テレメトリ設定の作成組織のテレメトリの設定アカウントのテレメトリの設定リソースのテレメトリの有効化委任管理者アカウントを登録解除する AWS Organizations の信頼されたアクセスを無効にする

テレメトリ監査を有効にする

CloudWatch コンソールを使用して、AWS アカウントまたは組織のテレメトリを設定します。組織の場合、CloudWatch は管理アカウントまたは委任管理者アカウントを使用して、組織内のすべてのメンバーアカウントに対する AWS リソースの検出とテレメトリの設定を行います。

テレメトリ設定は、オフにするまでアクティブのままです。詳細については、「CloudWatch テレメトリ設定の無効化」を参照してください。

テレメトリ設定の作成

AWS リソースをモニタリングするためにテレメトリ収集を設定します。

前提条件

CloudWatch テレメトリを設定するためのアクセス許可がある
モニタリング対象の AWS リソースを識別している

テレメトリ設定を作成する手順

AWS Management Consoleを開きます。
ナビゲーションペインで、[CloudWatch] を選択し、[テレメトリ設定] を選択します。
[テレメトリを設定] を選択します。
[範囲を指定] ページで、次の手順を実行します。
1. 設定のスコープ (アカウントまたは組織) を選択します。
2. (オプション) 設定にタグを追加します。
[次へ] を選択します。
[テレメトリの宛先を指定] ページで、次の手順を実行します。
1. テレメトリデータの宛先 (例: CloudWatch ログ) を選択します。
2. ロググループ名のプレフィックスを入力します。
3. (オプション) 追加の設定を行います。
  - 評価メトリクスの有効化
  - サンプル割合の設定
4. 機密情報をマスクするためのデータ識別子を選択します。
[次へ] を選択します。
設定内容を確認します。
[テレメトリ設定を作成] を選択します。

これらのステップが完了した後、CloudWatch は設定に基づいてテレメトリの収集を開始します。

組織のテレメトリの設定

組織のテレメトリを設定するには、管理アカウントまたは委任管理者アカウントを使用する必要があります。CloudWatch はこのアカウントを使用して、組織の AWS リソースの検出およびそのテレメトリの設定を行います。

組織のテレメトリを設定にする前に、AWS Organizations と CloudWatch の間の信頼されたアクセスを有効にする必要があります。信頼されたアクセスを有効にすると、CloudWatch は [AWSServiceRoleForObservabilityAdmin] という名前のサービスにリンクされたロールを作成し、組織のリソースおよびテレメトリ設定の検出をサポートします。ロールは、組織のすべてのメンバーアカウントで作成されます。サービスにリンクされたロールの詳細については、「CloudWatch テレメトリ設定のサービスにリンクされたロール許可」を参照してください。AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

テレメトリ設定に管理アカウントを使用するには、そのアカウントでログインし、信頼されたアクセスを有効にしてから、テレメトリを設定します。詳細については、「組織のテレメトリの設定」を参照してください。

組織のテレメトリを設定する手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで [設定] を選択します。
[組織] タブを選択します。
[CloudWatch] 設定ページの [組織設定管理] ペインで、[信頼されたアクセスを有効にする] を選択します。[信頼されたアクセスを有効にする] ページが表示されます。

ロールポリシーを確認するには、[アクセス許可の詳細を表示する] を選択すると、ロールポリシーがウィンドウに表示されます。[信頼されたアクセスを有効にする] を選択して、これらのアクセス許可を管理アカウントに付与することを確認します。
[CloudWatch テレメトリ設定] ペインの [設定を管理] で、[オンにする] を選択します。
組織のテレメトリ設定が有効になると、通知が表示されます。その通知で、[テレメトリ設定に移動] を選択します。[テレメトリ設定] ページが表示され、CloudWatch が組織内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[テレメトリ設定] ページの情報が更新されます。

注記
[テレメトリ設定] ページにリソースが表示されるまでの時間は、組織またはアカウントのメンバーアカウントとリソースの数によって異なります。

組織の委任管理者アカウントを登録する

委任管理者アカウントは、サービス管理アクセス許可の管理者アクセスを共有するメンバーアカウントです。委任管理者として登録するアカウントは、組織内に存在する必要があります。組織の委任管理者アカウントは CloudWatch の外部でも使用できるため、この手順に従う前に、必ずこのアカウントタイプについて十分に理解してください。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch と AWS Organizations」を参照してください。

委任管理者アカウントを削除または変更するには、まずアカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

委任管理者アカウントを登録するには

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで [設定] を選択します。
[組織] タブを選択します。
[組織設定管理] ペインで [委任管理者を登録] を選択します。
[委任管理者を登録] ダイアログで、[委任管理者アカウント ID] として組織メンバーアカウントの 12 桁のアカウント ID を入力します。
[Register delegated administrator (委任管理者の登録)] を選択します。[CloudWatch 設定] ページの上部に、アカウントが正常に登録されたことを示すメッセージが表示されます。委任管理者アカウントに関する情報を表示するには、[委任管理者] の下の番号を選択します。

