di origine, il CloudFormation modello non è più disponibile per il download. **Per scaricare un CloudFormation modello o copiare un URL per collegare gli account di origine all'account di monitoraggio** 1. Accedi all'account da utilizzare come account di monitoraggio. 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**. 1. In **Monitoring account configuration** (Configurazione dell'account di monitoraggio), scegli **Resources to link accounts** (Risorse per collegare gli account). 1. Esegui una delle seguenti operazioni: + Scegli **Organizzazione AWS ** per scaricare un modello da utilizzare per collegare gli account di un'organizzazione a questo account di monitoraggio. + Scegli **Any account** (Qualsiasi account) per ottenere un modello o un URL al fine di configurare i singoli account come account di origine. 1. Esegui una delle seguenti operazioni: + Se hai scelto **AWS l'organizzazione**, scegli **Scarica CloudFormation modello**. + Se hai scelto **Qualsiasi account**, scegli **Scarica CloudFormation modello** o **Copia URL**. 1. (Facoltativo) Ripeti i passaggi 5-6 per scaricare sia il CloudFormation modello che l'URL. ## Passaggio 3: collegamento degli account di origine Utilizza la procedura riportata in queste sezioni per collegare gli account di origine a un account di monitoraggio. Per collegare gli account di monitoraggio agli account di origine, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni necessarie](#CloudWatch-Unified-Cross-Account-Setup-permissions). ### Utilizza un CloudFormation modello per configurare tutti gli account di un'organizzazione o di un'unità organizzativa come account di origine Questi passaggi presuppongono che tu abbia già scaricato il CloudFormation modello necessario eseguendo i passaggi indicati in[Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL](#Unified-Cross-Account-Setup-TemplateOrURL). **Per utilizzare un CloudFormation modello per collegare gli account di un'organizzazione o di un'unità organizzativa all'account di monitoraggio** 1. Accedi all'account di gestione dell'organizzazione. 1. Apri la CloudFormation console all'indirizzo [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/) 1. Nella barra di navigazione a sinistra, scegli. **StackSets** 1. Verifica di aver effettuato l'accesso alla regione desiderata, quindi scegli **Crea StackSet**. 1. Scegli **Next (Successivo)**. 1. Scegli **Template is ready** (Il modello è pronto) e infine **Upload a template file** (Carica un file di modello). 1. Seleziona **Choose file** (Scegli file), scegli il modello che hai scaricato dall'account di monitoraggio e infine scegli **Open** (Apri). 1. Scegli **Next (Successivo)**. 1. Per **Specificare StackSet i dettagli**, inserisci un nome per la StackSet e scegli **Avanti**. 1. In **Add stacks to stack set** (Aggiungi stack a un set di stack), scegli **Deploy new stacks** (Implementa nuovi stack). 1. In **Deployment targets** (Destinazioni di implementazione), scegli se distribuirlo all'intera organizzazione o a unità organizzative specifiche. 1. Per **Specificare le regioni**, scegli in quali regioni implementare l' CloudWatch osservabilità tra account. 1. Scegli **Next (Successivo)**. 1. Nella pagina **Review** (Revisione), conferma le opzioni e selezionate scegli **Submit** (Invia). 1. Nella scheda **Stack instances** (Istanze stack), aggiorna la schermata finché non viene visualizzato lo stato **CREATE\$1COMPLETE** per le istanze dello stack. ### Utilizza un CloudFormation modello per configurare singoli account di origine Questi passaggi presuppongono che tu abbia già scaricato il CloudFormation modello necessario eseguendo i passaggi indicati in[Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL](#Unified-Cross-Account-Setup-TemplateOrURL). **Utilizzare un CloudFormation modello per configurare account di origine individuali per l'osservabilità CloudWatch tra account** 1. Accedi all'account di origine. 1. [Apri la CloudFormation console in https://console.aws.amazon.com /cloudformation.](https://console.aws.amazon.com/cloudformation/) 1. Nella barra di navigazione a sinistra, seleziona **Stacks** (Stack). 1. Verifica di aver effettuato l'accesso alla regione desiderata, quindi scegli **Create StackSet** (Crea StackSet) e infine **With new resources (standard)** (Con nuove risorse [standard]). 1. Scegli **Next (Successivo)**. 1. Scegliere **Upload a template file (Carica un file di modello)**. 