CloudWatch テレメトリ監査を有効にする - Amazon CloudWatch
組織のテレメトリ設定の監査アカウントのテレメトリ監査を有効にする委任管理者アカウントを登録解除するOrganizations の信頼されたアクセスを無効にする

CloudWatch テレメトリ監査を有効にする

CloudWatch コンソールを使用して、AWS アカウントまたは組織のテレメトリ監査を有効にします。組織の場合、CloudWatch は管理アカウントまたは委任された管理者アカウントを使用して、組織内のすべてのメンバーアカウントの AWS リソースとテレメトリ設定を検出します。テレメトリ監査エクスペリエンスを有効にしても、追加料金は発生しません。

テレメトリ監査は、無効にするまでオンのままになります。詳細については、「CloudWatch テレメトリ監査を無効にする」を参照してください。

組織のテレメトリ設定の監査

組織のテレメトリ設定を有効にするには、管理アカウントまたは委任管理者アカウントを使用する必要があります。CloudWatch はこのアカウントを使用して、組織の AWS リソースとそのテレメトリ設定を検出します。

組織のテレメトリ監査を有効にする前に、AWS Organizations と CloudWatch 間の信頼されたアクセスを有効にする必要があります。信頼されたアクセスを有効にすると、CloudWatch は [AWSServiceRoleForObservabilityAdmin] という名前のサービスにリンクされたロールを作成し、組織のリソースとテレメトリの設定検出をサポートします。ロールは、組織のすべてのメンバーアカウントで作成されます。サービスにリンクされたロールの詳細については、「CloudWatch テレメトリ設定のサービスにリンクされたロール許可」を参照してください。AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

テレメトリ設定に管理アカウントを使用するには、そのアカウントでログインし、信頼されたアクセスを有効にして、テレメトリ監査を有効にします。詳細については、「AWS Organizations のテレメトリ監査を有効にする」を参照してください。

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [組織管理設定] で、[有効にする] を選択します。[信頼されたアクセスを有効にする] ページが表示されます。

  5. ロールポリシーを確認するには、[アクセス許可の詳細を表示する] を選択すると、ロールポリシーがウィンドウに表示されます。[Enable trusted access (信頼されたアクセスを有効にする)] を選択します。テレメトリ設定の [概要] ページが表示され、CloudWatch が組織内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

    注記

    [概要] ページにリソースが表示されるまでの時間は、組織またはアカウントのメンバーアカウントとリソースの数によって異なります。

組織の委任管理者アカウントを登録する

委任管理者アカウントは、サービス管理アクセス許可の管理者アクセスを共有するメンバーアカウントです。委任管理者として登録するアカウントは、組織内に存在する必要があります。組織の委任管理者アカウントは CloudWatch の外部でも使用できるため、この手順に従う前に、必ずこのアカウントタイプについて十分に理解してください。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

委任管理者アカウントを削除または変更するには、まずアカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

委任管理者アカウントを登録するには

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [Register delegated administrator (委任管理者の登録)] を選択します。

  5. [委任管理者の登録] ページで、[委任管理者アカウント ID] に、組織メンバーの 12 桁のアカウント ID を入力します。

  6. [Register delegated administrator (委任管理者の登録)] を選択します。ページの上部に、アカウントが正常に登録されたことを示すメッセージが表示されます。[組織設定] ページが表示されます。委任された管理者アカウントに関する情報を表示するには、[委任された管理者] の下の番号にカーソルを合わせます。

AWS Organizations のテレメトリ監査を有効にする

AWS Organizations のテレメトリ監査を有効にして、すべてのメンバーアカウントで AWS リソースのテレメトリをモニタリングします。これにより、個々のアカウントのテレメトリ監査も有効になります。また、 アカウントに対してのみテレメトリ監査エクスペリエンスを有効にすることもできます。詳細については、「アカウントのテレメトリ監査を有効にする」を参照してください。

すべてのメンバーアカウントで信頼されたアクセスをオフにできます。詳細については、「Organizations の信頼されたアクセスを無効にする」を参照してください。

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[テレメトリの設定] を選択します。

  3. [有効にする] を選択し、[組織] タブを選択します。テレメトリ設定の [概要] ページが表示され、CloudWatch がアカウント内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

    注記

    [概要] ページにリソースが表示されるまでの時間は、組織またはアカウントのメンバーアカウントとリソースの数によって異なります。

アカウントのテレメトリ監査を有効にする

AWS アカウント のテレメトリ監査を有効にして、そのアカウントの AWS リソースのテレメトリをモニタリングします。AWS Organizations に組織がある場合は、代わりに組織のテレメトリ設定を有効にします。詳細については、「AWS Organizations のテレメトリ監査を有効にする」を参照してください。

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[設定][テレメトリ設定] の順に選択します。

  3. 管理アカウントまたは委任管理者アカウントを使用している場合は、[有効にする][このアカウント] の順に選択します。テレメトリ設定の [概要] ページが表示され、CloudWatch がアカウント内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

    注記

    [概要] ページにリソースが表示されるまでの時間は、組織またはアカウントのメンバーアカウントとリソースの数によって異なります。

委任管理者アカウントを登録解除する

委任管理者アカウントを登録解除してから、Organizations の信頼されたアクセスを無効にします。委任管理者アカウントがテレメトリ監査用の適切な AWS リソースにアクセスできなくなったり、別のメンバーアカウントを委任管理者として選択できなくなったりした場合は、そのアカウントの登録を解除することもできます。このアカウントは、Organizations のアカウント管理タスクを実行できません。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブで、[登録解除] を選択します。

  4. [委任管理者の登録解除] ページで、[登録解除] を選択します。

アカウントを委任管理者として登録するには、「組織の委任管理者アカウントを登録する」を参照してください。

Organizations の信頼されたアクセスを無効にする

信頼されたアクセスは、AWS Organizations の管理アカウントの機能を他の AWS サービスに拡張します。信頼されたアクセスを無効にすると、CloudWatch だけでなく、組織とすべての AWS サービス間の信頼されたアクセスが停止します。

組織で信頼されたアクセスを有効にする必要がなくなった場合は、無効にすることができます。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

注記

組織の信頼されたアクセスを無効にする前に、委任管理者アカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [組織管理設定] セクションで、[無効にする] を選択します。