組織のテレメトリの設定

AWS Organizations のテレメトリを設定して、すべてのメンバーアカウントで AWS リソースのテレメトリをモニタリングします。これにより、個々のアカウントのテレメトリも設定されます。アカウントのテレメトリのみを設定することもできます。詳細については、「アカウントのテレメトリの設定」を参照してください。

すべてのメンバーアカウントで信頼されたアクセスを無効にできます。詳細については、「AWS Organizations の信頼されたアクセスを無効にする」を参照してください。

組織のテレメトリを設定する手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで、[テレメトリの設定] を選択します。
[設定] を選択し、[組織] タブを選択します。テレメトリ設定の [概要] ページが表示され、CloudWatch が組織内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

注記
[概要] ページにリソースが表示されるまでの時間は、組織のメンバーアカウントとリソースの数によって異なります。

アカウントのテレメトリの設定

AWS アカウントのテレメトリを設定して、そのアカウントの AWS リソースのテレメトリをモニタリングします。AWS Organizations に組織がある場合は、代わりに組織のテレメトリを設定します。詳細については、「組織のテレメトリの設定」を参照してください。

AWS アカウントのテレメトリを設定する手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで、[テレメトリの設定] を選択します。
管理アカウントまたは委任管理者アカウントを使用している場合は、[設定]、[このアカウント] の順に選択します。テレメトリ設定の [概要] ページが表示され、CloudWatch がアカウント内の AWS リソースの検出を開始します。CloudWatch がリソースを検出すると、[概要] ページの情報が更新されます。

注記
[概要] ページにリソースが表示されるまでの時間は、アカウントのリソースの数によって異なります。

リソースのテレメトリの有効化

アカウントまたは組織のテレメトリを設定した後、特定の AWS リソースのテレメトリ収集を有効にできます。

前提条件

初期テレメトリ設定が完了している
モニタリング対象の特定のリソースを識別している

リソースのテレメトリを有効にする手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで、[テレメトリの設定] を選択します。
[テレメトリを有効化] を選択します。
[リソースを選択] ページで、次の手順を実行します。
1. モニタリングするリソースタイプ (Amazon EC2、Lambda、Amazon VPC など) を選択します。
2. (オプション) フィルターを使用して、表示されるリソースを絞り込みます。
[次へ] を選択します。
[データイベントの設定] ページで、次の手順を実行します。
1. リソースタイプごとに、収集するデータイベントを選択します。
2. (オプション) 既存の証跡を確認して、ログ記録が重複しないようにします。
[次へ] を選択します。
[サンプリングレートを設定] ページで、次の手順を実行します。
1. スライダーを使用するか、割合を入力して、サンプリングレートを設定します。
2. (オプション) 必要に応じて、個々のリソースタイプのレートを調整します。
設定を確認します。
[テレメトリを有効化] を選択します。

これらのステップが完了した後、CloudWatch は選択されたリソースのテレメトリの収集を開始します。

委任管理者アカウントを登録解除する

AWS Organizations の信頼されたアクセスを無効にする前に、委任管理者アカウントを登録解除してください。委任管理者アカウントがテレメトリ設定用の適切な AWS リソースにアクセスできなくなったり、別のメンバーアカウントを委任管理者として選択できなくなったりした場合は、そのアカウントの登録を解除することもできます。このアカウントは、AWS Organizations のアカウント管理タスクを実行できません。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

委任管理者のアカウントを登録解除する手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで [設定] を選択します。
[組織] タブで、[登録解除] を選択します。
[委任管理者の登録解除] ページで、[登録解除] を選択します。

アカウントを委任管理者として登録するには、「組織の委任管理者アカウントを登録する」を参照してください。

AWS Organizations の信頼されたアクセスを無効にする

信頼されたアクセスは、AWS Organizations の管理アカウントの機能を他の AWS サービスに拡張します。信頼されたアクセスを無効にすると、CloudWatch だけでなく、組織とすべての AWS サービス間の信頼されたアクセスが停止します。

組織で信頼されたアクセスを有効にする必要がなくなった場合は、無効にすることができます。詳細については、「AWS Organizations ユーザーガイド」の「Amazon CloudWatch とAWS Organizations」を参照してください。

注記

組織の信頼されたアクセスを無効にする前に、委任管理者アカウントの登録を解除します。詳細については、「委任管理者アカウントを登録解除する」を参照してください。

AWS Organizations の信頼されたアクセスを無効にする手順

CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。
ナビゲーションペインで [設定] を選択します。
[組織] タブを選択します。
[組織管理設定] セクションで、[無効にする] を選択します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

テレメトリ設定の監査

リソースの表示