1. Seleziona **Choose file** (Scegli file), scegli il modello che hai scaricato dall'account di monitoraggio e infine scegli **Open** (Apri). 1. Scegli **Next (Successivo)**. 1. In **Specify stack details** (Specifica i dettagli dello stack), inserisci un nome per lo stack e seleziona **Next** (Successivo). 1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**. 1. Nella pagina **Review** (Revisione), scegli **Submit** (Invia). 1. Nella pagina relativa allo stato dello stack, aggiorna la schermata finché non viene visualizzato lo stato **CREATE\$1COMPLETE**. 1. Per collegare più account di origine a questo account di monitoraggio utilizzando lo stesso modello, esci da questo account e accedi all'account di origine successivo. Quindi ripeti i passaggi 2-12. ### Utilizzo di un URL per configurare singoli account di origine Questi passaggi presuppongono che tu abbia già copiato l'URL necessario seguendo le fasi descritte in [Passaggio 2: (Facoltativo) Scarica un CloudFormation modello o un URL](#Unified-Cross-Account-Setup-TemplateOrURL). **Per utilizzare un URL al fine di collegare i singoli account di origine all'account di monitoraggio** 1. Accedi all'account da utilizzare come account di origine. 1. Inserisci l'URL copiato dall'account di monitoraggio. Viene visualizzata la pagina CloudWatch delle impostazioni, con alcune informazioni inserite. 1. Per **Seleziona dati**, scegli se questo account di origine condividerà i dati relativi a **Log**, **Metriche**, **Tracce**, **Approfondimenti sulle applicazioni - Applicazioni** e **Monitor Internet - Monitoraggi** con questo account di monitoraggio. Sia per i **log** sia per le **metriche**, puoi scegliere se condividere con l'account di monitoraggio tutte le risorse o un sottoinsieme delle stesse. 1. (Facoltativo) Per condividere un sottoinsieme dei gruppi di log di questo account con l'account di monitoraggio, seleziona **Log** e scegli **Filtra log**. Quindi usa la casella **Filtra log** per creare una query che individui i gruppi di log che desideri condividere. La query utilizzerà il termine `LogGroupName` e uno o più dei seguenti operandi. + `=` e `!=` + `AND` + `OR` + `^` indica COME e `!^` indica NON COME. Questi possono essere usati solo come ricerche di prefissi. Includi un `%` alla fine della stringa che desideri cercare e includere. + `IN` e `NOT IN`, usando le parentesi (`( )`) La query completa non deve superare i 2.000 caratteri ed è limitata a 5 operandi condizionali. Gli operandi condizionali sono `AND` e `OR`. Non è previsto alcun limite al numero di altri operandi. **Suggerimento** Scegli **Visualizza query di esempio** per visualizzare la sintassi corretta per i formati di query più comuni. 1. (Facoltativo) Per condividere un sottoinsieme dei namespace delle metriche di questo account con l'account di monitoraggio, seleziona **Metriche** e scegli **Filtra metriche**. Quindi usa la casella **Filtra metriche** per creare una query che individui i namespace delle metriche che desideri condividere. Utilizza il termine `Namespace` e uno o più dei seguenti operandi. + `=` e `!=` + `AND` + `OR` + `LIKE` e `NOT LIKE`. Questi possono essere usati solo come ricerche di prefissi. Includi un `%` alla fine della stringa che desideri cercare e includere. + `IN` e `NOT IN`, usando le parentesi (`( )`) La query completa non deve superare i 2.000 caratteri ed è limitata a 5 operandi condizionali. Gli operandi condizionali sono `AND` e `OR`. Non è previsto alcun limite al numero di altri operandi. **Suggerimento** Scegli **Visualizza query di esempio** per visualizzare la sintassi corretta per i formati di query più comuni. 1. Non modificare l'ARN in **Enter monitoring account configuration ARN** (Inserisci l'ARN di configurazione dell'account di monitoraggio). 1. La sezione **Definisci un'etichetta per identificare l'account di origine** è precompilata con l'etichetta scelta dall'account di monitoraggio, se esistente. Se lo desideri, puoi modificarla selezionando **Edit** (Modifica). **Nota** Nelle regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), l'unica opzione supportata consiste nell'utilizzare etichette personalizzate e le `$AccountName` `$AcccountEmailNoDomain` variabili si risolvono tutte *account-id* al posto della variabile specificata. `$AcccountEmail` 1. Scegliere **Link (Collegamento)**. 1. Nella casella, inserisci **Confirm** e scegli **Confirm** (Conferma). 