# Console do CloudWatch entre contas e entre regiões
<a name="Cross-Account-Cross-Region"></a>

**nota**  
Recomendamos que você use a observabilidade entre contas do CloudWatch para que possa ter a melhor observabilidade e descoberta entre contas para as suas métricas, logs e rastreamentos. Para obter mais informações, consulte [Observabilidade entre contas do CloudWatch](CloudWatch-Unified-Cross-Account.md).

O console do CloudWatch entre contas e regiões permite que você alterne facilmente entre diferentes contas e regiões usando seletores no console para visualizar os painéis, alarmes e métricas em outras contas e regiões. Esse recurso também permite que você crie painéis entre contas e regiões que resumem suas métricas do CloudWatch de várias regiões e contas da AWS em um único painel, tornando-os acessíveis sem precisar trocar de conta ou região. 

Muitas organizações têm seus recursos da AWS implantados em várias contas, para fornecer limites de faturamento e segurança. Nesse caso, recomendamos que você designe uma ou mais de suas contas como *contas de monitoramento* e crie os painéis entre contas e regiões nessas contas. A funcionalidade do console entre contas e regiões é integrada com o AWS Organizations para ajudar você a criar de forma eficiente os painéis entre regiões e contas.

A experiência do console do CloudWatch entre contas e regiões não fornece visibilidade entre contas e regiões para logs. Além disso, ele não é compatível com a criação de alarmes sobre métricas em outras contas ou regiões de uma conta de monitoramento.

**Topics**
+ [Habilitar a funcionalidade entre contas e regiões no CloudWatch](#enable-cross-account-cross-Region)
+ [(Opcional) Integrar com o AWS Organizations](#cross-account-and-AWS-organizations)
+ [Solucionar problemas de configuração entre contas do CloudWatch](#troubleshooting-cross-account-cross-Region)
+ [Monitoramento das permissões de conta para acesso entre contas.](#cross-account-cross-region-limitations)
+ [Desabilitar e limpar depois de usar contas cruzadas](#cleanup-cross-account-cross-Region)

## Habilitar a funcionalidade entre contas e regiões no CloudWatch
<a name="enable-cross-account-cross-Region"></a>

Para configurar a funcionalidade entre contas no console do CloudWatch, use-o para configurar suas contas de compartilhamento e de monitoramento.

**Configurar uma conta de compartilhamento**

Você deve habilitar o compartilhamento em cada conta que disponibilizará os dados para a conta de monitoramento. 

Isso concederá as permissões somente para leitura escolhidas na etapa 5 a todos os usuários que visualizarem um painel entre contas na conta com a qual você compartilha, se o usuário tiver permissões correspondentes nessa conta.

**Como permitir que sua conta compartilhe dados do CloudWatch com outras contas**

1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, selecione **Configurações**.

1. Em **Share your CloudWatch data** (Compartilhar dados do CloudWatch), escolha **Configure** (Configurar).

1. Em **Sharing (Compartilhamento)**, escolha **Specific accounts (Contas específicas)** e insira os IDs das contas com as quais você deseja compartilhar dados.

   Todas as contas especificadas aqui poderão visualizar os dados do CloudWatch de sua conta. Especifique os IDs somente de contas que você conhece e nas quais confia.

1. Em **Permissions (Permissões)**, especifique como compartilhar seus dados com uma das seguintes opções:
   + **Provide read-only access to your CloudWatch metrics, dashboards, and alarms (Fornecer acesso somente leitura a métricas, painéis e alarmes do CloudWatch**. Essa opção permite que as contas de monitoramento criem painéis entre contas que incluam widgets com dados do CloudWatch a partir de sua conta.
   + **Incluir painéis automáticos do CloudWatch**. Se você selecionar essa opção, os usuários na conta de monitoramento também poderão exibir as informações nos painéis automáticos dessa conta. Para obter mais informações, consulte [Conceitos básicos dos painéis automáticos do CloudWatch](GettingStarted.md).
   + **Incluir acesso somente leitura do X-Ray para o mapa de rastreamento do X-Ray**. Se você selecionar essa opção, os usuários na conta de monitoramento também poderão visualizar o mapa de rastreamento do X-Ray e as informações de rastreamento do X-Ray nessa conta. Para obter mais informações, consulte [Using the X-Ray Trace Map](https://docs.aws.amazon.com/xray/latest/devguide/xray-console-servicemap.html).
   + **Inclua acesso somente leitura ao Database Insights**. Se você selecionar essa opção, os usuários na conta de monitoramento também poderão visualizar a telemetria do Database Insights nessa conta. Para saber mais, consulte [Configuração do monitoramento entre contas e entre regiões no CloudWatch Database Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Database-Insights-Cross-Account-Cross-Region.html).
   + **Full read-only access to everything in your account (Acesso total somente leitura a tudo o que estiver na sua conta**. Essa opção permite que as contas usadas para compartilhamento criem painéis entre contas que incluam widgets com dados do CloudWatch de sua conta. Também permite que essas contas investiguem mais profundamente a sua conta e visualizem os dados da sua conta nos consoles de outros produtos da AWS.

