Amazon CloudWatch e AWS Organizations - AWS Organizations
Perfis vinculados a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesativar o acesso confiávelRegistrar administrador delegadoCancelar o registro de um administrador delegado para o CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon CloudWatch e AWS Organizations

Você pode usar o AWS Organizations para o Amazon CloudWatch para os seguintes casos de uso:

  • Descubra e entenda o estado da configuração de telemetria dos recursos da AWS de uma visualização central no console do CloudWatch. Isso simplifica o processo de auditoria das configurações de coleta de telemetria para vários tipos de recursos em sua organização ou conta da AWS. Você precisa habilitar o acesso confiável para usar a configuração de telemetria em toda a sua organização.

    Consulte mais informações em Auditar as configurações de telemetria do CloudWatch no Guia do usuário do Amazon CloudWatch.

  • Trabalhe com várias contas no Network Flow Monitor, um recurso do Amazon CloudWatch Network Monitoring. O Network Flow Monitor oferece visibilidade quase em tempo real do desempenho da rede para o tráfego entre instâncias do Amazon EC2. Após habilitar o acesso confiável para integração com o Organizations, você pode criar um monitor para visualizar detalhes do desempenho da rede em várias contas.

    Para obter mais informações, consulte Inicializar o Network Flow Monitor para monitoramento de várias contas no Guia do Usuário do Amazon CloudWatch.

Use as informações a seguir para ajudá-lo a integrar o Amazon CloudWatch ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

Crie a seguinte função vinculada ao serviço na conta gerencial da sua organização. A função vinculada ao serviço é criada automaticamente nas contas de membros quando você habilita o acesso confiável. Essa função permite que o CloudWatch realize as operações compatíveis com as contas de sua organização. Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o CloudWatch e o Organizations, ou se remover a conta de membro da organização.

  • AWSServiceRoleForObservabilityAdmin

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo CloudWatch concedem acesso às seguintes entidades de serviço primárias:

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Habilitar o acesso confiável no CloudWatch

Para obter informações sobre as permissões necessárias para habilitar o acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do Amazon CloudWatch ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do Amazon CloudWatch para habilitar a integração com o Organizations. Isso permite que o Amazon CloudWatch realize qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo Amazon CloudWatch. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do Amazon CloudWatch, não é necessário concluir estas etapas.

Ativar o acesso confiável usando o console do CloudWatch

Consulte Ativar a auditoria de telemetria do CloudWatch no Guia do Usuário do Amazon CloudWatch.

Ao ativar o acesso confiável no CloudWatch, você habilita a auditoria de telemetria e pode trabalhar com várias contas no Network Flow Monitor.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

Console de gerenciamento da AWS
Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha Amazon CloudWatch na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de diálogo Habilitar o acesso confiável para o Amazon CloudWatch, digite habilitar para confirmar e, em seguida, escolha Habilitar o acesso confiável.

  6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon CloudWatch que agora ele pode habilitar esse serviço para trabalhar com o AWS Organizations a partir do console do serviço.

AWS CLI, AWS API
Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Use os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Execute o comando a seguir para habilitar o Amazon CloudWatch como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desativar o acesso confiável no CloudWatch

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando as ferramentas do Amazon CloudWatch ou do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do Amazon CloudWatch para desabilitar a integração com o Organizations. Isso permite que o Amazon CloudWatch realize qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo Amazon CloudWatch.

Se você desabilitar o acesso confiável usando o console ou as ferramentas do Amazon CloudWatch, não é necessário concluir estas etapas.

Desativar o acesso confiável usando o console do CloudWatch

Consulte Desativar a auditoria de telemetria do CloudWatch no Guia do Usuário do Amazon CloudWatch.

Ao desativar o acesso confiável no CloudWatch, a auditoria de telemetria deixa de estar ativa e você não pode mais trabalhar com várias contas no Network Flow Monitor.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API
Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Use os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Execute o comando a seguir para desabilitar o Amazon CloudWatch como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Registrar uma conta de administrador delegado para o CloudWatch

Ao registrar uma conta de membro como uma conta de administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas no CloudWatch que, de outra forma, só podem ser executadas por usuários ou funções conectados com a conta gerencial da organização. O uso de uma conta de administrador delegado ajuda a separar a gestão da organização da gestão de funcionalidades no CloudWatch.

Permissões mínimas

Somente um administrador da conta gerencial do Organizations pode registrar uma conta de membro como uma conta de administrador delegado do CloudWatch na organização.

É possível registrar uma conta de administrador delegado usando o console do CloudWatch ou usando a operação da API RegisterDelegatedAdministrator do Organizations com a AWS Command Line Interface ou um SDK.

Para obter informações sobre como registrar uma conta de administrador delegado usando o console do CloudWatch, consulte Ativar a auditoria de telemetria do CloudWatch no Guia do Usuário do Amazon CloudWatch.

Ao registrar uma conta de administrador delegado no CloudWatch, você pode usar a conta para operações de gerenciamento com auditoria de telemetria e com o Network Flow Monitor.

Cancelar o registro de um administrador delegado para o CloudWatch

Permissões mínimas

Somente um administrador conectado com a conta gerencial da organização pode cancelar o registro de uma conta de administrador delegado do CloudWatch na organização.

É possível cancelar o registro da conta de administrador delegado usando o console do CloudWatch ou a operação da API DeregisterDelegatedAdministrator do Organizations com a AWS Command Line Interface ou um SDK. Para obter mais informações, consulte Cancelamento do registro de uma conta de administrador delegado no Guia do Usuário do Amazon CloudWatch.

Ao cancelar o registro de uma conta de administrador delegado no CloudWatch, você não poderá mais usar a conta para operações de gerenciamento com auditoria de telemetria e com o Network Flow Monitor.