アカウント間およびリージョン間でモニタリングする
アカウント間で統合モニタリングを有効にするために、CloudWatch には次の機能があります。
-
CloudWatch クロスアカウントオブザーバビリティ — Observability Access Manager (OAM) サービスにより、単一のリージョン内でのオブザーバビリティを容易にします。アカウントをリンクすると、アカウント間でメトリクス、ログ、トレース、その他のテレメトリを簡単に表示できます。これにより、ソースアカウントから共有されたテレメトリを表示する中央モニタリングアカウントでオブザーバビリティを統一し、この共有テレメトリをモニタリングアカウントにネイティブであるかのように操作できます。
-
クロスアカウントクロスリージョン CloudWatch コンソール – コンソールエクスペリエンスを提供します。これにより、アカウントを切り替えることで、リージョン間で他のアカウントのダッシュボード、メトリクス、アラームコンソールを表示できます。必要なアクセス許可を設定したら、アラーム、ダッシュボード、メトリクスコンソールに統合されたアカウントセレクタを使用して、アカウントにログインおよびログアウトすることなく、他のアカウントのメトリクス、ダッシュボード、アラームを表示します。この機能を有効にすると、クロスアカウントクロスリージョンメトリクスを含むダッシュボードを設定して、アカウント内で一元的に可視化することもできます。
-
クロスアカウントクロスリージョンログの一元化 – クロスアカウントおよびクロスリージョンの一元化ルールを使用して、複数のメンバーアカウントからログデータのコピーを 1 つのデータリポジトリに収集します。複数のアカウントおよび AWS リージョン から組織内の一元化されたアカウントにログデータを自動的にレプリケートするルールを定義します。この機能により、ログの統合が効率化され、AWS インフラストラクチャ全体の一元的なモニタリング、分析、コンプライアンスが向上します。
これら 3 つの機能は相互に補完的であり、個別に使用することも、一緒に使用することもできます。機能の比較については、以下の表を参照してください。リージョン内のメトリクス、ログ、トレースに対するクロスアカウントのオブザーバビリティと検出を最大限に活用するために、CloudWatch クロスアカウントオブザーバビリティを使用することをお勧めします。
説明 |
複数のアカウントにわたる、基盤となるテレメトリやその他のオブザーバビリティリソースへの統合アクセス。これを設定すると、オブザーバビリティリソースはアカウント間でシームレスに表示できるようになるため、ロールの前提条件は必要なくなります。中央モニタリングアカウントは、ソースアカウントからテレメトリデータとリソースに直接アクセスし、モニタリングとオブザーバビリティプロセスを合理化します。 |
指定されたモニタリングアカウントは、CloudWatch コンソールからのソースアカウントで定義された CrossAccountSharingRole を引き受けます。このロールを引き受けると、モニタリングアカウントは、ソースアカウントに代わってダッシュボードの表示などのオペレーションをコンソールから直接呼び出すことができます。 |
Amazon CloudWatch Logs のデータ一元化機能により、ログの統合が合理化され、AWS インフラストラクチャ全体の一元的なモニタリング、分析、コンプライアンスが向上します。 |
動作の仕組み |
モニタリングアカウントは、オブザーバビリティアクセスモニタリングサービスを使用してシンクを作成し、シンクポリシーをアタッチします。シンクポリシーは、表示するリソースと、共有するソースアカウントを定義します。その後、ソースアカウントはモニタリングアカウントシンクへのリンクを作成し、実際に共有したいものを確立できます。リンクが作成されると、指定されたリソースがモニタリングアカウントに表示されます。 |
ソースアカウントは、CrossAccountSharingRole をセットアップして設定を開始し、モニタリングアカウントがソースアカウントでオペレーションを実行できるようにします。次に、モニタリングアカウントは、ソースアカウント ID を指定することによって、コンソールでクロスアカウントクロスリージョンセレクタを有効にします。これにより、モニタリングアカウントはソースアカウントに切り替えることができます。切り替え時に、CloudWatch コンソールは、ソースアカウントで作成された CrossAccountSharingRole を CloudWatch が引き受けることを許可するサービスにリンクされたロールの存在をチェックします。 |
Amazon CloudWatch Logs データ一元化は、AWS Organizations と連携して、クロスアカウントおよびクロスリージョン一元化ルールを使用し、複数のメンバーアカウントから 1 つのデータリポジトリにログデータをコピーします。複数のアカウントおよび AWS リージョン から組織内の一元化されたアカウントにログデータを自動的にレプリケートするルールを定義します。 |
サポートされるテレメトリ |
|
|
|
サポートされる機能 |
|
詳細については、「クロスアカウントクロスリージョン CloudWatch コンソール」を参照してください。 |
CloudWatch Logs Insights サブスクリプションフィルター メトリクスフィルター |
使用できるアカウントの数 |
モニタリングアカウントは、最大 100,000 個のソースアカウントのリソースを同時に表示できます。ソースアカウントは、最大 5 個の異なるモニタリングアカウントとリソースを共有できます。 |
コンソールでクロスアカウントクロスリージョンセレクタを使用すると、モニタリングアカウントは一度に 1 つの別のアカウントに切り替えることができますが、リンクできるアカウントの数に制限はありません。クロスアカウントダッシュボードとアラームを定義する場合、多くのソースアカウントを参照できます。 |
AWS Organizations でサポートされているアカウント数で利用可能 |
テレメトリデータは移動しますか |
いいえ。コピーされたトレースを除き、リソースはアカウント間で共有されます。 |
いいえ。IAM ポリシーは、クロスアカウントクロスリージョンリソースの可視性のために埋め込みアカウントの切り替えを許可するように設定されています。 |
あり |
どのくらいのコストがかかりますか。 |
共有ログとメトリクスに追加料金はかかりません。最初のトレースコピーは無料です。料金の詳細については、「Amazon CloudWatch の料金 |
クロスアカウントまたはクロスリージョンアクションには追加料金はかかりません。 |
ログのコピーを 1 つ無料で一元化できます。追加コピーには、一元化されたログの 0.05 USD/GB が課金されます (バックアップリージョン機能は追加コピーと見なされます)。送信先アカウントのストレージコストの料金およびその他の付加価値エクスペリエンスの詳細については、「Amazon CloudWatch 料金表 |
リージョン間のオブザーバビリティをサポートしていますか |
なし |
あり |
はい、リージョン間でデータを一元化できます。 |
プログラムによるアクセスをサポートしていますか |
はい。AWS CLI、AWS Cloud Development Kit (AWS CDK)、および API がサポートされています。 |
なし |
あり |
プログラムによるセットアップをサポートしていますか |
はい |
あり |
あり |
AWS Organizations をサポートしていますか |
はい |
あり |
はい。この機能を使用するには AWS Organizations が必要です。 |
