必要的許可設定概觀步驟 1：設定監控帳戶步驟 2：（選用）下載 AWS CloudFormation 範本或 URL 步驟 3：連結來源帳戶

連結監控帳戶與來源帳戶

本節中的主題會說明如何設定監控帳戶和來源帳戶之間的連結。

我們建議您建立新的 AWS 帳戶，做為組織的監控帳戶。

內容

必要的許可

建立連結所需的許可

若要在監控帳戶和來源帳戶之間建立連結，您必須擁有特定許可並登入帳戶。

若要設定監控帳戶：您必須在監控帳戶中擁有完整的系統管理員存取權，或者您必須擁有下列許可並登入該帳戶：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

範圍為特定監控帳戶的來源帳戶：若要僅針對某個指定監控帳戶建立、更新和管理連結，您必須擁有下列許可並登入該帳戶。在此範例中，監控帳戶為 999999999999。

如果連結不會共用所有七種資源類型（指標、日誌、追蹤、Application Insights 應用程式、Application Signals 服務和服務層級目標 (SLOs) 和網路監視器），您可以internetmonitor:Link視需要省略 cloudwatch:Link、logs:Link、xray:Link、applicationinsights:Link、application-signals:Link、或。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

來源帳戶，具有連結至任何監控帳戶的許可 – 若要建立任何現有監控帳戶接收器的連結並共用指標、日誌群組、追蹤、Application Insights 應用程式和網路監視器，您必須使用完整的管理員許可登入來源帳戶，或使用下列許可登入來源帳戶


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "internetmonitor:Link",
             "Effect": "Allow",
             "Resource": "*"
        },
        {
             "Action": "application-signals:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

跨帳戶監控所需的許可

建立連結後，若要從監控帳戶檢視來源帳戶資訊，您必須使用下列其中一項登入帳戶：

監控帳戶中的完整管理員存取權

下列跨帳戶許可，以及檢視您將監控之特定類型資源的許可


{
   "Sid": "AllowReadOnly",
   "Effect": "Allow",
   "Action": [
     "oam:Get*",
     "oam:List*"
   ],
   "Resource": "*"
 }

設定概觀

下列高階步驟會示範如何設定 CloudWatch 跨帳戶觀察功能。

注意

我們建議您建立新的 AWS 帳戶，以用作組織的監控帳戶。

設定專用的監控帳戶。
（選用）下載 AWS CloudFormation 範本或複製 URL 以連結來源帳戶。
將來源帳戶連結至監控帳戶。

完成這些步驟後，您可以使用監控帳戶來檢視來源帳戶的可觀察性資料。

步驟 1：設定監控帳戶

遵循本節中的步驟，將 AWS 帳戶設定為 CloudWatch 跨帳戶可觀測性的監控帳戶。

先決條件

如果您要將 AWS Organizations 組織中的帳戶設定為來源帳戶 – 取得組織路徑或組織 ID。
如果您未將 Organizations 用於來源帳戶：請取得來源帳戶的帳戶 ID。

若要將帳戶設定為監控帳戶，您必須具備特定許可。如需詳細資訊，請參閱必要的許可。

設定監控帳戶

登入您想要用作監控帳戶的帳戶。
透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。
在左側的導覽窗格中，選擇設定。
在 Monitoring account configuration (監控帳戶組態) 中，選擇 Configure (設定)。
對於選取資料，選擇此監控帳戶是否能夠從其連結的來源帳戶檢視日誌、指標、追蹤、Application Insights - 應用程式、網路監視器 - 監視器和 Application Signals - 服務、服務層級目標 (SLOs) 資料。
在 List source accounts (列出來源帳戶) 中，輸入此監控帳戶可檢視的來源帳戶。若要識別來源帳戶，請輸入個別帳戶 ID、組織路徑或組織 ID。如果您輸入組織路徑或組織 ID，系統會允許此監控帳戶檢視該組織中所有連結帳戶的可觀察性資料。

以逗號分隔的此清單中的項目。

重要
當您輸入組織路徑時，請遵循確切格式。ou-id 必須以 /（斜線字元）結尾。例如：o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/
對於定義用於識別來源帳戶的標籤，您可以定義用於建立 AWS CloudFormation 範本的標籤。然後，當使用該範本將來源帳戶連結至此監控帳戶時，標籤會套用至來源帳戶。

