Amazon CloudWatch e AWS Organizations - AWS Organizations
Perfis vinculados ao serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesativar o acesso confiávelRegistrar administrador delegadoCancele o registro de um administrador delegado para CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon CloudWatch e AWS Organizations

Você pode usar AWS Organizations para a Amazon CloudWatch nos seguintes casos de uso:

  • Descubra e entenda o estado da configuração de telemetria de seus AWS recursos a partir de uma visualização central no CloudWatch console. Isso simplifica o processo de auditoria de suas configurações de coleta de telemetria para vários tipos de recursos em sua organização ou conta. AWS Você precisa habilitar o acesso confiável para usar a configuração de telemetria em toda a sua organização.

    Para obter mais informações, consulte Auditoria de configurações de CloudWatch telemetria no Guia do usuário da Amazon. CloudWatch

  • Trabalhe com várias contas no Network Flow Monitor, um recurso do Amazon CloudWatch Network Monitoring. O Network Flow Monitor oferece visibilidade quase em tempo real do desempenho da rede para o tráfego entre instâncias do Amazon EC2. Após habilitar o acesso confiável para integração com o Organizations, você pode criar um monitor para visualizar detalhes do desempenho da rede em várias contas.

    Para obter mais informações, consulte Initialize Network Flow Monitor para monitoramento de várias contas no Guia CloudWatch do usuário da Amazon.

Use as informações a seguir para ajudá-lo a integrar a Amazon CloudWatch com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

Crie a seguinte função vinculada ao serviço na conta gerencial da sua organização. A função vinculada ao serviço é criada automaticamente nas contas de membros quando você habilita o acesso confiável. Essa função permite CloudWatch realizar operações suportadas nas contas da sua organização em sua organização. Você pode excluir ou modificar essa função somente se desativar o acesso confiável entre CloudWatch e Organizations ou se remover a conta do membro da organização.

  • AWSServiceRoleForObservabilityAdmin

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pela CloudWatch concedem acesso aos seguintes diretores de serviço:

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

Habilitando acesso confiável com CloudWatch

Para obter informações sobre as permissões necessárias para habilitar o acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o CloudWatch console da Amazon ou o AWS Organizations console.

Importante

É altamente recomendável que, sempre que possível, você use o CloudWatch console ou as ferramentas da Amazon para permitir a integração com Organizations. Isso permite que a Amazon CloudWatch execute qualquer configuração necessária, como criar os recursos necessários para o serviço. Prossiga com essas etapas somente se você não conseguir habilitar a integração usando as ferramentas fornecidas pela Amazon CloudWatch. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o CloudWatch console ou as ferramentas da Amazon, não precisará concluir essas etapas.

Para ativar o acesso confiável usando o CloudWatch console

Consulte Como ativar a auditoria de CloudWatch telemetria no Guia do usuário da Amazon CloudWatch .

Ao ativar o acesso confiável CloudWatch, você ativa a auditoria de telemetria e pode trabalhar com várias contas no Monitor de Fluxo de Rede.

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma operação de API em um dos AWS SDKs.

Console de gerenciamento da AWS
Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha Amazon CloudWatch na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de CloudWatch diálogo Habilitar acesso confiável para a Amazon, digite habilitar para confirmar e, em seguida, escolha Habilitar acesso confiável.

  6. Se você for administrador de apenas AWS Organizations, diga ao administrador da Amazon CloudWatch que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviço.

AWS CLI, AWS API
Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Use os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:

  • AWS CLI: enable-aws-service-access

    Execute o comando a seguir para habilitar a Amazon CloudWatch como um serviço confiável com Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: Habilitar AWSService acesso

Desative o acesso confiável com CloudWatch

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desativar o acesso confiável usando a Amazon CloudWatch ou as AWS Organizations ferramentas.

Importante

É altamente recomendável que, sempre que possível, você use o CloudWatch console ou as ferramentas da Amazon para desativar a integração com Organizations. Isso permite que a Amazon CloudWatch realize qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessárias para o serviço. Prossiga com essas etapas somente se você não conseguir desativar a integração usando as ferramentas fornecidas pela Amazon CloudWatch.

Se você desabilitar o acesso confiável usando o CloudWatch console ou as ferramentas da Amazon, não precisará concluir essas etapas.

Para desativar o acesso confiável usando o CloudWatch console

Consulte Desativar a auditoria de CloudWatch telemetria no Guia do usuário da Amazon CloudWatch

Quando você desativa o acesso confiável CloudWatch, a auditoria de telemetria não está mais ativa e você não pode mais trabalhar com várias contas no Monitor de Fluxo de Rede.

Você pode desativar o acesso confiável executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

AWS CLI, AWS API
Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Use os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável ao serviço:

  • AWS CLI: disable-aws-service-access

    Execute o comando a seguir para desativar a Amazon CloudWatch como um serviço confiável com Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: Desativar AWSService acesso

Registrando uma conta de administrador delegado para CloudWatch

Quando você registra uma conta de membro como uma conta de administrador delegado para a organização, os usuários e funções dessa conta podem realizar ações administrativas CloudWatch que, de outra forma, podem ser executadas somente por usuários ou funções registrados com a conta de gerenciamento da organização. O uso de uma conta de administrador delegado ajuda você a separar o gerenciamento da organização do gerenciamento de recursos no CloudWatch.

Permissões mínimas

Somente um administrador na conta de gerenciamento da Organizations pode registrar uma conta de membro como uma conta de administrador delegado CloudWatch na organização.

Você pode registrar uma conta de administrador delegado usando o CloudWatch console ou usando a operação da RegisterDelegatedAdministrator API Organizations com o AWS Command Line Interface ou um SDK.

Para obter informações sobre como registrar uma conta de administrador delegado usando o CloudWatch console, consulte Ativando a auditoria de CloudWatch telemetria no Guia do usuário da Amazon. CloudWatch

Ao registrar uma conta de administrador delegado no CloudWatch, você pode usar a conta para operações de gerenciamento com auditoria de telemetria e com o Monitor de fluxo de rede.

Cancele o registro de um administrador delegado para CloudWatch

Permissões mínimas

Somente um administrador conectado com a conta de gerenciamento da Organizations pode cancelar o registro de uma conta de administrador delegado CloudWatch na organização.

Você pode cancelar o registro da conta de administrador delegado usando o CloudWatch console ou usando a operação da DeregisterDelegatedAdministrator API Organizations com o AWS Command Line Interface ou um SDK. Para obter mais informações, consulte Cancelamento do registro de uma conta de administrador delegado no Guia do usuário da Amazon. CloudWatch

Ao cancelar o registro de uma conta de administrador delegado CloudWatch, você não pode mais usar a conta para operações de gerenciamento com auditoria de telemetria e com o Monitor de fluxo de rede.