Collegamento degli account di monitoraggio agli account di origine - Amazon CloudWatch
Autorizzazioni necessariePanoramica della configurazionePassaggio 1: configurazione di un account di monitoraggioPassaggio 2: download di un modello CloudFormation o un URL (facoltativo)Passaggio 3: collegamento degli account di origine

Collegamento degli account di monitoraggio agli account di origine

Gli argomenti di questa sezione illustrano come configurare i collegamenti tra account di monitoraggio e account di origine.

Ti consigliamo di creare un nuovo account AWS che funga da account di monitoraggio per la tua organizzazione.

Autorizzazioni necessarie

Autorizzazioni necessarie per creare i collegamenti

Per creare un collegamento tra un account di monitoraggio e un account di origine, devi accedere con determinate autorizzazioni.

  • Per configurare un account di monitoraggio. È necessario disporre dell'accesso completo come amministratore nell'account di monitoraggio oppure accedere a tale account con le seguenti autorizzazioni:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

  • Account di origine associato a un account di monitoraggio specifico. Per creare, aggiornare e gestire i collegamenti per un solo account di monitoraggio specificato, è necessario accedere all'account almeno con le autorizzazioni seguenti. In questo esempio, l'account di monitoraggio è 999999999999.

    Se il collegamento non intende condividere tutti e sette i tipi di risorse (metriche, log, tracce, applicazioni di Approfondimenti sulle applicazioni, servizi e obiettivi del livello di servizio (SLO) di Application Signals, monitoraggi di Monitor Internet), puoi omettere cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link, application-signals:Link o internetmonitor:Link, secondo necessità.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

  • Account di origine con autorizzazioni per collegarsi a qualsiasi account di monitoraggio: per creare un collegamento a qualsiasi sink dell'account di monitoraggio esistente e condividere metriche, gruppi di log, tracce, applicazioni di Approfondimenti sulle applicazioni e monitoraggi di Monitor Internet, è necessario accedere all'account di origine con le autorizzazioni di amministratore complete o con le seguenti autorizzazioni

    Se il collegamento non intende condividere tutti e sette i tipi di risorse (metriche, log, tracce, applicazioni di Approfondimenti sulle applicazioni, servizi e obiettivi del livello di servizio (SLO) di Application Signals, monitoraggi di Monitor Internet), puoi omettere cloudwatch:Link, logs:Link, xray:Link, applicationinsights:Link, application-signals:Link o internetmonitor:Link, secondo necessità.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

Autorizzazioni necessarie per il monitoraggio tra account

Dopo aver creato un collegamento, per visualizzare le informazioni sull'account di origine da un account di monitoraggio, devi accedere a un account con una delle seguenti modalità:

  • Accesso completo da amministratore nell'account di monitoraggio

  • Le seguenti autorizzazioni su tutti gli account, oltre alle autorizzazioni per visualizzare i tipi specifici di risorse che verranno monitorate

    {
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

Panoramica della configurazione

I passaggi generali seguenti mostrano come configurare l'osservabilità tra account di CloudWatch.

Nota

Ti consigliamo di creare un nuovo account AWS da utilizzare come account di monitoraggio dell'organizzazione.

  1. Configura un account di monitoraggio dedicato.

  2. Scarica un modello CloudFormation o copia un URL per collegare gli account di origine (facoltativo).

  3. Collega gli account di origine all'account di monitoraggio.

Dopo aver completato questi passaggi, puoi utilizzare l'account di monitoraggio per visualizzare i dati di osservabilità degli account di origine.

Passaggio 1: configurazione di un account di monitoraggio

Segui i passaggi in questa sezione per configurare un account AWS come account di monitoraggio per l'osservabilità tra account di CloudWatch.

Prerequisiti

  • Se stai configurando gli account di un'organizzazione AWS Organizations come account di origine, ottieni il percorso o l'ID dell'organizzazione.

