Amazon CloudWatch および AWS Organizations - AWS Organizations
サービスリンクロールサービスプリンシパル信頼されたアクセスを有効にする信頼されたアクセスを無効にする委任管理者を登録するCloudWatch の委任管理者の登録解除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch および AWS Organizations

Amazon CloudWatch の AWS Organizations は、次のユースケースで使用できます。

  • CloudWatch コンソールの中央ビューから AWS リソースのテレメトリ設定の状態を検出して理解します。これにより、AWS 組織またはアカウント全体の複数のリソースタイプでテレメトリ収集設定を監査するプロセスが簡素化されます。組織全体でテレメトリ設定を使用するには、信頼されたアクセスを有効にする必要があります。

    詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch テレメトリ設定の監査」を参照してください。

  • Amazon CloudWatch Network Monitoring の機能である Network Flow Monitor で複数のアカウントを操作します。Network Flow Monitor は、Amazon EC2 インスタンス間のトラフィックのネットワークパフォーマンスをほぼリアルタイムで可視化します。Organizations と統合するために信頼されたアクセスを有効にしたら、モニターを作成して、複数のアカウントにわたるネットワークパフォーマンスの詳細を視覚化できます。

    詳細については、「Amazon CloudWatch ユーザーガイド」の「マルチアカウントモニタリング用に Network Flow Monitor を初期化する」を参照してください。

Amazon CloudWatch と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

組織の管理アカウントに次のサービスにリンクされたロールを作成します。信頼されたアクセスを有効にすると、サービスにリンクされたロールが管理アカウントに自動的に作成されます。このロールにより、CloudWatch はサポートされているオペレーションを組織内のアカウントで実行できます。このロールを削除または変更できるのは、CloudWatch と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForObservabilityAdmin

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。CloudWatch によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

CloudWatch との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス権限に関しては、「信頼されたアクセスを有効にするために必要なアクセス許可」を参照してください。

Amazon CloudWatch コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に Amazon CloudWatch のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon CloudWatch で実行可能になります。ここに示す手順は、統合の有効化に Amazon CloudWatch が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

Amazon CloudWatch のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

CloudWatch コンソールを使用して信頼されたアクセスを有効にするには

Amazon CloudWatch ユーザーガイド」の「Turning on CloudWatch telemetry auditing」を参照してください。

CloudWatch で信頼されたアクセスを有効にすると、テレメトリ監査が有効になり、Network Flow Monitor で複数のアカウントを操作できます。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS マネジメントコンソール
Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン (推奨されません) する必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで、[Amazon CloudWatch] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. [Amazon CloudWatch の信頼されたアクセスを有効にする] ダイアログボックスで、[有効にする] と入力して確定し、[信頼されたアクセスを有効化] を選択します。

  6. AWS Organizations だけの管理者である場合は、Amazon CloudWatch の管理者に、サービスコンソールから AWS Organizations と連携するサービスが有効になったことをお知らせください。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスのアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon CloudWatch を Organizations で信頼されたサービスとして有効にします。

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

CloudWatch で信頼されたアクセスを無効にする

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Amazon CloudWatch または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

重要

Organizations との統合の無効化には、可能な場合は常に Amazon CloudWatch のコンソールまたはツールを使用することを強くお勧めします。そうすることで、Amazon CloudWatch は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に Amazon CloudWatch が提供するツールを使用できない場合にのみ実施してください。

Amazon CloudWatch のコンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

CloudWatch コンソールを使用して信頼されたアクセスを無効にするには

Amazon CloudWatch ユーザーガイド」の「Turning off CloudWatch telemetry auditing」を参照してください。

CloudWatch で信頼されたアクセスを無効にすると、テレメトリ監査がアクティブでなくなり、Network Flow Monitor で複数のアカウントを操作できなくなります。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、サービスへの信頼されたアクセスを無効にします。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、Amazon CloudWatch を Organizations で信頼されたサービスとして無効にします。

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

CloudWatch の委任管理者アカウントを登録する

メンバーアカウントを組織の委任管理者アカウントとして登録すると、そのアカウントのユーザーおよびロールは、CloudWatch の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントを使用してサインインするユーザーとロールだけが実行できるものです。委任管理者アカウントを使用すると、組織の管理と CloudWatch の機能の管理を分離できます。

最小アクセス許可

組織内のメンバーアカウントを CloudWatch の委任管理者アカウントとして登録できるのは、Organizations 管理アカウントの管理者だけです。

CloudWatch コンソール、あるいは AWS Command Line Interface または SDK を使用した Organizations RegisterDelegatedAdministrator API オペレーションを使用して、委任管理者アカウントを登録できます。

CloudWatch コンソールを使用して委任管理者アカウントを登録する方法については、「Amazon CloudWatch ユーザーガイド」の「Turning on CloudWatch telemetry auditing」を参照してください。

CloudWatch に委任管理者アカウントを登録すると、テレメトリ監査と Network Flow Monitor による管理オペレーションにアカウントを使用できます。

CloudWatch の委任管理者の登録解除

最小アクセス許可

組織内の CloudWatch の委任管理者アカウントを登録解除できるのは、Organizations 管理アカウントでサインインしている管理者だけです。

CloudWatch コンソール、あるいは AWS Command Line Interface または SDK を使用した Organizations DeregisterDelegatedAdministrator API オペレーションのいずれかを使用して、委任管理者アカウントを登録解除できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「委任管理者アカウントを登録解除する」を参照してください。

CloudWatch に委任管理者アカウントの登録を解除すると、テレメトリ監査と Network Flow Monitor による管理オペレーションにアカウントを使用できなくなります。