Como ativar a auditoria de telemetria - Amazon CloudWatch
Criar uma configuração de telemetriaConfiguração de telemetria para sua organizaçãoConfiguração da telemetria da sua contaHabilitar a telemetria de recursosCancelar o registro de uma conta de administrador delegadoDesativação do acesso confiável do AWS Organizations

Como ativar a auditoria de telemetria

Use o console do CloudWatch para configurar a telemetria para sua organização ou Conta da AWS. Para uma organização, o CloudWatch usa uma conta gerencial ou uma conta de administrador delegado para descobrir recursos da AWS e configurar a telemetria para todas as contas de membros da organização.

A configuração de telemetria permanece ativa até que você a desative. Para obter mais informações, consulte Desativação da configuração de telemetria do CloudWatch.

Criar uma configuração de telemetria

Configure a coleta de telemetria para monitorar seus recursos da AWS.

Pré-requisitos

  • Você tem permissões para configurar a telemetria do CloudWatch

  • Você identificou os recursos da AWS que deseja monitorar

Para criar uma configuração de telemetria

  1. Abra a AWS Management Console.

  2. No painel de navegação, escolha CloudWatch e depois Configuração de telemetria.

  3. Escolha Configurar telemetria.

  4. Na página Especificar escopo:

    1. Escolha o escopo de sua configuração (conta ou organização).

    2. (Opcional) Adicione tags à sua configuração.

  5. Escolha Próximo.

  6. Na página Especificar destino da telemetria:

    1. Escolha um destino para seus dados de telemetria (por exemplo, CloudWatch Logs).

    2. Insira um prefixo para os nomes do seu grupo de logs.

    3. (Opcional) Configurar definições adicionais:

      • Habilitar métricas de avaliação

      • Definir a porcentagem da amostra

    4. Escolha identificadores de dados para mascarar informações confidenciais.

  7. Escolha Próximo.

  8. Revise suas definições de configuração.

  9. Escolha Criar configuração de telemetria.

Depois de concluir essas etapas, o CloudWatch começará a coletar a telemetria com base na configuração.

Configuração de telemetria para sua organização

Para configurar a telemetria para a sua organização, você deve usar uma conta gerencial ou uma conta de administrador delegado. O CloudWatch usa essa conta para descobrir os recursos da AWS da sua organização e as configurações de telemetria deles.

Antes de configurar a telemetria para a sua organização, você precisa habilitar o acesso confiável entre o AWS Organizations e o CloudWatch. Quando você habilita o acesso confiável, o CloudWatch cria um perfil vinculado ao serviço denominado AWSServiceRoleForObservabilityAdmin para dar suporte à descoberta de configurações de recursos e telemetria da organização. O perfil é criado em todas as contas de membros da organização. Para obter mais informações sobre a função vinculada ao serviço, consulte Permissões de perfil vinculado ao serviço da configuração de telemetria do CloudWatch. Para obter mais informações sobre o AWS Organizations, consulte Amazon CloudWatch e AWS Organizations no Guia do usuário do AWS Organizations.

Para usar uma conta gerencial com a configuração de telemetria, faça login na conta, habilite o acesso confiável e, em seguida, configure a telemetria. Para obter mais informações, consulte Configuração de telemetria para sua organização.

Para configurar a telemetria para sua organização

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configurações.

  3. Escolha a guia Organizations.

  4. Na página de configurações do CloudWatch, no painel de gerenciamento de configurações organizacionais, escolha Habilitar acesso confiável. A página Habilitar acesso confiável é exibida.

    Para analisar a política de perfil, escolha Visualizar detalhes da permissão que ela aparecerá em uma janela. Confirme que você deseja fornecer essas permissões à conta gerencial escolhendo Habilitar acesso confiável.

  5. Em Gerenciar configurações, no painel Configuração de telemetria do CloudWatch, escolha Ativar.

  6. Depois que a configuração de telemetria for ativada para a organização, uma notificação será exibida. Na notificação, escolha Ir para a configuração de telemetria. A página Configuração de telemetria é exibida e o CloudWatch começa a descobrir recursos da AWS na organização. À medida que o CloudWatch descobre recursos, ele atualiza as informações na página Configuração de telemetria.

    nota

    O tempo de atraso até que os recursos sejam exibidos na página Configuração de telemetria depende do número de contas de membros e de recursos na organização ou na conta.

Como registrar uma conta do administrador delegado para sua organização

Uma conta de administrador delegado é uma conta de membro que compartilha o acesso de administrador de permissões gerenciadas pelo serviço. A conta que você registrar como administrador delegado precisa estar na sua organização. Uma conta de administrador delegado da sua organização pode ser usada de forma externa ao CloudWatch, portanto, certifique-se de compreender esse tipo de conta antes de prosseguir com o presente procedimento. Para obter mais informações, consulte Amazon CloudWatch e AWS Organizations no Guia do usuário do AWS Organizations.

Para remover ou alterar a conta de administrador delegado, primeiro cancele o registro da conta. Para obter mais informações, consulte Cancelar o registro de uma conta de administrador delegado.

Para registrar uma conta de administrador delegado

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Configurações.

  3. Escolha a guia Organização.

  4. No painel Gerenciamento de configurações organizacionais, escolha Registrar administrador delegado.

  5. Na caixa de diálogo Registrar administrador delegado, em ID da conta de administrador delegado, insira o ID de 12 dígitos da conta de membro da organização.

