View a markdown version of this page

设置遥测配置 - Amazon CloudWatch
先决条件和权限为账户启用遥测配置为组织注册委托管理员账户

设置遥测配置

通过 CloudWatch 控制台为 AWS 账户 或组织设置遥测配置。若为组织级操作,以管理账户或 CloudWatch 委托管理员账户身份操作时,CloudWatch 会自动发现组织内的所有 AWS 资源,并为您提供组织下所有成员账户的遥测配置可视能力。

只要不主动关闭,遥测配置就会持续运行。有关更多信息,请参阅 禁用遥测配置

主题

先决条件和权限

在为组织配置遥测功能之前,需要启用 AWS Organizations 和 CloudWatch 之间的可信访问权限。启用可信访问权限后,CloudWatch 将创建名为 AWSServiceRoleForObservabilityAdmin 的服务相关角色,用以支持组织的资源发现和遥测配置。组织的所有成员账户中都会创建此角色。

有关服务相关角色的更多信息,请参阅 CloudWatch 遥测配置的服务相关角色权限。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

为账户启用遥测配置

为 AWS 账户配置遥测功能,用以监控该账户中 AWS 资源的遥测数据。如果已在 AWS Organizations 中创建组织,则改为直接为组织配置遥测功能。有关更多信息,请参阅 为组织配置遥测功能

为 AWS 账户配置遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择摄取

  3. 进入数据来源选项卡,勾选启用资源发现。CloudWatch 将开始发现账户内的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在概览页面实时更新。

    注意

    资源显示在概览页面前的时间延迟取决于账户中的资源数量。

跨区域启用

您可以将遥测配置扩展到单个区域的多个 AWS 区域。启用多区域支持后,当前区域将成为您的主区域。遥测配置将复制到您选择的区域。

为您的账户启用跨区域遥测配置(初始设置)

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置,然后选择账户选项卡。

  3. 全局选项卡上的 CloudWatch 遥测配置部分中,状态显示为关闭。启用多区域后,目标区域选择器将以内联方式显示在状态下方。

  4. 使用所有区域切换开关以包含所有区域,或者使用多选下拉控件选择单个区域。当前区域始终自动包含在内,并且不会显示在选择器中。

  5. 选择打开

  6. 开启遥测配置后,将出现一个区域状态表,显示每个区域的评估状态。

重新配置区域(遥测已在运行)

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置,然后选择账户选项卡。

  3. CloudWatch 遥测配置部分中,选择配置区域目标区域选择器以内联方式显示,预先填充了当前配置的区域。

  4. 根据需要修改区域选择,然后选择保存

如果您选择所有区域,则在您选择加入新区域时会自动包含这些区域。系统会定期协调各区域的配置,以纠正任何偏差。

为组织注册委托管理员账户

委托管理员账户是成员账户,可以共享服务管理权限的管理员访问权限。您要注册为委托管理员的账户必须位于组织中。组织的委托管理员账户可在 CloudWatch 之外使用,因此在执行此步骤之前,请务必了解此账户类型。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

要移除或更改委托管理员账号,请先注销该账户。有关更多信息,请参阅 注销委托管理员账户

配置委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. 组织设置管理窗格中,选择注册委托管理员

  5. 注册委托管理员对话框的委托管理员账户 ID 中,输入 12 位数的组织成员账户 ID。

  6. 选择注册委托管理员CloudWatch 设置页面顶部将弹出提示信息,显示账户注册成功。要查看有关委托管理员账户的信息,选中委托管理员下方的数字即可。

注销委托管理员账户

在关闭 AWS Organizations 的可信访问权限之前,请先注销委托管理员账户。如果委托管理员账户不再有权访问用于遥测配置的相应 AWS 资源,或者要选择其他成员账户作为委托管理员,亦可注销该委托管理员账户。此账户将无法为 AWS Organizations 执行账户管理任务。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注销委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 组织选项卡上,选择取消注册

  4. 取消注册委托管理员页面,选择取消注册

要将账户注册为委托管理员,请参阅 为组织注册委托管理员账户

关闭 AWS Organizations 的可信访问权限

可信访问权限可将 AWS Organizations中管理账户的功能扩展到其他 AWS 服务。当您关闭可信访问权限时,组织与所有 AWS 服务之间的可信访问权限均将停止,而非仅限于 CloudWatch。

如果您不再想为组织开启可信访问权限,则可以将其关闭。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注意

请先取消注册委托管理员账户,再关闭组织的可信访问权限。有关更多信息,请参阅 注销委托管理员账户

关闭 AWS Organizations 的可信访问权限

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. 组织管理设置部分,选择关闭