开启遥测审计与配置功能 - Amazon CloudWatch
为组织配置遥测审计功能为账户配置遥测审计功能注销委托管理员账户关闭 AWS Organizations 的可信访问权限

开启遥测审计与配置功能

通过 CloudWatch 控制台,可对单个 AWS 账户或整个组织的遥测进行审计与配置。若为组织级操作,以 AWS 组织管理账户或 CloudWatch 委托管理员账户身份操作时,CloudWatch 会自动发现组织内的所有 AWS 资源,并为您提供组织下所有成员账户的遥测配置可视能力。

只要不主动关闭,遥测配置就会持续运行。有关更多信息,请参阅 关闭 CloudWatch 遥测配置功能

为组织配置遥测审计功能

需以 AWS 组织管理账户或委托管理员账户身份,才能为所属组织开启遥测审计与配置功能。CloudWatch 将使用此账户来发现组织的 AWS 资源并配置资源的遥测设置。

在为组织配置遥测功能之前,需要启用 AWS Organizations 和 CloudWatch 之间的可信访问权限。启用可信访问权限后,CloudWatch 将创建名为 AWSServiceRoleForObservabilityAdmin 的服务相关角色,用以支持组织的资源发现和遥测配置。组织的所有成员账户中都会创建此角色。有关服务相关角色的更多信息,请参阅 CloudWatch 遥测配置的服务相关角色权限。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

为组织开启遥测审计功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. CloudWatch 设置页面上的组织设置管理窗格中,选择启用可信访问权限。系统将出现启用可信访问权限页面。

    要查看角色策略,请选择查看权限详细信息,系统将在窗口中显示角色策略。选择启用可信访问权限,确认要向管理账户提供这些权限。

  5. 管理设置下的 CloudWatch 遥测配置模块中,进入 Organizations 选项卡并选择开启

  6. 为组织开启遥测配置功能后,系统将弹出通知提示。在通知中选择“前往遥测配置”。您可在摄取页面访问“遥测配置”功能,同时 CloudWatch 将开始发现组织内的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在遥测配置页面实时更新。

    注意

    资源显示在遥测配置页面前的时间延迟取决于组织或账户中的成员账户和资源数量。

为组织注册委托管理员账户

委托管理员账户是成员账户,可以共享服务管理权限的管理员访问权限。您要注册为委托管理员的账户必须位于组织中。组织的委托管理员账户可在 CloudWatch 之外使用,因此在执行此步骤之前,请务必了解此账户类型。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

要移除或更改委托管理员账号,请先注销该账户。有关更多信息,请参阅 注销委托管理员账户

配置委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. 组织设置管理窗格中,选择注册委托管理员

  5. 注册委托管理员对话框的委托管理员账户 ID 中,输入 12 位数的组织成员账户 ID。

  6. 选择注册委托管理员CloudWatch 设置页面顶部将弹出提示信息,显示账户注册成功。要查看有关委托管理员账户的信息,选中委托管理员下方的数字即可。

为组织配置遥测审计功能

为 AWS Organizations 配置遥测功能,监控所有成员账户中 AWS 资源的遥测数据。此配置同时也会为单个账户设置遥测功能。可以选择仅为当前账户配置遥测功能。有关更多信息,请参阅 为账户配置遥测审计功能

可以选择对所有成员账户禁用可信访问权限。有关更多信息,请参阅 关闭 AWS Organizations 的可信访问权限

为组织配置遥测审计功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择摄取

  3. 选择数据来源选项卡,然后选择启用资源发现按钮。CloudWatch 将开始发现您组织内的所有 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在概览页面实时更新。

    注意

    资源显示在概览页面前的时间延迟取决于组织中的成员账户数量。

为账户配置遥测审计功能

为 AWS 账户配置遥测功能,用以监控该账户中 AWS 资源的遥测数据。如果已在 AWS Organizations 中创建组织,则改为直接为组织配置遥测功能。有关更多信息,请参阅 为组织配置遥测审计功能

为 AWS 账户配置遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择遥测配置

  3. 进入数据来源选项卡,勾选启用资源发现。CloudWatch 将开始发现账户内的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在概览页面实时更新。

    注意

    资源显示在概览页面前的时间延迟取决于账户中的资源数量。

注销委托管理员账户

在关闭 AWS Organizations 的可信访问权限之前,请先注销委托管理员账户。如果委托管理员账户不再有权访问用于遥测配置的相应 AWS 资源,或者要选择其他成员账户作为委托管理员,亦可注销该委托管理员账户。此账户将无法为 AWS Organizations 执行账户管理任务。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注销委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 组织选项卡上,选择取消注册

  4. 取消注册委托管理员页面,选择取消注册

要将账户注册为委托管理员,请参阅 为组织注册委托管理员账户

关闭 AWS Organizations 的可信访问权限

可信访问权限可将 AWS Organizations中管理账户的功能扩展到其他 AWS 服务。当您关闭可信访问权限时,组织与所有 AWS 服务之间的可信访问权限均将停止,而非仅限于 CloudWatch。

如果您不再想为组织开启可信访问权限,则可以将其关闭。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注意

请先取消注册委托管理员账户,再关闭组织的可信访问权限。有关更多信息,请参阅 注销委托管理员账户

关闭 AWS Organizations 的可信访问权限

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. 组织管理设置部分,选择关闭