1. Per collegare più account di origine a questo account di monitoraggio utilizzando lo stesso URL, esci da questo account e accedi all'account di origine successivo. Quindi ripeti i passaggi 2-7. # Gestione degli account di monitoraggio e di origine Dopo aver impostato gli account di monitoraggio e di origine, puoi utilizzare i passaggi descritti in queste sezioni per gestirli. **Contents** + [Collegamento di molteplici account di origine a un account di monitoraggio esistente](#Unified-Cross-Account-Setup-AddSourceAccounts) + [Rimozione del collegamento tra un account di monitoraggio e un account di origine](#Unified-Cross-Account-Setup-UnlinkAccount) + [Visualizzazione delle informazioni relative a un account di monitoraggio](#Unified-Cross-Account-Setup-ManageMonitoringAccount) ## Collegamento di molteplici account di origine a un account di monitoraggio esistente Segui la procedura riportata in questa sezione per aggiungere collegamenti da account di origine aggiuntivi a un account di monitoraggio esistente. Ogni account di origine può essere collegato a un massimo di cinque account di monitoraggio. Ogni account di monitoraggio può essere collegato a un massimo di 100.000 account di origine. Per gestire un account di origine, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni necessarie](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **Per aggiungere altri account di origine a un account di monitoraggio** 1. Accedi all'account di monitoraggio. 1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**. 1. In **Monitoring account configuration** (Configurazione dell'account di monitoraggio), scegli **Manage source accounts** (Gestisci account di origine). 1. Scegli la scheda **Configuration policy** (Policy di configurazione). 1. Nella casella **Configuration policy** (Policy di configurazione), aggiungi il nuovo ID dell'account di origine nella riga **Principal** (Principale). Ad esempio, supponiamo che la riga **Principal** (Principale) sia attualmente la seguente: ``` "Principal": {"AWS": ["111111111111", "222222222222"]} ``` Per aggiungere `999999999999` come terzo account di origine, modifica la riga come segue: ``` "Principal": {"AWS": ["111111111111", "222222222222", "999999999999"]} ``` 1. Scegliere **Aggiorna**. 1. Scegli la scheda **Configuration details** (Dettagli della configurazione). 1. Scegli l'icona di copia accanto all'ARN del sink dell'account di monitoraggio. 1. Accedi all'account da utilizzare come nuovo account di origine. 1. Incolla l'ARN del sink dell'account di monitoraggio che hai copiato nel passaggio 9. Viene visualizzata la pagina CloudWatch delle impostazioni, con alcune informazioni inserite. 1. Per **Select data, scegli se questo account di origine invierà i dati** di **Logs**, **Metrics, **Traces**** e **Application Insights - Applications**, **Internet Monitor - Monitor** e **Application Signals -Services, Service Level Objectives (SLOs)** agli account di monitoraggio a cui è collegato. 1. Non modificare l'ARN in **Enter monitoring account configuration ARN** (Inserisci l'ARN di configurazione dell'account di monitoraggio). 1. La sezione **Definisci un'etichetta per identificare l'account di origine** è precompilata con l'etichetta scelta dall'account di monitoraggio, se esistente. Se lo desideri, puoi modificarla selezionando **Edit** (Modifica). **Nota** Nelle regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), l'unica opzione supportata consiste nell'utilizzare etichette personalizzate e le `$AcccountEmailNoDomain` variabili, e si risolvono tutte al `$AccountName` posto della variabile specificata. `$AcccountEmail` *account-id* 1. Scegliere **Link (Collegamento)**. 1. Nella casella, inserisci **Confirm** e scegli **Confirm** (Conferma). ## Rimozione del collegamento tra un account di monitoraggio e un account di origine Segui la procedura riportata in questa sezione per interrompere l'invio dei dati da un account di origine a un account di monitoraggio. **Nota** Dopo che l'account di origine interrompe la condivisione delle metriche con l'account di *monitoraggio*, l'account di monitoraggio non può più accedere ai dati delle metriche dell'account di *origine*. I nomi delle metriche di origine possono essere visibili all'account di monitoraggio per un massimo di 14 giorni. Per completare questa attività, devi disporre delle autorizzazioni necessarie per gestire un account di origine. Per ulteriori informazioni, consulta [Autorizzazioni necessarie](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **Per rimuovere il collegamento tra un account di origine e un account di monitoraggio** 1. Accedi all'account di origine. 