翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon CloudWatch と AWS Organizations
<a name="services-that-can-integrate-cloudwatch"></a>

Amazon CloudWatch AWS Organizations の は、次のユースケースで使用できます。
+ CloudWatch コンソールの中央ビューから AWS リソースのテレメトリ設定の状態を検出して理解します。これにより、 AWS 組織全体またはアカウント全体で複数のリソースタイプのテレメトリコレクション設定を監査するプロセスが簡素化されます。組織全体でテレメトリ設定を使用するには、信頼されたアクセスを有効にする必要があります。

  詳細については、*Amazon CloudWatch ユーザーガイド*の「[CloudWatch テレメトリ設定の監査](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html)」を参照してください。
+ Amazon CloudWatch Network Monitoring の機能である Network Flow Monitor で複数のアカウントを操作します。Network Flow Monitor は、Amazon EC2 インスタンス間のトラフィックのネットワークパフォーマンスをほぼリアルタイムで可視化します。Organizations と統合するために信頼されたアクセスを有効にしたら、モニターを作成して、複数のアカウントにわたるネットワークパフォーマンスの詳細を視覚化できます。

  詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[マルチアカウントモニタリング用に Network Flow Monitor を初期化する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html)」を参照してください。

Amazon CloudWatch と AWS Organizationsの統合には、次の情報を参考にしてください。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-cloudwatch"></a>

組織の管理アカウントに次の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)を作成します。信頼されたアクセスを有効にすると、サービスにリンクされたロールが管理アカウントに自動的に作成されます。このロールにより、CloudWatch はサポートされているオペレーションを組織内のアカウントで実行できます。このロールを削除または変更できるのは、CloudWatch と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForObservabilityAdmin`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-cloudwatch"></a>

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。CloudWatch によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `observabilityadmin.amazonaws.com`
+ `networkflowmonitor.amazonaws.com`
+ `topology.networkflowmonitor.amazonaws.com`

## CloudWatch との信頼されたアクセスの有効化
<a name="integrate-enable-ta-cloudwatch"></a>

信頼されたアクセスの有効化に必要なアクセス権限に関しては、「[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms)」を参照してください。

Amazon CloudWatch コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

**重要**  
Organizations との統合の有効化には、可能な場合は常に Amazon CloudWatch のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon CloudWatch で実行可能になります。ここに示す手順は、統合の有効化に Amazon CloudWatch が提供するツールを使用できない場合にのみ実施してください。詳細については、[この注意](orgs_integrate_services.md#important-note-about-integration)を参照してください。  
Amazon CloudWatch のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

**CloudWatch コンソールを使用して信頼されたアクセスを有効にするには**  
「*Amazon CloudWatch ユーザーガイド*」の「[Turning on CloudWatch telemetry auditing](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)」を参照してください。

CloudWatch で信頼されたアクセスを有効にすると、テレメトリ監査が有効になり、Network Flow Monitor で複数のアカウントを操作できます。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで、**[Amazon CloudWatch]** を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. **[Amazon CloudWatch の信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効化]** を選択します。

1. の管理者のみの場合は AWS Organizations、Amazon CloudWatch の管理者に、そのサービスがサービスコンソール から と AWS Organizations 連携できるようになったことを知らせます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**  
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次のコマンドを実行し、Amazon CloudWatch を Organizations で信頼されたサービスとして有効にします。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal observabilityadmin.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## CloudWatch で信頼されたアクセスを無効にする
<a name="integrate-disable-ta-cloudwatch"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

Amazon CloudWatch または AWS Organizations ツールを使用して、信頼されたアクセスを無効にすることができます。

**重要**  
Organizations との統合の無効化には、可能な場合は常に Amazon CloudWatch のコンソールまたはツールを使用することを強くお勧めします。そうすることで、Amazon CloudWatch は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に Amazon CloudWatch が提供するツールを使用できない場合にのみ実施してください。  
Amazon CloudWatch のコンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

**CloudWatch コンソールを使用して信頼されたアクセスを無効にするには**  
「*Amazon CloudWatch ユーザーガイド*」の「[Turning off CloudWatch telemetry auditing](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html)」を参照してください。

CloudWatch で信頼されたアクセスを無効にすると、テレメトリ監査がアクティブでなくなり、Network Flow Monitor で複数のアカウントを操作できなくなります。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
信頼されたサービスアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行し、Amazon CloudWatch を Organizations で信頼されたサービスとして無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal observabilityadmin.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## CloudWatch の委任管理者アカウントを登録する
<a name="integrate-enable-da-cloudwatch"></a>

メンバーアカウントを組織の委任管理者アカウントとして登録すると、そのアカウントのユーザーおよびロールは、CloudWatch の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントを使用してサインインするユーザーとロールだけが実行できるものです。委任管理者アカウントを使用すると、組織の管理と CloudWatch の機能の管理を分離できます。

**最小アクセス許可**  
組織内のメンバーアカウントを CloudWatch の委任管理者アカウントとして登録できるのは、Organizations 管理アカウントの管理者だけです。

CloudWatch コンソールを使用するか、 または AWS Command Line Interface SDK で Organizations `RegisterDelegatedAdministrator` API オペレーションを使用して、委任管理者アカウントを登録できます。

CloudWatch コンソールを使用して委任管理者アカウントを登録する方法については、「*Amazon CloudWatch ユーザーガイド*」の「[Turning on CloudWatch telemetry auditing](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)」を参照してください。

CloudWatch に委任管理者アカウントを登録すると、テレメトリ監査と Network Flow Monitor による管理オペレーションにアカウントを使用できます。

## CloudWatch の委任管理者の登録解除
<a name="integrate-disable-da-cloudwatch"></a>

**最小アクセス許可**  
組織内の CloudWatch の委任管理者アカウントを登録解除できるのは、Organizations 管理アカウントでサインインしている管理者だけです。

 委任管理者アカウントの登録を解除するには、CloudWatch コンソールを使用するか、 または AWS Command Line Interface SDK で Organizations `DeregisterDelegatedAdministrator` API オペレーションを使用します。詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[委任管理者アカウントを登録解除する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)」を参照してください。

CloudWatch に委任管理者アカウントの登録を解除すると、テレメトリ監査と Network Flow Monitor による管理オペレーションにアカウントを使用できなくなります。