您可以指定是否在此標籤中使用帳戶名稱或電子郵件地址，也可以使用 $AccountName、 $AcccountEmail和等變數$AcccountEmailNoDomain。

注意
在 AWS GovCloud （美國東部）和 AWS GovCloud （美國西部）區域中，唯一支援的選項是使用自訂標籤，而 $AccountName、 $AcccountEmail和 $AcccountEmailNoDomain變數全部解析為 account-id，而不是指定的變數。
選擇 Configure (設定)。

重要

設定來源帳戶之後，監控帳戶和來源帳戶之間的連結才會完成。如需詳細資訊，請參閱下列區段。

步驟 2：（選用）下載 AWS CloudFormation 範本或 URL

若要將來源帳戶連結至監控帳戶，建議您使用 AWS CloudFormation 範本或 URL。

如果您要連結整個組織 – CloudWatch 提供 AWS CloudFormation 範本。
如果您要連結個別帳戶 – 使用 CloudWatch 提供的 AWS CloudFormation 範本或 URL。

若要使用 AWS CloudFormation 範本，您必須在這些步驟期間下載範本。將監控帳戶連結至至少一個來源帳戶之後，即無法再下載 AWS CloudFormation 範本。

下載 AWS CloudFormation 範本或複製 URL 以將來源帳戶連結至監控帳戶

登入您想要用作監控帳戶的帳戶。
透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。
在左側的導覽窗格中，選擇設定。
在 Monitoring account configuration (監控帳戶組態) 中，選擇 Resources to link accounts (要連結帳戶的資源)。
執行以下任意一項：
- 選擇 AWS 組織以取得範本，並用來將組織中的帳戶連結至此監視帳戶。
- 選擇 Any account (任何帳戶) 以取得用於將個別帳戶設定為來源帳戶的範本或 URL。
執行以下任意一項：
- 如果您選擇 AWS 組織，請選擇下載 CloudFormation 範本。
- 如果您選擇 Any account (任何帳戶)，請選擇 Download CloudFormation template (下載 CloudFormation 範本) 或 Copy URL (複製 URL)。
（選用）重複步驟 5-6 以下載 AWS CloudFormation 範本和 URL。

步驟 3：連結來源帳戶

請依照這些章節中的步驟，將來源帳戶連結至監控帳戶。

若要將監控帳戶與來源帳戶連結，您必須具備特定許可。如需詳細資訊，請參閱必要的許可。

使用 AWS CloudFormation 範本將組織或組織單位中的所有帳戶設定為來源帳戶

這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2：（選用）下載 AWS CloudFormation 範本或 URL。

使用 AWS CloudFormation 範本將組織或組織單位中的帳戶連結至監控帳戶

登入組織的管理帳戶。
在 https：//https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。
在左側導覽窗格中，選擇 StackSets。
檢查您是否已登入所需的區域，然後選擇 Create StackSet (建立 StackSet)。
選擇 Next (下一步)。
選擇 Template is ready (範本已準備就緒)，然後選擇 Upload a template file (上傳範本檔案)。
選擇 Choose file (選擇檔案)，選擇您從監控帳戶下載的範本，然後選擇 Open (開啟)。
選擇下一步。
在 Specify StackSet details (指定 StackSet 詳細資訊) 中，請輸入 StackSet 名稱，然後選擇 Next (下一步)。
在 Add stacks to stack set (將堆疊新增至堆疊集) 中，選擇 Deploy new stacks (部署新堆疊)。
在 Deployment targets (部署目標) 中，選擇是部署到整個組織還是部署至指定的組織單位。
在 Specify regions (指定區域) 中，選擇要將 CloudWatch 跨帳戶觀察功能部署到哪些區域。
選擇下一步。
在 Review (檢閱) 頁面上，確認您選取的選項，然後選擇 Submit (提交)。
在 Stack instances (堆疊執行個體) 索引標籤中，重新整理畫面，直到您看到堆疊執行個體的狀態為 CREATE_COMPLETE。

使用 AWS CloudFormation 範本設定個別來源帳戶

這些步驟假設您已透過執行中的步驟來下載必要的 AWS CloudFormation 範本步驟 2：（選用）下載 AWS CloudFormation 範本或 URL。

