# CloudWatch のクロスアカウントオブザーバビリティ
Amazon CloudWatch のクロスアカウントオブザーバビリティを使用すると、リージョン内の複数のアカウントにまたがるアプリケーションをモニターリングおよびトラブルシューティングできます。アカウントの境界をなくすことで、リンクされたすべてのアカウントのメトリクス、ログ、トレース、Application Signals サービスとサービスレベル目標 (SLO)、Application Insights アプリケーション、インターネットモニターをシームレスに検索、可視化、分析できます。
1 つ以上の AWS アカウントをモニターリングアカウントとして設定し、それらを複数のソースアカウントにリンクします。モニターリングアカウントは、ソースアカウントから生成されたオブザーバビリティデータを表示して操作できる中心的な AWS アカウントです。ソースアカウントは、そのアカウント内にあり、リソースのオブザーバビリティデータを生成する個々の AWS アカウントです。ソースアカウントは、オブザーバビリティデータをモニターリングアカウントと共有します。共有されるオブザーバビリティデータには、次のタイプのテレメトリが含まれます。
+ Amazon CloudWatch のメトリクス。すべての名前空間のメトリクスをモニタリングアカウントと共有できるほか、フィルターで一部の名前空間に絞り込むことができます。
+ Amazon CloudWatch Logs のロググループ。すべてのロググループをモニタリングアカウントと共有できるほか、フィルターで一部のロググループに絞り込むことができます。
+ AWS X-Ray のトレース
+ Application Signals のサービスとサービスレベル目標 (SLO)
+ Amazon CloudWatch Application Insights のアプリケーション
+ CloudWatch Internet Monitor でのモニタリング
モニターリングアカウントとソースアカウント間のリンクを作成するには、CloudWatch コンソールを使用できます。または、AWS CLI および API の Observability Access Manager コマンドを使用します。詳細については、「[Observability Access Manager API Reference](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html)」(Observability Access Manager API リファレンス) を参照してください。
シンクは、モニターリングアカウントのアタッチメントポイントを表すリソースです。ソースアカウントは、シンクにリンクすることでオブザーバビリティデータを共有できます。各アカウントにリージョンあたり 1 つのシンクを設定できます。各シンクは、そのシンクがあるモニターリングアカウントによって管理されます。オブザーバビリティリンクは、ソースアカウントとモニターリングアカウントの間に確立されたリンクを表すリソースです。リンクはソースアカウントによって管理されます。
CloudWatch のクロスアカウントオブザーバビリティを設定するデモについては、次の動画を参照してください。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lUaDO9dqISc)
次のトピックでは、モニターリングアカウントとソースアカウントの両方で、CloudWatch のクロスアカウントオブザーバビリティを設定する方法について説明します。クロスアカウントクロスリージョンの CloudWatch ダッシュボードについては、「[クロスアカウントクロスリージョン CloudWatch コンソール](Cross-Account-Cross-Region.md)」を参照してください。
**ソースアカウントに Organizations を使用する**
ソースアカウントをモニターリングアカウントにリンクする方法は 2 つあります。そのうちの 1 つまたは両方を使用できます。
+ AWS Organizations を使用して、1 つの組織または組織単位内のアカウントをモニターリングアカウントにリンクします。
+ 個々の AWS アカウントをモニターリングアカウントに接続します。
組織で後から作成される新しい AWS アカウントが、ソースアカウントとしてクロスアカウントオブザーバビリティに自動的にオンボーディングされるよう、Organizations を使用することをお勧めします。
**モニターリングアカウントとソースアカウントのリンクに関する詳細**
+ 各モニターリングアカウントは、最大 100,000 個のソースアカウントにリンクできます。
+ 各ソースアカウントは、最大 5 個のモニターリングアカウントとデータを共有できます。
+ 1 つのアカウントを、モニターリングアカウントとソースアカウントの両方に設定できます。そうすると、このアカウントは、リンクされたモニタリングアカウントに自身のオブザーバビリティデータのみを送信します。他のソースアカウントからのデータは中継されません。
+ モニターリングアカウントは、共有可能なテレメトリのタイプを指定します。ソースアカウントは、共有するテレメトリのタイプを指定します。
+ モニターリングアカウントで選択されているテレメトリのタイプがソースアカウントよりも多い場合、アカウントはリンクされます。両方のアカウントで選択されたデータのタイプのみが共有されます。
+ ソースアカウントで選択されているテレメトリのタイプがモニターリングアカウントよりも多い場合、リンクの作成は失敗し、何も共有されません。
+ メトリクス名は、リンクの作成後に該当するメトリクスが新しいデータポイントを出力するまで、モニタリングアカウントコンソールに表示されません。
+ アカウント間のリンクの削除は、ソースアカウントから行います。
+ モニタリングアカウントのシンクを削除するには、まずモニタリングアカウントのそのシンクへのリンクをすべて削除する必要があります。
**料金**
CloudWatch のクロスアカウントオブザーバビリティでは、ログとメトリクス、Application Signals の追加コストは発生せず、最初のトレースコピーも無料です。料金の詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing)」を参照してください。
**Contents**
+ [モニターリングアカウントをソースアカウントにリンクする](CloudWatch-Unified-Cross-Account-Setup.md)
