Amazon CloudWatch e AWS Organizations - AWS Organizations
Ruoli collegati ai serviziPrincipali del servizioAbilitazione dell'accesso attendibileDisattiva l'accesso affidabileRegistrare un amministratore delegatoAnnullare la registrazione di un amministratore delegato per CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon CloudWatch e AWS Organizations

Puoi utilizzarlo AWS Organizations per Amazon CloudWatch per i seguenti casi d'uso:

  • Scopri e comprendi lo stato della configurazione di telemetria per AWS le tue risorse da una vista centralizzata nella console. CloudWatch Ciò semplifica il processo di verifica delle configurazioni della raccolta di telemetria per diversi tipi di risorse all'interno dell'organizzazione o dell'account. AWS È necessario attivare l'accesso affidabile per utilizzare la configurazione di telemetria in tutta l'organizzazione.

    Per ulteriori informazioni, consulta la sezione Controllo delle configurazioni di CloudWatch telemetria nella Amazon User Guide. CloudWatch

  • Lavora con più account in Network Flow Monitor, una funzionalità di Amazon CloudWatch Network Monitoring. Network Flow Monitor offre una visibilità quasi in tempo reale sulle prestazioni di rete per il traffico tra istanze Amazon EC2. Dopo aver attivato l'accesso affidabile per l'integrazione con Organizations, puoi creare un monitor per visualizzare i dettagli delle prestazioni di rete su più account.

    Per ulteriori informazioni, consulta Initialize Network Flow Monitor per il monitoraggio di più account nella Amazon CloudWatch User Guide.

Utilizza le seguenti informazioni per aiutarti a integrare Amazon CloudWatch con AWS Organizations.

Ruoli collegati ai servizi creato quando è stata abilitata l'integrazione

Crea il seguente ruolo legato al servizio nell'account di gestione della tua organizzazione. Il ruolo collegato al servizio viene creato automaticamente negli account dei membri quando abiliti l'accesso affidabile. Questo ruolo consente di CloudWatch eseguire operazioni supportate all'interno degli account dell'organizzazione all'interno dell'organizzazione. È possibile eliminare o modificare questo ruolo solo se si disabilita l'accesso affidabile tra CloudWatch e Organizations o se si rimuove l'account membro dall'organizzazione.

  • AWSServiceRoleForObservabilityAdmin

Principali del servizio utilizzati dai ruoli collegati ai servizi

Il ruolo collegato ai servizi nella sezione precedente può essere assunto solo dai principali del servizio autorizzati dalle relazioni di attendibilità definite per il ruolo. I ruoli collegati ai servizi utilizzati da CloudWatch Concedono l'accesso ai seguenti responsabili del servizio:

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Abilitare l'accesso affidabile con CloudWatch

Per informazioni sulle autorizzazioni necessarie per attivare l'accesso affidabile, consultaAutorizzazioni necessarie per abilitare l'accesso sicuro.

Puoi abilitare l'accesso affidabile utilizzando la CloudWatch console Amazon o la AWS Organizations console.

Importante

Ti consigliamo vivamente di utilizzare, quando possibile, la CloudWatch console o gli strumenti Amazon per abilitare l'integrazione con Organizations. Ciò consente ad Amazon di CloudWatch eseguire qualsiasi configurazione richiesta, ad esempio la creazione delle risorse necessarie al servizio. Procedi con questi passaggi solo se non riesci ad abilitare l'integrazione utilizzando gli strumenti forniti da Amazon CloudWatch. Per ulteriori informazioni, consulta questa nota.

Se abiliti l'accesso affidabile utilizzando la CloudWatch console o gli strumenti Amazon, non è necessario completare questi passaggi.

Per attivare l'accesso affidabile tramite la CloudWatch console

Consulta Attivazione del controllo CloudWatch telemetrico nella Amazon User Guide. CloudWatch

Quando attivi l'accesso affidabile in CloudWatch, abiliti il controllo telemetrico e puoi lavorare con più account in Network Flow Monitor.

È possibile abilitare l'accesso affidabile utilizzando la AWS Organizations console, eseguendo un AWS CLI comando o chiamando un'operazione API in una delle. AWS SDKs

Console di gestione AWS
Per abilitare l'accesso al servizio attendibile tramite la console Organizations

  1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione, scegli Servizi.

  3. Scegli Amazon CloudWatch nell'elenco dei servizi.

  4. Scegliere Enable trusted access (Abilita accesso sicuro).

  5. Nella finestra di CloudWatch dialogo Abilita accesso affidabile per Amazon, digita enable per confermare, quindi scegli Abilita accesso affidabile.