1. Apri la CloudWatch console all'indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**. 1. In **Configurazione dell'account di monitoraggio**, scegli **Visualizza gli account di monitoraggio collegati**. 1. Seleziona la casella di controllo accanto all'account di monitoraggio con cui si desidera interrompere la condivisione dei dati. 1. Scegli **Rimuovi account di monitoraggio**, **Conferma**. 1. Accedi all'account di monitoraggio. 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Seleziona **Impostazioni**. 1. In **Configurazione dell'account di monitoraggio**, scegli **Gestisci account di origine**. 1. Nella casella **Policy di configurazione**, elimina l'ID dell'account di origine dalla riga **Principale** e scegli **Aggiorna**. ## Visualizzazione delle informazioni relative a un account di monitoraggio Segui la procedura riportata in questa sezione per visualizzare le impostazioni multi-account di un account di monitoraggio. Per gestire un account di monitoraggio, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni necessarie](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions). **Per gestire un account di monitoraggio** 1. Accedi all'account di monitoraggio. 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel riquadro di navigazione a sinistra scegliere **Impostazioni**. 1. In **Configurazione dell'account di monitoraggio**, scegli **Gestisci account di monitoraggio**. 1. Per visualizzare la policy di Observability Access Manager che consente di utilizzare questo account come un account di monitoraggio, scegli la scheda **Configuration policy** (Policy di configurazione). 1. Per visualizzare gli account di origine collegati a questo account di monitoraggio, scegli la scheda **Linked source accounts** (Account di origine collegati). 1. Per visualizzare l'ARN sink dell'account di monitoraggio e i tipi di dati che l'account di monitoraggio può visualizzare negli account di origine collegati, scegli la scheda **Linked source accounts** (Account di origine collegati). # Console per più account e più regioni CloudWatch **Nota** Ti consigliamo di utilizzare l'osservabilità CloudWatch tra account per ottenere la più completa esperienza di osservabilità e scoperta tra account per le tue metriche, i log e le tracce all'interno di una regione. Per ulteriori informazioni, consulta [CloudWatch osservabilità tra più account](CloudWatch-Unified-Cross-Account.md). La CloudWatch console multiaccount e interregionale ti consente di passare facilmente da un account all'altro e alla regione utilizzando i selettori nella console per visualizzare i dashboard, gli allarmi e le metriche di altri account e regioni. Questa funzionalità consente anche di creare dashboard per più account e più regioni che riepilogano le CloudWatch metriche di più AWS account e più regioni in un'unica dashboard, rendendole accessibili senza dover cambiare account o regione. Molte organizzazioni hanno le proprie AWS risorse distribuite in più account, per fornire limiti di fatturazione e sicurezza. In questo caso, si consiglia di designare uno o più account come *account di monitoraggio* e creare in tali account pannelli di controllo per tutti gli account e tutte le Regioni. La funzionalità della console per più account è integrata con AWS Organizations, per aiutarti a creare in modo efficiente dashboard interregionali tra account. L'esperienza di CloudWatch console tra account e aree geografiche non offre la visibilità dei log tra account e aree geografiche. Inoltre, non supporta la creazione di allarmi sulle metriche di altri account o Regioni dall'interno di un account di monitoraggio. **Topics** + [Attivazione della funzionalità interregionale tra account in CloudWatch](#enable-cross-account-cross-Region) + [(Facoltativo) Effettua l'integrazione con AWS Organizations](#cross-account-and-AWS-organizations) + [Risoluzione dei problemi relativi alla CloudWatch configurazione di più account](#troubleshooting-cross-account-cross-Region) + [Monitoraggio delle autorizzazioni dell'account per l'accesso da più account](#cross-account-cross-region-limitations) + [Disabilitazione e pulizia dopo l'utilizzo di più account](#cleanup-cross-account-cross-Region) ## Attivazione della funzionalità interregionale tra account in CloudWatch Per configurare la funzionalità interregionale tra account nella CloudWatch console, utilizza la CloudWatch console per configurare gli account di condivisione e gli account di monitoraggio. **Configurazione di un account di condivisione** È necessario abilitare la condivisione in ogni account che renderà i dati disponibili per l'account di monitoraggio. In questo modo verranno concesse autorizzazioni di sola lettura che hai scelto nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione. **Per consentire al tuo account di condividere CloudWatch dati con altri account** 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel pannello di navigazione scegli **Impostazioni**. 