テレメトリ監査と設定を有効にする - Amazon CloudWatch
組織のテレメトリ監査機能を設定にするアカウントのテレメトリ監査機能の設定委任管理者アカウントを登録解除するAWS Organizations の信頼されたアクセスを無効にする

テレメトリ監査と設定を有効にする

CloudWatch コンソールを使用して、AWS アカウント または組織のテレメトリを監査および設定します。組織の場合、AWS Organization の管理アカウントまたは CloudWatch の委任された管理者アカウントとして、CloudWatch は組織内のすべてのメンバーアカウントで、AWS リソースを検出し、テレメトリ設定を可視化します。

テレメトリ設定は、オフにするまでアクティブのままです。詳細については、「CloudWatch テレメトリ設定の無効化」を参照してください。

組織のテレメトリ監査機能を設定にする

組織のテレメトリ監査と設定エクスペリエンスを有効にするには、AWS Organization 管理アカウントまたは委任管理者アカウントを使用する必要があります。CloudWatch はこのアカウントを使用して、組織の AWS リソースの検出およびそのテレメトリの設定を行います。

組織のテレメトリを設定にする前に、AWS Organizations と CloudWatch の間の信頼されたアクセスを有効にする必要があります。信頼されたアクセスを有効にすると、CloudWatch は [AWSServiceRoleForObservabilityAdmin] という名前のサービスにリンクされたロールを作成し、組織のリソースおよびテレメトリ設定の検出をサポートします。ロールは、組織のすべてのメンバーアカウントで作成されます。サービスにリンクされたロールの詳細については、「CloudWatch テレメトリ設定のサービスにリンクされたロール許可」を参照してください。AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

組織のテレメトリ監査を有効にする

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [CloudWatch] 設定ページの [組織設定管理] ペインで、[信頼されたアクセスを有効にする] を選択します。[信頼されたアクセスを有効にする] ページが表示されます。

    ロールポリシーを確認するには、[アクセス許可の詳細を表示する] を選択すると、ロールポリシーがウィンドウに表示されます。[信頼されたアクセスを有効にする] を選択して、これらのアクセス許可を管理アカウントに付与することを確認します。

  5. [CloudWatch テレメトリ設定] ブロックの [組織] タブで、[設定を管理] において [オンにする] を選択します。

  6. 組織のテレメトリ設定が有効になると、通知が表示されます。その通知で、[テレメトリ設定に移動] を選択します。[取り込み] ページでテレメトリ設定にアクセスできます。CloudWatch は組織内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[テレメトリ設定] ページの情報が更新されます。

    注記

    [テレメトリ設定] ページにリソースが表示されるまでの時間は、組織またはアカウントのメンバーアカウントとリソースの数によって異なります。

組織の委任管理者アカウントを登録する

委任管理者アカウントは、サービス管理アクセス許可の管理者アクセスを共有するメンバーアカウントです。委任管理者として登録するアカウントは、組織内に存在する必要があります。組織の委任管理者アカウントは CloudWatch の外部でも使用できるため、この手順に従う前に、必ずこのアカウントタイプについて十分に理解してください。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

委任管理者アカウントを削除または変更するには、まずアカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

委任管理者アカウントを登録するには

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [組織設定管理] ペインで [委任管理者を登録] を選択します。

  5. [委任管理者を登録] ダイアログで、[委任管理者アカウント ID] として組織メンバーアカウントの 12 桁のアカウント ID を入力します。

  6. [Register delegated administrator (委任管理者の登録)] を選択します。[CloudWatch 設定] ページの上部に、アカウントが正常に登録されたことを示すメッセージが表示されます。委任管理者アカウントに関する情報を表示するには、[委任管理者] の下の番号を選択します。

組織のテレメトリ監査機能を設定にする

AWS Organizations のテレメトリを設定して、すべてのメンバーアカウントで AWS リソースのテレメトリをモニタリングします。これにより、個々のアカウントのテレメトリも設定されます。アカウントのテレメトリのみを設定することもできます。詳細については、「アカウントのテレメトリ監査機能の設定」を参照してください。

すべてのメンバーアカウントで信頼されたアクセスを無効にできます。詳細については、「AWS Organizations の信頼されたアクセスを無効にする」を参照してください。

組織のテレメトリ監査を設定するには

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[取り込み] を選択します。

  3. [データソース] タブを選択し、[リソース検出を有効にする] ボタンを選択します。CloudWatch は、組織内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

    注記

    [概要] ページにリソースが表示されるまでの時間は、組織のメンバーアカウントとリソースの数によって異なります。

アカウントのテレメトリ監査機能の設定

AWS アカウントのテレメトリを設定して、そのアカウントの AWS リソースのテレメトリをモニタリングします。AWS Organizations に組織がある場合は、代わりに組織のテレメトリを設定します。詳細については、「組織のテレメトリ監査機能を設定にする」を参照してください。

AWS アカウントのテレメトリを設定する手順

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[テレメトリの設定] を選択します。

  3. [データソース] タブを選択し、[リソース検出を有効にする] を選択します。CloudWatch はアカウント内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

    注記

    [概要] ページにリソースが表示されるまでの時間は、アカウントのリソースの数によって異なります。

委任管理者アカウントを登録解除する

AWS Organizations の信頼されたアクセスを無効にする前に、委任管理者アカウントを登録解除してください。委任管理者アカウントがテレメトリ設定用の適切な AWS リソースにアクセスできなくなったり、別のメンバーアカウントを委任管理者として選択できなくなったりした場合は、そのアカウントの登録を解除することもできます。このアカウントは、AWS Organizations のアカウント管理タスクを実行できません。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

委任管理者のアカウントを登録解除する手順

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブで、[登録解除] を選択します。

  4. [委任管理者の登録解除] ページで、[登録解除] を選択します。

アカウントを委任管理者として登録するには、「組織の委任管理者アカウントを登録する」を参照してください。

AWS Organizations の信頼されたアクセスを無効にする

信頼されたアクセスは、AWS Organizations の管理アカウントの機能を他の AWS サービスに拡張します。信頼されたアクセスを無効にすると、CloudWatch だけでなく、組織とすべての AWS サービス間の信頼されたアクセスが停止します。

組織で信頼されたアクセスを有効にする必要がなくなった場合は、無効にすることができます。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

注記

組織の信頼されたアクセスを無効にする前に、委任管理者アカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

AWS Organizations の信頼されたアクセスを無効にする手順

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで [設定] を選択します。

  3. [組織] タブを選択します。

  4. [組織管理設定] セクションで、[無効にする] を選択します。