使用 AWS CloudFormation 範本為 CloudWatch 跨帳戶可觀測性設定個別來源帳戶

登入來源帳戶。
在 https：//https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。
在左側導覽窗格中，選擇 Stacks (堆疊)。
檢查您是否已登入到所需的區域，然後選擇 Create stack (建立堆疊)、With new resources (standard) (使用新資源 (標準))。
選擇下一步。
選擇 Upload a template file (上傳範本檔案)。
選擇 Choose file (選擇檔案)，選擇您從監控帳戶下載的範本，然後選擇 Open (開啟)。
選擇下一步。
在 Specify Stack details (指定堆疊詳細資訊) 中，輸入堆疊名稱，然後選擇 Next (下一步)。
在 Configure stack options (設定堆疊選項) 頁面，選擇 Next (下一步)。
在 Review (檢閱) 頁面，選擇 Submit (提交)。
在堆疊的狀態頁面上，重新整理畫面，直到您看到堆疊的狀態為 CREATE_COMPLETE。
若要使用相同範本將更多來源帳戶連結至此監控帳戶，請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-12。

使用 URL 來設定個別來源帳戶

這些步驟假設您已透過執行步驟 2：（選用）下載 AWS CloudFormation 範本或 URL 中的步驟複製了必要的 URL。

若要使用 URL 將個別來源帳戶連結至監控帳戶

登入您想要用作來源帳戶的帳戶。
輸入您從監控帳戶複製的 URL。

您會看到 CloudWatch 設定頁面，其中已填入一些資訊。
針對選取資料，選擇此來源帳戶是否將共用日誌、指標、追蹤、Application Insights - 應用程式和網路監視器 - 監控資料至此監控帳戶。

對於日誌和指標，您可以選擇要與監控帳戶共用所有資源或子集。
1. （選用）若要與監控帳戶共用此帳戶的日誌群組子集，請選取日誌，然後選擇篩選日誌。然後使用篩選日誌方塊來建構查詢，以尋找您要共用的日誌群組。查詢將使用術語LogGroupName和下列一或多個運算元。
  - = 和 !=
  - AND
  - OR
  - ^ 表示 LIKE，而 !^表示 NOT LIKE。這些只能用作字首搜尋。在您要搜尋並包含的字串結尾%包含。
  - IN 和 NOT IN，使用括號 (( ))
  完整查詢不得超過 2000 個字元，且限制為五個條件運算元。條件運算元為 AND和 OR。其他運算元的數量沒有限制。
  
  提示
  選擇檢視範例查詢，以查看常見查詢格式的正確語法。
2. （選用）若要與監控帳戶共用此帳戶的指標命名空間子集，請選取指標，然後選擇篩選指標。然後使用篩選指標方塊來建構查詢，以尋找您要共用的指標命名空間。使用術語Namespace和下列一或多個運算元。
  - = 和 !=
  - AND
  - OR
  - LIKE 與 NOT LIKE。這些只能用作字首搜尋。在您要搜尋並包含的字串結尾%包含。
  - IN 和 NOT IN，使用括號 (( ))
  完整查詢不得超過 2000 個字元，且限制為五個條件運算元。條件運算元為 AND和 OR。其他運算元的數量沒有限制。
提示
選擇檢視範例查詢，以查看常見查詢格式的正確語法。
請勿更改 Enter monitoring account configuration ARN (輸入監控帳戶組態 ARN) 中的 ARN。
定義用於識別來源帳戶的標籤區段會預先填入監控帳戶中的標籤選擇，如果有的話。或者，您也可以選擇 Edit (編輯) 來進行變更。

注意
在 AWS GovCloud （美國東部）和 AWS GovCloud （美國西部）區域中，唯一支援的選項是使用自訂標籤，而 $AccountName、 $AcccountEmail和 $AcccountEmailNoDomain變數全部解析為 account-id，而不是指定的變數。
選擇 Link (連結)。
在方塊中輸入 Confirm，然後選擇 Confirm (確認)。
若要使用相同 URL 將更多來源帳戶連結至此監控帳戶，請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-7。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

CloudWatch 跨帳戶觀察功能

管理監控帳戶和來源帳戶