1. Per **Condividi i tuoi CloudWatch dati**, scegli **Configura**. 1. Per **Condivisione**, scegli **Account specifici** e inserisci gli IDs account con cui desideri condividere i dati. Tutti gli account che specifichi qui possono visualizzare i CloudWatch dati del tuo account. Specificate gli IDs unici account che conoscete e di cui vi fidate. 1. Per **Permissions (Autorizzazioni)**, specificare come condividere i dati con una delle seguenti opzioni: + **Fornisci accesso in sola lettura a CloudWatch metriche, dashboard e allarmi**. Questa opzione consente agli account di monitoraggio di creare dashboard per più account che includono widget contenenti i dati del tuo account. CloudWatch + **Includi dashboard CloudWatch automatici**. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare le informazioni nei pannelli di controllo automatici di questo account. Per ulteriori informazioni, consulta [Guida introduttiva ai dashboard CloudWatch automatici](GettingStarted.md). + **Include l'accesso in sola lettura a X-Ray per la mappa di tracciamento X-Ray**. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la mappa del servizio X-Ray e le informazioni di traccia di X-Ray in questo account. Per ulteriori informazioni, consulta [Uso della mappa del tracciamento X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-console-servicemap.html). + **Includi l'accesso in sola lettura per** Database Insights. Se si seleziona questa opzione, gli utenti dell'account di monitoraggio possono anche visualizzare la telemetria di Database Insights in questo account. Per ulteriori informazioni, consulta [Configurare il monitoraggio interregionale tra account](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Database-Insights-Cross-Account-Cross-Region.html) per Database Insights. CloudWatch + **Full read-only access to everything in your account (Accesso completo in sola lettura a tutti di dati dell'account)**. Questa opzione consente agli account utilizzati per la condivisione di creare dashboard tra più account che includono widget che contengono CloudWatch i dati del tuo account. Consente inoltre a tali account di esaminare più a fondo l'account e visualizzarne i dati nelle console di altri servizi AWS . 1. **Scegli Launch template. CloudFormation ** Nella schermata di conferma digitare **Confirm** e scegliere **Launch template (Avvia modello)**. 1. Selezionare la casella di controllo **I acknowledge... (Acconsento...)** e scegliere **Create stack (Crea stack)**. **Condivisione con un'intera organizzazione** Completando la procedura precedente viene creato un ruolo IAM che consente all'account di condividere i dati con un account. È possibile creare o modificare un ruolo IAM che condivide i dati con tutti gli account di un'organizzazione. Eseguire questa operazione solo se si conoscono e si considerano attendibili tutti gli account dell'organizzazione. In questo modo verranno concesse autorizzazioni di sola lettura elencate nelle policy mostrate nel passaggio 5 a tutti gli utenti che visualizzano un pannello di controllo tra più account nell'account con cui è attiva la condivisione, se l'utente ha le autorizzazioni corrispondenti nell'account con è attiva la condivisione. **Per condividere i dati CloudWatch del tuo account con tutti gli account di un'organizzazione** 1. Se non l'hai già fatto, completa la procedura precedente per condividere i dati con un solo AWS account. 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, seleziona **Ruoli**. 1. Nell'elenco dei ruoli, scegli **CloudWatch- CrossAccountSharingRole**. 1. Scegliere **Trust relationships (Relazioni di trust)**, quindi **Edit trust relationship (Modifica relazione di trust)**. Viene visualizzata una policy come questa: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. Modifica la politica con la seguente, sostituendola *org-id* con l'ID della tua organizzazione. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "org-id" } } } ] } ``` ------ 1. Scegli **Update Trust Policy (Aggiorna policy di trust)**. **Configurazione di un account di monitoraggio** Abilita ogni account di monitoraggio se desideri visualizzare i CloudWatch dati di più account. Una volta completata la procedura seguente, CloudWatch crea un ruolo collegato al servizio da CloudWatch utilizzare nell'account di monitoraggio per accedere ai dati condivisi dagli altri account. Questo ruolo collegato al servizio viene chiamato. **AWSServiceRoleForCloudWatchCrossAccount** Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per CloudWatch](using-service-linked-roles.md). **Per consentire al tuo account di visualizzare i dati di più account CloudWatch** 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel pannello di navigazione scegli **Settings** (Impostazioni), quindi nella sezione **Cross-account cross-region** (Su più account tra più regioni), scegli **Configure** (Configura). 1. Nella sezione **Visualizza più account interregionali**, scegli **Abilita**, quindi seleziona la casella di controllo **Mostra selettore nella console per consentire la** visualizzazione di un selettore di account nella CloudWatch console durante la rappresentazione grafica di una metrica o la creazione di un allarme. 1. In **View cross-account cross-region (Visualizzazione su più account tra più regioni)**, scegliere una delle seguenti opzioni: + **Account Id Input (Input ID account)**. Questa opzione richiede di immettere manualmente un ID account ogni volta che si desidera passare a un altro account quando si visualizzano i dati su più account. + **AWS Selettore dell'account dell'organizzazione.** Questa opzione fa sì che vengano visualizzati gli account specificati al termine dell'integrazione su più account con Organizations visualizzato. Quando si utilizza la console, CloudWatch visualizza un elenco a discesa di questi account da cui selezionare quando si visualizzano i dati su più account. A tale scopo, devi prima aver utilizzato l'account di gestione dell'organizzazione CloudWatch per visualizzare un elenco degli account dell'organizzazione. Per ulteriori informazioni, consulta [(Facoltativo) Effettua l'integrazione con AWS Organizations](#cross-account-and-AWS-organizations). + **Custom account selector (Selettore account personalizzato)**. Questa opzione richiede di inserire un elenco di account. IDs La prossima volta che utilizzi la console, CloudWatch visualizza un elenco a discesa di questi account tra cui scegliere quando visualizzi i dati tra più account. È anche possibile immettere un'etichetta per ciascuno di questi account per identificarli quando si scelgono gli account da visualizzare. Le impostazioni del selettore account effettuate qui da un utente vengono mantenute solo per tale utente, non per tutti gli altri utenti nell'account di monitoraggio. 1. Scegli **Abilita **. Dopo aver completato questa configurazione, è possibile creare pannelli di controllo su più account. Per ulteriori informazioni, consulta [Creazione di una dashboard personalizzata CloudWatch](create_dashboard.md). **Funzionalità tra più regioni** La funzionalità su tutte le Regioni è integrata automaticamente in questa funzionalità. Non è necessario eseguire alcuna procedura aggiuntiva per poter visualizzare i parametri di diverse regioni in un singolo account sullo stesso grafico o sullo stesso pannello di controllo. La funzionalità tra regioni non è supportata per gli allarmi, quindi non è possibile creare un allarme in una regione che osserva un parametro in un'altra regione. ## (Facoltativo) Effettua l'integrazione con AWS Organizations Se si desidera integrare la funzionalità tra account AWS Organizations, è necessario creare un elenco di tutti gli account dell'organizzazione a disposizione degli account di monitoraggio. **Per abilitare la CloudWatch funzionalità tra account per accedere a un elenco di tutti gli account dell'organizzazione** 1. Accedi all'account di gestione della tua organizzazione. 1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel riquadro di spostamento scegliere **Settings (Impostazioni)**, quindi scegliere **Configure (Configura)**. 1. Per **Concedi l'autorizzazione a visualizzare l'elenco degli account dell'organizzazione**, scegli **Account specifici** per ricevere la richiesta di inserire un elenco di account IDs. L'elenco degli account nell'organizzazione viene condiviso solo con gli account specificati qui. 1. Scegliere **Share organization account list (Condividi elenco account organizzazione)**. 