  6. Selecione Registrar administrador delegado. Na parte superior da página Configurações do CloudWatch, uma mensagem é exibida indicando que a conta foi registrada com êxito. Para ver informações sobre a conta de administrador delegado, selecione o número abaixo de Administradores delegados.

Configuração de telemetria para sua organização

Configure a telemetria do AWS Organizations para monitorar a telemetria dos recursos da AWS em todas as contas de membros. Essa ação também configura a telemetria para contas individuais. Também é possível configurar a telemetria somente para a sua conta. Para obter mais informações, consulte Configuração da telemetria da sua conta.

Você pode desabilitar o acesso confiável em todas as suas contas de membro. Para obter mais informações, consulte Desativação do acesso confiável do AWS Organizations.

Para configurar a telemetria para sua organização

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configuração de telemetria.

  3. Escolha Configurar e depois a guia Organização. A página Visão geral da configuração de telemetria é exibida e o CloudWatch inicia a descoberta dos recursos da AWS na organização. À medida que o CloudWatch descobre recursos, ele atualiza as informações na página Visão geral.

    nota

    O atraso até que os recursos sejam exibidos na página Visão geral depende do número de contas de membros e de recursos na sua organização.

Configuração da telemetria da sua conta

Configure a telemetria para a sua Conta da AWS a fim de monitorar a telemetria dos recursos da AWS na conta. Caso você tenha uma organização no AWS Organizations, configure a telemetria para ela. Para obter mais informações, consulte Configuração de telemetria para sua organização.

Para configurar a telemetria da sua Conta da AWS

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configuração de telemetria.

  3. Escolha Configurar e depois Esta conta caso esteja usando uma conta gerencial ou uma conta de administrador delegado. A página Visão geral da configuração de telemetria é exibida e o CloudWatch inicia a descoberta dos recursos da AWS em sua conta. À medida que o CloudWatch descobre recursos, ele atualiza as informações na página Visão geral.

    nota

    O atraso até que os recursos sejam exibidos na página Visão geral depende do número de recursos na sua conta.

Habilitar a telemetria de recursos

Depois de configurar a telemetria para sua conta ou organização, você pode habilitar a coleta de telemetria para recursos específicos da AWS.

Pré-requisitos

  • Você concluiu a configuração de telemetria inicial

  • Você identificou os recursos específicos que deseja monitorar

Para habilitar a telemetria de recursos

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, escolha Configuração de telemetria.

  3. Escolha Habilitar telemetria.

  4. Na página Selecionar recursos:

    1. Escolha os tipos de recursos que você deseja monitorar (por exemplo, Amazon EC2, Lambda, Amazon VPC).

    2. (Opcional) Use filtros para restringir os recursos exibidos.

  5. Escolha Próximo.

  6. Na página Configurar eventos de dados:

    1. Para cada tipo de recurso, selecione os eventos de dados que você deseja coletar.

    2. (Opcional) Revise as trilhas existentes para evitar registros em log duplicados.

  7. Escolha Próximo.

  8. Na página Definir taxas de amostragem:

    1. Use o controle deslizante ou insira uma porcentagem para definir a taxa de amostragem.

    2. (Opcional) Ajuste as taxas para tipos de recursos individuais, se necessário.

  9. Examine suas configurações.

  10. Escolha Habilitar telemetria.

Depois de concluir essas etapas, o CloudWatch começa a coletar telemetria para os recursos selecionados.

Cancelar o registro de uma conta de administrador delegado

Cancele o registro da conta de administrador delegado antes de desativar o acesso confiável do AWS Organizations. Também é possível cancelar o registro de uma conta de administrador delegado caso a conta não tenha mais acesso aos recursos apropriados da AWS para a configuração da telemetria ou para escolher outra conta de membro como administrador delegado. Essa conta não poderá executar tarefas de gerenciamento de contas do AWS Organizations. Para obter mais informações, consulte Amazon CloudWatch and AWS Organizations no Guia do usuário do AWS Organizations.

Para cancelar o registro de uma conta de administrador delegado

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Configurações.

  3. Na guia Organização, escolha Cancelar registro.

  4. Na página Cancelar registro do administrador delegado, escolha Cancelar registro.

Para registrar uma conta como administrador delegado, consulte Como registrar uma conta do administrador delegado para sua organização.

Desativação do acesso confiável do AWS Organizations

O acesso confiável estende a funcionalidade da conta gerencial do AWS Organizations para outros serviços da AWS. Quando você desativa o acesso confiável, o acesso confiável entre a organização e todos os serviços da AWS é interrompido, não apenas o CloudWatch.

Se você não quiser mais o acesso confiável ativado para a organização, desative-o. Para obter mais informações, consulte Amazon CloudWatch and AWS Organizations no Guia do usuário do AWS Organizations.

nota

Antes de desativar o acesso confiável para uma organização, cancele o registro da conta do administrador delegado. Para obter mais informações, consulte Cancelar o registro de uma conta de administrador delegado.

Para desativar o acesso confiável do AWS Organizations

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação, selecione Configurações.

  3. Escolha a guia Organização.

  4. Na seção Configurações de gerenciamento organizacional, selecione Desativar.