+ [必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [リンクの作成に必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-setup)
+ [アカウント間のモニタリングに必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-permissions-monitor)
+ [設定の概要](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [ステップ1: モニターリングアカウントを設定する](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-TemplateOrURL)
+ [ステップ 3: ソースアカウントをリンクする](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [CloudFormation テンプレートを使用して、組織または組織単位内のすべてのアカウントをソースアカウントとして設定する](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [CloudFormation テンプレートを使用して個別のソースアカウントを設定する](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [URL を使用して個別のソースアカウントを設定する](CloudWatch-Unified-Cross-Account-Setup.md#Unified-Cross-Account-SetupSource-SingleURL)
+ [モニターリングアカウントとソースアカウントを管理する](Unified-Cross-Account-Manage.md)
+ [モニターリングアカウントにソースアカウントを追加でリンクする](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-AddSourceAccounts)
+ [モニターリングアカウントとソースアカウント間のリンクを削除する](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-UnlinkAccount)
+ [モニターリングアカウントに関する情報を表示する](Unified-Cross-Account-Manage.md#Unified-Cross-Account-Setup-ManageMonitoringAccount)
# モニターリングアカウントをソースアカウントにリンクする
このセクションのトピックでは、モニターリングアカウントとソースアカウント間のリンクを設定する方法について説明します。
組織のモニターリングアカウントとして機能する新しい AWS アカウントを作成することをお勧めします。
**Contents**
+ [必要なアクセス許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [リンクの作成に必要なアクセス許可](#Unified-Cross-Account-permissions-setup)
+ [アカウント間のモニタリングに必要なアクセス許可](#Unified-Cross-Account-permissions-monitor)
+ [設定の概要](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [ステップ1: モニターリングアカウントを設定する](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [ステップ 3: ソースアカウントをリンクする](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [CloudFormation テンプレートを使用して、組織または組織単位内のすべてのアカウントをソースアカウントとして設定する](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [CloudFormation テンプレートを使用して個別のソースアカウントを設定する](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [URL を使用して個別のソースアカウントを設定する](#Unified-Cross-Account-SetupSource-SingleURL)
## 必要なアクセス許可
### リンクの作成に必要なアクセス許可
モニターリングアカウントとソースアカウント間のリンクを作成するには、特定のアクセス許可を使用してサインインする必要があります。
+ **モニターリングアカウントを設定するには** — モニターリングアカウントの完全な管理者アクセス権を持っているか、次のアクセス許可を使用してそのアカウントにサインインする必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **特定のモニターリングアカウントにスコープされるソースアカウント** — 指定した 1 つのモニターリングアカウントのみのリンクを作成、更新、管理するには、少なくとも次のアクセス許可を持つアカウントにサインインする必要があります。この例では、モニターリングアカウントは `999999999999` です。
リンクが 7 つのリソースタイプ (メトリクス、ログ、トレース、Application Insights アプリケーション、Application Signals サービス、サービスレベル目標 (SLO)、Internet Monitor モニター) のいずれかを共有していない場合は、必要に応じて `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` または `internetmonitor:Link` を省略できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **任意のモニタリングアカウントにリンクできるアクセス許可を持つソースアカウント** — 既存のモニタリングアカウントのシンクへのリンクを作成し、メトリクス、ロググループ、トレース、Application Insights アプリケーション、Internet Monitor モニターを共有するには、完全な管理者アクセス許可または次のアクセス許可で、ソースアカウントにサインインする必要があります。