1. Escolha **Launch CloudFormation template (Iniciar modelo CloudFormation)**.

   Na tela de confirmação, digite **Confirm** e escolha **Launch template (Iniciar modelo)**.

1. Marque a caixa de seleção **I acknowledge... (Aceito...)** e escolha **Create stack (Criar pilha)**.

**Compartilhar com uma organização inteira**

Ao concluir o procedimento anterior, você cria uma função do IAM que permite que sua conta compartilhe dados com uma conta. Você pode criar ou editar uma função do IAM que compartilhe seus dados com todas as contas em uma organização. Faça isso somente se você conhece e confia em todas as contas da organização.

Isso concederá as permissões somente para leitura ouvidas pelas políticas exibidas na etapa 5 do procedimento anterior a todos os usuários que visualizarem um painel entre contas na conta com a qual você compartilha, se o usuário tiver permissões correspondentes nessa conta.

**Como compartilhar os dados da conta do CloudWatch com todas as contas de uma organização**

1. Caso ainda não tenha feito isso, conclua o procedimento anterior para compartilhar seus dados com uma conta da AWS.

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Na lista de funções, escolha **CloudWatch-CrossAccountSharingRole**.

1. Escolha **Trust relationships (Relacionamentos de confiança)**, **Edit trust relationship (Editar relacionamento de confiança)**.

   A política é semelhante a esta:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::{{123456789012}}:root"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Altere a política para o seguinte, substituindo {{org-id}} pelo ID da organização.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "{{org-id}}"
           }
         }
   
       }
     ]
   }
   ```

------

1. Selecione **Atualizar política de confiança**.

**Configurar uma conta de monitoramento**

Habilite cada conta de monitoramento para exibir dados entre contas do CloudWatch. 

Quando você concluir o procedimento a seguir, o CloudWatch criará uma função vinculada ao serviço que o CloudWatch usará na conta de monitoramento para acessar dados compartilhados de outras contas. Essa função vinculada ao serviço é chamada **AWSServiceRoleForCloudWatchCrossAccount**. Para obter mais informações, consulte[Usar funções vinculadas ao serviço para o CloudWatch](using-service-linked-roles.md).

**Como permitir que sua conta visualize dados entre contas do CloudWatch**

1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Settings** (Configurações) e, na seção **Cross-account cross-region** (Contas cruzadas entre regiões), escolha **Configure** (Configurar).

1. Na seção **View cross-account cross-region** (Ver contas cruzadas entre regiões), escolha **Enable** (Habilitar) e marque a caixa de seleção **Show selector in the console** (Exibir o seletor no console) para permitir que um seletor de conta seja visualizado no console do CloudWatch quando você estiver representando grafos de uma métrica ou criando um alarme.

1. Em **View cross-account cross-region (Exibir entre contas e entre regiões)**, escolha uma das seguintes opções:
   + **Account Id Input (Entrada de ID da conta**. Essa opção solicita que você insira manualmente um ID de conta sempre que deseja alternar contas ao exibir dados entre contas.
   + **AWS Seletor de contas do Organization**. Essa opção faz com que as contas especificadas ao concluir a integração entre contas com o Organizations sejam exibidas. Na próxima vez em que você usar o console, o CloudWatch exibirá uma lista suspensa dessas contas para seleção quando estiver exibindo dados entre contas.

     Para fazer isso, você deve primeiro ter usado sua conta de gerencimaneto da organização a fim de permitir que o CloudWatch visualize uma lista de contas em sua organização. Para obter mais informações, consulte [(Opcional) Integrar com o AWS Organizations](#cross-account-and-AWS-organizations).
   + **Custom account selector (Seletor de contas personalizado**. Essa opção solicita que você insira uma lista de IDs de contas. Na próxima vez em que você usar o console, o CloudWatch exibirá uma lista suspensa dessas contas para seleção quando estiver exibindo dados entre contas.

     Você também pode inserir um rótulo para cada uma dessas contas a fim de ajudar a identificá-las ao escolher contas para exibição.

     As configurações do seletor de conta que um usuário faz aqui são mantidas somente para esse usuário, não para todos os outros usuários na conta de monitoramento. 

1. Escolha **Habilitar**.

Depois de concluir essa configuração, você poderá criar painéis entre contas. Para obter mais informações, consulte [Criação de um painel personalizado no CloudWatch](create_dashboard.md).

**Funcionalidade entre regiões** 

A funcionalidade entre regiões está incorporada automaticamente a esse recurso. Você não precisa seguir nenhum passo adicional para poder exibir métricas de regiões diferentes em uma única conta no mesmo gráfico ou no mesmo painel. A funcionalidade entre regiões não é compatível com alarmes. Portanto, você não pode criar um alarme em uma região que observe uma métrica em uma região diferente.

## (Opcional) Integrar com o AWS Organizations
<a name="cross-account-and-AWS-organizations"></a>

Se você quiser integrar a funcionalidade entre contas com o AWS Organizations, deverá disponibilizar uma lista de todas as contas da organização para as contas de monitoramento.

**Como habilitar a funcionalidade do CloudWatch entre contas a fim de acessar uma lista de todas as contas de sua organização**

1. Faça login na conta de gerenciamento de sua organização.

1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Settings (Configurações)** e, depois, **Configure (Configurar)**.

1. Em **Grant permission to view the list of accounts in the organization (Conceder permissão para exibir a lista de contas da organização)**, escolha **Specific accounts (Contas específicas)** que deverão inserir uma lista de IDs de conta. A lista de contas da organização será compartilhada somente com as contas especificadas aqui.

1. Escolha **Share organization account list (Compartilhar lista de contas da organização)**.

1. Escolha **Launch CloudFormation template (Iniciar modelo CloudFormation)**.

   Na tela de confirmação, digite **Confirm** e escolha **Launch template (Iniciar modelo)**.

## Solucionar problemas de configuração entre contas do CloudWatch
<a name="troubleshooting-cross-account-cross-Region"></a>

Esta seção contém dicas de solução de problemas para implantação do console entre contas no CloudWatch.

**Estou recebendo erros de acesso negado exibindo dados entre contas**  
Verifique o seguinte:  
+ Sua conta de monitoramento deve ter uma função chamada **AWSServiceRoleForCloudWatchCrossAccount**. Caso contrário, você precisa criar essa função. Para obter mais informações, consulte [Set Up a Monitoring Account](#setup_monitoring_account).
+ Cada conta de compartilhamento deve ter uma função chamada **CloudWatch-CrossAccountSharingRole**. Caso contrário, você precisa criar essa função. Para obter mais informações, consulte [Set Up A Sharing Account](#setup_sharing_account).
+ A função de compartilhamento deve confiar na conta de monitoramento.

**Para confirmar se suas funções estão configuradas corretamente para o console entre contas do CloudWatch**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Na lista de funções, verifique se a função necessária existe. Em uma conta de compartilhamento, procure **CloudWatch-CrossAccountSharingRole**. Em uma conta de monitoramento, procure **AWSServiceRoleForCloudWatchCrossAccount**.

1. Se você estiver em uma conta de compartilhamento e a **CloudWatch-CrossAccountSharingRole** já existir, escolha **CloudWatch-CrossAccountSharingRole**.

1. Escolha **Trust relationships (Relacionamentos de confiança)**, **Edit trust relationship (Editar relacionamento de confiança)**.

1. Confirme se a política lista o ID da conta de monitoramento ou o ID de uma organização que contenha a conta de monitoramento.

**Não vejo uma lista suspensa de contas no console**  
Primeiro, verifique se você criou as funções do IAM corretas, conforme discutido na seção de solução de problemas anterior. Se elas estiverem configuradas corretamente, verifique se ativou essa conta para exibir dados entre contas, conforme descrito em [Enable Your Account to View Cross-Account Data](#view_cross_account).

## Monitoramento das permissões de conta para acesso entre contas.
<a name="cross-account-cross-region-limitations"></a>

Para acessar uma ação nas contas de origem com êxito, o usuário na conta de monitoramento deve ter a permissão equivalente para todos os recursos (\*) dessa ação na conta de monitoramento. Esse é um requisito de permissão local na conta de monitoramento e não está relacionado às permissões no perfil de compartilhamento entre contas nas contas de origem.

### Exemplo
<a name="policy-configuration-examples"></a>

Para iniciar uma consulta de logs em uma conta de origem, é necessário ter acesso de curinga (\*) ao StartQuery na conta de monitoramento. O perfil entre contas da conta de origem ainda pode restringir o acesso a grupos de logs específicos.

**Com suporte: recurso de curinga:**