  • Se non utilizzi Organizations per gli account di origine, ottieni gli ID degli account di origine.

Per configurare un account come account di monitoraggio, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni necessarie.

Per configurare un account di monitoraggio

  1. Accedi all'account da utilizzare come account di monitoraggio.

  2. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel riquadro di navigazione a sinistra scegli Impostazioni.

  4. In Monitoring account configuration (Configurazione dell'account di monitoraggio), scegli Configure (Configura).

  5. Per Seleziona dati, scegli se questo account di monitoraggio sarà in grado di visualizzare i dati relativi a Log, Metriche, Tracce, Approfondimenti sulle applicazioni - Applicazioni, Monitor Internet - Monitoraggi e Application Signals - Servizi, Obiettivi del livello di servizio (SLO) dagli account di origine a cui è collegato.

  6. In List source accounts (Elenca account di origine), inserisci gli account di origine che verranno visualizzati da questo account di monitoraggio. Per identificare gli account di origine, inserisci gli ID dei singoli account, i percorsi dell'organizzazione o gli ID dell'organizzazione. Se inserisci un percorso o un ID dell'organizzazione, l'account di monitoraggio può visualizzare i dati di osservabilità da tutti gli account collegati in tale organizzazione.

    Separa le voci in elenco con virgole.

    Importante

    Quando immetti un percorso organizzativo, esprimilo nel formato esatto. L'ou-id deve terminare con / (un carattere barra). Ad esempio: o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/

  7. Per Definisci un'etichetta da utilizzare per identificare l'account di origine, è possibile definire un'etichetta che viene utilizzata per creare un modello CloudFormation. Quando il modello viene utilizzato per collegare gli account di origine a questo account di monitoraggio, l'etichetta viene applicata agli account di origine.

    È possibile specificare se utilizzare i nomi degli account o gli indirizzi e-mail in questa etichetta e utilizzare anche variabili come $AccountName, $AcccountEmail e $AcccountEmailNoDomain.

    Nota

    Nelle Regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), l'unica opzione supportata consiste nell'utilizzare etichette personalizzate; inoltre, le variabili $AccountName, $AcccountEmail e $AcccountEmailNoDomain si risolvono tutte come account-id anziché come da variabile specificata.

  8. Scegli Configura.

Importante

Il collegamento tra gli account di monitoraggio e di origine non è completo finché non si configurano gli account di origine. Per ulteriori informazioni, consultare le sezioni indicate di seguito.

Passaggio 2: download di un modello CloudFormation o un URL (facoltativo)

Per collegare gli account di origine a un account di monitoraggio, ti consigliamo di utilizzare un modello AWS CloudFormation o un URL.

  • Se stai collegando un'intera organizzazione, CloudWatch fornisce un modello CloudFormation.

  • Se stai collegando singoli account, utilizza un modello CloudFormation o un URL fornito da CloudWatch.

Per utilizzare un modello CloudFormation, scaricalo durante questi passaggi. Dopo aver collegato l'account di monitoraggio ad almeno un account di origine, il modello CloudFormation non è più disponibile per il download.

Per scaricare un modello CloudFormation o copiare un URL per collegare gli account di origine all'account di monitoraggio

  1. Accedi all'account da utilizzare come account di monitoraggio.

  2. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel riquadro di navigazione a sinistra scegli Impostazioni.

  4. In Monitoring account configuration (Configurazione dell'account di monitoraggio), scegli Resources to link accounts (Risorse per collegare gli account).

  5. Esegui una di queste operazioni:

    • Scegli Organizzazione AWS per scaricare un modello da utilizzare per collegare gli account di un'organizzazione a questo account di monitoraggio.

    • Scegli Any account (Qualsiasi account) per ottenere un modello o un URL al fine di configurare i singoli account come account di origine.

  6. Esegui una di queste operazioni:

    • Se hai scelto Organizzazione AWS, seleziona Scarica modello CloudFormation.