リンクが 7 つのリソースタイプ (メトリクス、ログ、トレース、Application Insights アプリケーション、Application Signals サービス、サービスレベル目標 (SLO)、Internet Monitor モニター) のいずれかを共有していない場合は、必要に応じて `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` または `internetmonitor:Link` を省略できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### アカウント間のモニタリングに必要なアクセス許可
リンクが作成された後に、モニタリング アカウントからソース アカウント情報を表示するには、次のいずれかのアカウントにログインする必要があります:
+ モニタリング アカウントでの管理者によるフルアクセス
+ モニタリングする特定のタイプのリソースを表示するためのアクセス許可に加えて、次のクロスアカウント アクセス許可が必要です。
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## 設定の概要
次の大まかな手順では、CloudWatch のクロスアカウントオブザーバビリティを設定する方法を示します。
**注記**
組織のモニターリングアカウントとして使用する新しい AWS アカウントを作成することをお勧めします。
1. 専用のモニターリングアカウントを設定します。
1. (オプション) CloudFormation テンプレートをダウンロードするか URL をコピーして、ソースアカウントをリンクします。
1. ソースアカウントをモニターリングアカウントにリンクします。
これらの手順を完了すると、モニターリングアカウントを使用してソースアカウントのオブザーバビリティデータを表示できます。
## ステップ1: モニターリングアカウントを設定する
このセクションの手順に従って、CloudWatch のクロスアカウントオブザーバビリティ用のモニターリングアカウントとして AWS アカウントを設定します。
**前提条件**
+ **ソースアカウントとして AWS Organizations 組織内のアカウントを設定する場合** — 組織パスまたは組織 ID を取得します。
+ **ソースアカウントに Organizations を使用していない場合** — ソースアカウントのアカウント ID を取得します。
アカウントをモニターリングアカウントとして設定するには、特定のアクセス許可が必要です。詳細については、「[必要なアクセス許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)」を参照してください。
**モニターリングアカウントを設定するには**
1. モニターリングアカウントとして使用するアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. 左側のナビゲーションペインで **[設定]** を選択します。
1. **[Monitoring account configuration]** (モニターリングアカウント設定) で、**[Configure]** (設定) を選択します。
1. **[データを選択]** で、このモニタリングアカウントが、リンクされているソースアカウントからの **[ログ]**、**[メトリクス]**、**[トレース]**、**[Application Insights - アプリケーション]**、**[Internet Monitor - モニター]**、**[Application Signals - サービス、サービスレベル目標 (SLO)]** のデータを表示できるようにするかどうかを選択します。
1. **[List source accounts]** (ソースアカウントを一覧表示) に、このモニターリングアカウントが表示するソースアカウントを入力します。ソースアカウントを特定するには、個々のアカウント ID、組織パス、または組織 ID を入力します。組織パスまたは組織 ID を入力すると、その組織内のすべてのリンクされたアカウントからのオブザーバビリティデータをモニターリングアカウントで表示できます。
リストのエントリはカンマで区切ります。
**重要**
組織パスを入力するときは、正確な形式に従います。ou-id は `/` (スラッシュ文字) で終わる必要があります。例: `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. **[Define a label to use to identify your source account]** (ソースアカウントの識別に使用するラベルを定義する) では、CloudFormation テンプレートの作成に使用されるラベルを定義できます。その後、そのテンプレートを使用してソースアカウントをこのモニタリングアカウントにリンクすると、ラベルがソースアカウントに適用されます。
このラベルでアカウント名または E メールアドレスを使用するかどうかを指定し、また `$AccountName`、`$AcccountEmail`、`$AcccountEmailNoDomain` などの変数を使用することもできます。
**注記**
AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンでは、サポートされている唯一のオプションはカスタムラベルを使用することであり、`$AccountName`、`$AcccountEmail`、および `$AcccountEmailNoDomain` の変数はすべて、指定された変数ではなく *account-id* として解決されます。
1. [**設定**] を選択します。
**重要**
モニターリングアカウントとソースアカウント間のリンクは、ソースアカウントを設定するまで完了しません。詳細については、次のセクションを参照してください。
## ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする
ソースアカウントをモニターリングアカウントにリンクするには、AWS CloudFormation テンプレートまたは URL を使用することをお勧めします。
+ **組織全体をリンクする場合** — CloudWatch では、CloudFormation テンプレートが提供されています。
+ **個々のアカウントをリンクする場合** — CloudWatch が提供する URL または CloudFormation テンプレートを使用します。
CloudFormation テンプレートを使用するには、次の手順でテンプレートをダウンロードする必要があります。モニターリングアカウントを少なくとも 1 つのソースアカウントにリンクすると、CloudFormation テンプレートをダウンロードできなくなります。