  6. Se sei l'amministratore di Only AWS Organizations, comunica all'amministratore di Amazon CloudWatch che ora può abilitare il funzionamento di quel servizio AWS Organizations dalla console di servizio.

AWS CLI, AWS API
Per abilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Utilizza i seguenti AWS CLI comandi o operazioni API per abilitare l'accesso affidabile al servizio:

  • AWS CLI: enable-aws-service-access

    Esegui il comando seguente per abilitare Amazon CloudWatch come servizio affidabile con Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: Abilita AWSService l'accesso

Disattiva l'accesso affidabile con CloudWatch

Per informazioni sulle autorizzazioni necessarie per disabilitare l'accesso attendibile, consulta Autorizzazioni necessarie per disabilitare l'accesso sicuro.

Puoi disabilitare l'accesso affidabile utilizzando Amazon CloudWatch o gli AWS Organizations strumenti.

Importante

Ti consigliamo vivamente di utilizzare, quando possibile, la CloudWatch console o gli strumenti Amazon per disabilitare l'integrazione con Organizations. Ciò consente ad Amazon di CloudWatch eseguire tutte le operazioni di pulizia necessarie, come l'eliminazione di risorse o l'accesso a ruoli che non sono più necessari al servizio. Procedi con questi passaggi solo se non riesci a disabilitare l'integrazione utilizzando gli strumenti forniti da Amazon CloudWatch.

Se disabiliti l'accesso affidabile utilizzando la CloudWatch console o gli strumenti Amazon, non è necessario completare questi passaggi.

Per disattivare l'accesso affidabile tramite la CloudWatch console

Vedi Disattivazione del controllo CloudWatch telemetrico nella Amazon User Guide CloudWatch

Quando disattivi l'accesso affidabile in CloudWatch, il controllo telemetrico non è più attivo e non puoi più lavorare con più account in Network Flow Monitor.

È possibile disabilitare l'accesso affidabile eseguendo un AWS CLI comando Organizations o chiamando un'operazione dell'API Organizations in uno dei AWS SDKs.

AWS CLI, AWS API
Per disabilitare l'accesso al servizio attendibile tramite la CLI/gli SDK di Organizations

Utilizza i seguenti AWS CLI comandi o operazioni API per disabilitare l'accesso affidabile ai servizi:

  • AWS CLI: disable-aws-service-access

    Esegui il comando seguente per disabilitare Amazon CloudWatch come servizio affidabile con Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Questo comando non produce alcun output se ha esito positivo.

  • AWS API: disabilita AWSService l'accesso

Registrazione di un account amministratore delegato per CloudWatch

Quando si registra un account membro come account amministratore delegato per l'organizzazione, gli utenti e i ruoli di tale account possono eseguire azioni amministrative CloudWatch che altrimenti possono essere eseguite solo da utenti o ruoli registrati con l'account di gestione dell'organizzazione. L'utilizzo di un account amministratore delegato consente di separare la gestione dell'organizzazione dalla gestione delle funzionalità in. CloudWatch

Autorizzazioni minime

Solo un amministratore dell'account di gestione Organizations può registrare un account membro come account amministratore delegato per CloudWatch l'organizzazione.

Puoi registrare un account amministratore delegato utilizzando la CloudWatch console o utilizzando l'operazione dell'RegisterDelegatedAdministratorAPI Organizations con AWS Command Line Interface o un SDK.

Per informazioni su come registrare un account amministratore delegato utilizzando la CloudWatch console, consulta Turning on CloudWatch telemetry auditing nella Amazon User Guide. CloudWatch

Quando registri un account amministratore delegato in CloudWatch, puoi utilizzare l'account per le operazioni di gestione con il controllo della telemetria e con Network Flow Monitor.

Annullare la registrazione di un amministratore delegato per CloudWatch

Autorizzazioni minime

Solo un amministratore che ha effettuato l'accesso con l'account di gestione Organizations può annullare la registrazione di un account amministratore delegato CloudWatch nell'organizzazione.

Puoi annullare la registrazione dell'account amministratore delegato utilizzando la CloudWatch console o utilizzando l'operazione Organizations DeregisterDelegatedAdministrator API con AWS Command Line Interface o un SDK. Per ulteriori informazioni, consulta Annullamento della registrazione di un account amministratore delegato nella Amazon CloudWatch User Guide.

Quando annulli la registrazione di un account amministratore delegato in CloudWatch, non puoi più utilizzare l'account per operazioni di gestione con il controllo della telemetria e con Network Flow Monitor.