    • Se hai scelto Any account (Qualsiasi account), seleziona Download CloudFormation template (Scarica modello CloudFormation) o Copy URL (Copia URL).

  7. (Facoltativo) Ripeti i passaggi 5-6 per scaricare sia il modello CloudFormation che l'URL.

Passaggio 3: collegamento degli account di origine

Utilizza la procedura riportata in queste sezioni per collegare gli account di origine a un account di monitoraggio.

Per collegare gli account di monitoraggio agli account di origine, devi disporre di determinate autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni necessarie.

Utilizzo di un modello CloudFormation per configurare tutti gli account di un'organizzazione o di un'unità organizzativa come account di origine

Questi passaggi presuppongono che tu abbia già scaricato il modello CloudFormation necessario seguendo le fasi descritte in Passaggio 2: download di un modello CloudFormation o un URL (facoltativo).

Per utilizzare un modello CloudFormation al fine di collegare gli account di un'organizzazione o unità organizzativa all'account di monitoraggio

  1. Accedi all'account di gestione dell'organizzazione.

  2. Apri la console di CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation.

  3. Nella barra di navigazione a sinistra, scegli StackSets.

  4. Verifica di aver effettuato l'accesso alla regione desiderata, quindi scegli Create StackSet (Crea StackSet).

  5. Scegli Next (Successivo).

  6. Scegli Template is ready (Il modello è pronto) e infine Upload a template file (Carica un file di modello).

  7. Seleziona Choose file (Scegli file), scegli il modello che hai scaricato dall'account di monitoraggio e infine scegli Open (Apri).

  8. Scegli Next (Successivo).

  9. In Specify StackSet details (Specifica dettagli di StackSet), inserisci un nome per lo StackSet, quindi seleziona Next (Successivo).

  10. In Add stacks to stack set (Aggiungi stack a un set di stack), scegli Deploy new stacks (Implementa nuovi stack).

  11. In Deployment targets (Destinazioni di implementazione), scegli se distribuirlo all'intera organizzazione o a unità organizzative specifiche.

  12. In Specify regions (Specifica regioni), scegli in quali regioni implementare l'osservabilità tra account di CloudWatch.

  13. Scegli Next (Successivo).

  14. Nella pagina Review (Revisione), conferma le opzioni e selezionate scegli Submit (Invia).

  15. Nella scheda Stack instances (Istanze stack), aggiorna la schermata finché non viene visualizzato lo stato CREATE_COMPLETE per le istanze dello stack.

Utilizzo di un modello CloudFormation per configurare singoli account di origine

Questi passaggi presuppongono che tu abbia già scaricato il modello CloudFormation necessario seguendo le fasi descritte in Passaggio 2: download di un modello CloudFormation o un URL (facoltativo).

Per utilizzare un modello CloudFormation al fine di configurare singoli account di origine per l'osservabilità tra account di CloudWatch

  1. Accedi all'account di origine.

  2. Apri la console di CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation.

  3. Nella barra di navigazione a sinistra, seleziona Stacks (Stack).

  4. Verifica di aver effettuato l'accesso alla regione desiderata, quindi scegli Create StackSet (Crea StackSet) e infine With new resources (standard) (Con nuove risorse [standard]).

  5. Scegli Next (Successivo).

  6. Scegliere Upload a template file (Carica un file di modello).

  7. Seleziona Choose file (Scegli file), scegli il modello che hai scaricato dall'account di monitoraggio e infine scegli Open (Apri).

  8. Scegli Next (Successivo).

  9. In Specify stack details (Specifica i dettagli dello stack), inserisci un nome per lo stack e seleziona Next (Successivo).

  10. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  11. Nella pagina Review (Revisione), scegli Submit (Invia).

  12. Nella pagina relativa allo stato dello stack, aggiorna la schermata finché non viene visualizzato lo stato CREATE_COMPLETE.

