开启遥测审计 - Amazon CloudWatch
创建遥测配置为组织配置遥测功能为账户配置遥测功能为资源启用遥测功能注销委托管理员账户关闭 AWS Organizations 的可信访问权限

开启遥测审计

通过 CloudWatch 控制台为 AWS 账户或组织配置遥测功能。对于组织,CloudWatch 将使用管理账户或委托管理员账户为组织中所有成员账户发现 AWS 资源并配置遥测功能。

只要不主动关闭,遥测配置就会持续运行。有关更多信息,请参阅 关闭 CloudWatch 遥测配置功能

创建遥测配置

配置遥测数据收集功能,用以监控所用的 AWS 资源。

先决条件

  • 有权配置 CloudWatch 遥测功能

  • 已确定需要监控的 AWS 资源

创建遥测配置

  1. 打开 AWS Management Console。

  2. 在导航窗格中,选择 CloudWatch,然后选择遥测配置

  3. 选择配置遥测

  4. 指定范围页面上:

    1. 选择配置适用的范围(账户或组织)。

    2. (可选)为配置组添加标签。

  5. 选择下一步

  6. 指定遥测数据目标位置页面上:

    1. 为遥测数据选择目标存储位置(例如:CloudWatch Logs)。

    2. 输入日志组名称的前缀。

    3. (可选)配置其他设置:

      • 启用评估指标

      • 设置采样百分比

    4. 选择用于屏蔽敏感信息的数据标识符。

  7. 选择下一步

  8. 检查配置设置。

  9. 选择创建遥测配置

完成这些步骤后,CloudWatch 就会根据配置开始收集遥测数据。

为组织配置遥测功能

要为组织配置遥测功能,必须使用管理账户或委托管理员账户。CloudWatch 将使用此账户来发现组织的 AWS 资源并配置资源的遥测设置。

在为组织配置遥测功能之前,需要启用 AWS Organizations 和 CloudWatch 之间的可信访问权限。启用可信访问权限后,CloudWatch 将创建名为 AWSServiceRoleForObservabilityAdmin 的服务相关角色,用以支持组织的资源发现和遥测配置。组织的所有成员账户中都会创建此角色。有关服务相关角色的更多信息,请参阅 CloudWatch 遥测配置的服务相关角色权限。有关 AWS Organizations 的更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

要使用管理账户配置遥测功能,请使用该账户登录,再启用可信访问权限,然后进行遥测配置。有关更多信息,请参阅 为组织配置遥测功能

为组织配置遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. CloudWatch 设置页面上的组织设置管理窗格中,选择启用可信访问权限。系统将出现启用可信访问权限页面。

    要查看角色策略,请选择查看权限详细信息,系统将在窗口中显示角色策略。选择启用可信访问权限,确认要向管理账户提供这些权限。

  5. 管理设置下的 CloudWatch 遥测配置窗格中,选择开启

  6. 为组织启用遥测配置功能后,随即会出现一条通知。在通知中选择“前往遥测配置”。系统将显示遥测配置界面,CloudWatch 随即开始发现组织中的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在遥测配置页面实时更新。

    注意

    资源显示在遥测配置页面前的时间延迟取决于组织或账户中的成员账户和资源数量。

为组织注册委托管理员账户

委托管理员账户是成员账户,可以共享服务管理权限的管理员访问权限。您要注册为委托管理员的账户必须位于组织中。组织的委托管理员账户可在 CloudWatch 之外使用,因此在执行此步骤之前,请务必了解此账户类型。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

要移除或更改委托管理员账号,请先注销该账户。有关更多信息,请参阅 注销委托管理员账户

配置委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 选择组织选项卡。

  4. 组织设置管理窗格中,选择注册委托管理员

  5. 注册委托管理员对话框的委托管理员账户 ID 中,输入 12 位数的组织成员账户 ID。

  6. 选择 Register delegated administrator (注册委派管理员)CloudWatch 设置页面顶部会显示一条消息,表明账户已注册成功。要查看有关委托管理员账户的信息,选中委托管理员下方的数字即可。

为组织配置遥测功能

为 AWS Organizations 配置遥测功能,监控所有成员账户中 AWS 资源的遥测数据。此配置同时也会为单个账户设置遥测功能。可以选择仅为当前账户配置遥测功能。有关更多信息,请参阅 为账户配置遥测功能

可以选择对所有成员账户禁用可信访问权限。有关更多信息,请参阅 关闭 AWS Organizations 的可信访问权限

为组织配置遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择遥测配置

  3. 选择配置,然后选择组织选项卡。系统将显示遥测配置概览页面,CloudWatch 随即开始发现组织中的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在概览页面实时更新。

    注意

    资源显示在概览页面前的时间延迟取决于组织中的成员账户数量。

为账户配置遥测功能

为 AWS 账户配置遥测功能,用以监控该账户中 AWS 资源的遥测数据。如果已在 AWS Organizations 中创建组织,则改为直接为组织配置遥测功能。有关更多信息,请参阅 为组织配置遥测功能

为 AWS 账户配置遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择遥测配置

  3. 如果使用的是管理账户或委托管理员账户,请选择配置,然后选择本账户。系统将显示遥测配置概览页面,CloudWatch 随即开始发现账户中的 AWS 资源。在 CloudWatch 发现资源的过程中,相关资源信息将在概览页面实时更新。

    注意

    资源显示在概览页面前的时间延迟取决于账户中的资源数量。

为资源启用遥测功能

完成账户或组织的遥测配置后,即可为特定 AWS 资源启用遥测数据收集功能。

先决条件

  • 已完成初始遥测配置

  • 已确定需要监控的特定资源

为资源启用遥测功能

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择遥测配置

  3. 选择启用遥测

  4. 选择资源页面上:

    1. 选择要监控的资源类型(例如:Amazon EC2、Lambda、Amazon VPC)。

    2. (可选)使用筛选条件缩小所显示资源的范围。

  5. 选择下一步

  6. 配置数据事件页面上:

    1. 为每种资源类型选择需要收集的数据事件。

    2. (可选)检查现有跟踪以避免重复记录。

  7. 选择下一步

  8. 设置采样率页面上:

    1. 使用滑块或输入数值,来设置采样率百分比。

    2. (可选)根据需要调整各资源类型的采样率。

  9. 检视您的设置。

  10. 选择启用遥测

完成这些步骤后,CloudWatch 就会开始收集选定资源的遥测数据。

注销委托管理员账户

在关闭 AWS Organizations 的可信访问权限之前,请先注销委托管理员账户。如果委托管理员账户不再有权访问用于遥测配置的相应 AWS 资源,或者要选择其他成员账户作为委托管理员,亦可注销该委托管理员账户。此账户将无法为 AWS Organizations 执行账户管理任务。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注销委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 组织选项卡上,选择取消注册

  4. 取消注册委托管理员页面,选择取消注册

要将账户注册为委托管理员,请参阅 为组织注册委托管理员账户

关闭 AWS Organizations 的可信访问权限

可信访问权限可将 AWS Organizations中管理账户的功能扩展到其他 AWS 服务。当您关闭可信访问权限时,组织与所有 AWS 服务之间的可信访问权限均将停止,而非仅限于 CloudWatch。

如果您不再想为组织开启可信访问权限,则可以将其关闭。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon CloudWatch 和 AWS Organizations

注意

请先取消注册委托管理员账户,再关闭组织的可信访问权限。有关更多信息,请参阅 注销委托管理员账户

关闭 AWS Organizations 的可信访问权限

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 选择组织选项卡。

  4. 组织管理设置部分,选择关闭