```
{
  "Effect": "Allow",
  "Action": "logs:StartQuery",
  "Resource": "*"
}
```

**Sem suporte: ARN específico:**

```
{
  "Effect": "Allow",
  "Action": "logs:StartQuery",
  "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/my-function:*"
}
```

## Desabilitar e limpar depois de usar contas cruzadas
<a name="cleanup-cross-account-cross-Region"></a>

Para desabilitar a funcionalidade de entre contas do CloudWatch, siga estas etapas.

**Etapa 1: remover as pilhas ou os perfis entre contas**

O melhor método é remover as pilhas CloudFormation que foram usadas para habilitar a funcionalidade entre contas.
+ Em cada uma das contas de compartilhamento, remova a pilha **CloudWatch-CrossAccountSharingRole**.
+ Se você usou o AWS Organizations para habilitar a funcionalidade entre contas em todas as contas de uma organização, remova a pilha **CloudWatch-CrossAccountListAccountsRole ** da conta de gerenciamento da organização.

Se você não usou as pilhas do CloudFormation para habilitar a funcionalidade entre contas, faça o seguinte:
+ Em cada uma das contas de compartilhamento, exclua a função do IAM **CloudWatch-CrossAccountSharingRole**.
+ Se você usou o AWS Organizations para habilitar a funcionalidade entre contas em todas as contas de uma organização, remova a função do IAM **CloudWatch-CrossAccountSharing-ListAccountsRole** da conta de gerenciamento da organização.

**Etapa 2: remover o perfil vinculado ao serviço**

Na conta de monitoramento, exclua a função do IAM vinculada ao serviço **AWSServiceRoleForCloudWatchCrossAccount**.