1. Scegli **Launch CloudFormation template**. Nella schermata di conferma digitare **Confirm** e scegliere **Launch template (Avvia modello)**. ## Risoluzione dei problemi relativi alla CloudWatch configurazione di più account Questa sezione contiene suggerimenti per la risoluzione dei problemi relativi alla distribuzione di console su più account in CloudWatch. **Sto ricevendo errori di accesso negato di visualizzazioni di dati su più account** Verifica quanto segue: + Il tuo account di monitoraggio dovrebbe avere un ruolo denominato. **AWSServiceRoleForCloudWatchCrossAccount** In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta [Set Up a Monitoring Account](#setup_monitoring_account). + Ogni account di condivisione deve avere un ruolo denominato **CloudWatch- CrossAccountSharingRole**. In caso contrario, è necessario creare questo ruolo. Per ulteriori informazioni, consulta la pagina [Set Up A Sharing Account](#setup_sharing_account). + Il ruolo di condivisione deve considerare attendibile l'account di monitoraggio. **Per confermare che i ruoli siano configurati correttamente per la console con CloudWatch più account** 1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Nel riquadro di navigazione, seleziona **Ruoli**. 1. Nell'elenco dei ruoli, assicurarsi che esista il ruolo necessario. In un account di condivisione, cerca **CloudWatch- CrossAccountSharingRole**. In un account di monitoraggio, cerca **AWSServiceRoleForCloudWatchCrossAccount**. 1. Se hai un account di condivisione e **CloudWatch-** esiste CrossAccountSharingRole già, scegli **CloudWatch- CrossAccountSharingRole**. 1. Scegliere **Trust relationships (Relazioni di trust)**, quindi **Edit trust relationship (Modifica relazione di trust)**. 1. Verificare che nella policy sia elencato l'ID dell'account di monitoraggio o l'ID di un'organizzazione contenente l'account di monitoraggio. **Non viene visualizzato un elenco a discesa degli account nella console** Innanzitutto, verificare di aver creato i ruoli IAM corretti, come illustrato nella sezione relativa alla risoluzione dei problemi precedente. Se questi sono impostati correttamente, assicurarsi di aver abilitato l'account per visualizzare i dati su più account, come descritto in [Enable Your Account to View Cross-Account Data](#view_cross_account). ## Monitoraggio delle autorizzazioni dell'account per l'accesso da più account Per accedere correttamente a un'azione negli account di origine, l'utente dell'account di monitoraggio deve disporre dell'autorizzazione equivalente per tutte le risorse (\$1) per quell'azione nell'account di monitoraggio. Si tratta di un requisito di autorizzazione locale nell'account di monitoraggio e non è correlato alle autorizzazioni relative al ruolo di condivisione tra account negli account di origine. ### Esempio Per avviare una query Logs in un account di origine, è necessario disporre dell'accesso con wildcard (\$1) nell'account di StartQuery monitoraggio. Il ruolo interaccount dell'account di origine può comunque limitare l'accesso a gruppi di log specifici. **Supportato - risorsa wildcard:** ``` { "Effect": "Allow", "Action": "logs:StartQuery", "Resource": "*" } ``` **Non supportato - ARN specifico:** ``` { "Effect": "Allow", "Action": "logs:StartQuery", "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/my-function:*" } ``` ## Disabilitazione e pulizia dopo l'utilizzo di più account Per disabilitare la funzionalità su più account per CloudWatch, segui questi passaggi. **Passaggio 1: rimuovere gli stack o i ruoli di più account** Il metodo migliore consiste nel rimuovere gli CloudFormation stack utilizzati per abilitare la funzionalità tra più account. + In ciascuno degli account di condivisione, rimuovi lo stack **CloudWatch- CrossAccountSharingRole**. + Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, rimuovi lo CrossAccountListAccountsRole stack **CloudWatch-** nell'account di gestione dell'organizzazione. Se non hai utilizzato gli CloudFormation stack per abilitare la funzionalità tra più account, procedi come segue: + In ciascuno degli account di condivisione, elimina il ruolo **CloudWatch- CrossAccountSharingRole** IAM. + Se prima abilitavi AWS Organizations la funzionalità tra account con tutti gli account di un'organizzazione, elimina il ruolo **CloudWatch- CrossAccountSharing - ListAccountsRole** IAM nell'account di gestione dell'organizzazione. **Passaggio 2: rimuovere il ruolo collegato ai servizi** Nell'account di monitoraggio, elimina il ruolo IAM **AWSServiceRoleForCloudWatchCrossAccount**collegato al servizio.