  13. Per collegare più account di origine a questo account di monitoraggio utilizzando lo stesso modello, esci da questo account e accedi all'account di origine successivo. Quindi ripeti i passaggi 2-12.

Utilizzo di un URL per configurare singoli account di origine

Questi passaggi presuppongono che tu abbia già copiato l'URL necessario seguendo le fasi descritte in Passaggio 2: download di un modello CloudFormation o un URL (facoltativo).

Per utilizzare un URL al fine di collegare i singoli account di origine all'account di monitoraggio

  1. Accedi all'account da utilizzare come account di origine.

  2. Inserisci l'URL copiato dall'account di monitoraggio.

    Viene visualizzata la pagina delle impostazioni di CloudWatch, con alcune informazioni inserite.

  3. Per Seleziona dati, scegli se questo account di origine condividerà i dati relativi a Log, Metriche, Tracce, Approfondimenti sulle applicazioni - Applicazioni e Monitor Internet - Monitoraggi con questo account di monitoraggio.

    Sia per i log sia per le metriche, puoi scegliere se condividere con l'account di monitoraggio tutte le risorse o un sottoinsieme delle stesse.

    1. (Facoltativo) Per condividere un sottoinsieme dei gruppi di log di questo account con l'account di monitoraggio, seleziona Log e scegli Filtra log. Quindi usa la casella Filtra log per creare una query che individui i gruppi di log che desideri condividere. La query utilizzerà il termine LogGroupName e uno o più dei seguenti operandi.

      • = e !=

      • AND

      • OR

      • ^ indica COME e !^ indica NON COME. Questi possono essere usati solo come ricerche di prefissi. Includi un % alla fine della stringa che desideri cercare e includere.

      • IN e NOT IN, usando le parentesi (( ))

      La query completa non deve superare i 2.000 caratteri ed è limitata a 5 operandi condizionali. Gli operandi condizionali sono AND e OR. Non è previsto alcun limite al numero di altri operandi.

      Suggerimento

      Scegli Visualizza query di esempio per visualizzare la sintassi corretta per i formati di query più comuni.

    2. (Facoltativo) Per condividere un sottoinsieme dei namespace delle metriche di questo account con l'account di monitoraggio, seleziona Metriche e scegli Filtra metriche. Quindi usa la casella Filtra metriche per creare una query che individui i namespace delle metriche che desideri condividere. Utilizza il termine Namespace e uno o più dei seguenti operandi.

      • = e !=

      • AND

      • OR

      • LIKE e NOT LIKE. Questi possono essere usati solo come ricerche di prefissi. Includi un % alla fine della stringa che desideri cercare e includere.

      • IN e NOT IN, usando le parentesi (( ))

      La query completa non deve superare i 2.000 caratteri ed è limitata a 5 operandi condizionali. Gli operandi condizionali sono AND e OR. Non è previsto alcun limite al numero di altri operandi.

    Suggerimento

    Scegli Visualizza query di esempio per visualizzare la sintassi corretta per i formati di query più comuni.

  4. Non modificare l'ARN in Enter monitoring account configuration ARN (Inserisci l'ARN di configurazione dell'account di monitoraggio).

  5. La sezione Definisci un'etichetta per identificare l'account di origine è precompilata con l'etichetta scelta dall'account di monitoraggio, se esistente. Se lo desideri, puoi modificarla selezionando Edit (Modifica).

    Nota

    Nelle Regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali), l'unica opzione supportata consiste nell'utilizzare etichette personalizzate; inoltre, le variabili $AccountName, $AcccountEmail e $AcccountEmailNoDomain si risolvono tutte come account-id anziché come da variabile specificata.

  6. Scegliere Link (Collegamento).

  7. Nella casella, inserisci Confirm e scegli Confirm (Conferma).

  8. Per collegare più account di origine a questo account di monitoraggio utilizzando lo stesso URL, esci da questo account e accedi all'account di origine successivo. Quindi ripeti i passaggi 2-7.