**CloudFormation テンプレートをダウンロードまたは URL をコピーして、ソースアカウントをモニターリングアカウントにリンクするには**
1. モニターリングアカウントとして使用するアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. 左側のナビゲーションペインで **[設定]** を選択します。
1. **[Monitoring account configuration]** (モニターリングアカウント設定) から、**[Resources to link accounts]** (アカウントをリンクするためのリソース) を選択します。
1. 次のいずれかを行います。
+ **[AWS 組織]** を選択してテンプレートを入手し、組織内のアカウントをこのモニタリングアカウントにリンクするために使用します。
+ **[Any account]** (任意のアカウント) を選択して、個々のアカウントをソースアカウントとして設定するためのテンプレートまたは URL を入手します。
1. 次のいずれかを行います。
+ **[AWS 組織]** を選択した場合は、**[CloudFormation テンプレートをダウンロード]** を選択します。
+ **[Any account]** (任意のアカウント) を選択した場合は、**[Download CloudFormation template]** (CloudFormation テンプレートのダウンロード) または **[Copy URL]** (URL のコピー) を選択します。
1. (オプション) 5 から 6 の手順を繰り返し、CloudFormation テンプレートと URL の両方をダウンロードします。
## ステップ 3: ソースアカウントをリンクする
次のセクションの手順を使用して、ソースアカウントをモニターリングアカウントにリンクします。
モニターリングアカウントをソースアカウントにリンクするには、特定のアクセス許可が必要です。詳細については、「[必要なアクセス許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)」を参照してください。
### CloudFormation テンプレートを使用して、組織または組織単位内のすべてのアカウントをソースアカウントとして設定する
これらの手順は、[ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする](#Unified-Cross-Account-Setup-TemplateOrURL) の手順を実行し、必要な CloudFormation テンプレートを既にダウンロードしていることを前提としています。
**CloudFormation テンプレートを使用して、組織または組織単位内のアカウントをモニターリングアカウントにリンクするには**
1. 組織のモニターリングアカウントにサインインします。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. 左のナビゲーションバーから **[StackSets]** を選択します。
1. 目的のリージョンにサインインしていることを確認し、**[Create StackSet]** (StackSet の作成) を選択します。
1. [**次へ**] を選択します。
1. **[Template is ready]** (テンプレートの準備完了) を選択し、**[Upload a template file]** (テンプレートファイルをアップロード) を選択します。
1. **[Choose file]** (ファイルを選択) を選択し、モニターリングアカウントからダウンロードしたテンプレートを選択して、**[Open]** (開く) をクリックします。
1. [**次へ**] を選択します。
1. **[Specify StackSet details]** (StackSet の詳細を指定) で、StackSet の名前を入力して **[Next]** (次へ) をクリックします。
1. **[Add stacks to stack set]** (スタックセットにスタックを追加) で、**[Deploy new stacks]** (新しいスタックのデプロイ) を選択します。
1. **[Deployment targets]** (デプロイターゲット) で、組織全体にデプロイするか、特定の組織単位にデプロイするかを選択します。
1. **[Specify regions]** (リージョンを指定) で、CloudWatch のクロスアカウントオブザーバビリティをデプロイするリージョンを選択します。
1. [**次へ**] を選択します。
1. **[Review]** (確認) ページで、選択内容を確認し **[Submit]** (送信) をクリックします。
1. **[Stack instances]** (スタックインスタンス) タブで、スタックインスタンスのステータスが **CREATE\$1COMPLETE** になるまで画面を更新します。
### CloudFormation テンプレートを使用して個別のソースアカウントを設定する
これらの手順は、[ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする](#Unified-Cross-Account-Setup-TemplateOrURL) の手順を実行し、必要な CloudFormation テンプレートを既にダウンロードしていることを前提としています。
**CloudFormation テンプレートを使用して、CloudWatch のクロスアカウントオブザーバビリティ用に個別のソースアカウントを設定するには**
1. ソースアカウントにサインインします。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。
1. 左のナビゲーションバーで **[Stacks]** (スタック) を選択します。
1. 目的のリージョンにログインしていることを確認し、**[Create stack]** (スタックの作成)、**[With new resources (standard)]** (新しいリソースを使用 (標準)) を選択します。
1. [**次へ**] を選択します。
1. [**Upload a template file(テンプレートファイルをアップロード)**] を選択します。
1. **[Choose file]** (ファイルを選択) を選択し、モニターリングアカウントからダウンロードしたテンプレートを選択して、**[Open]** (開く) をクリックします。
1. [**次へ**] を選択します。
1. **[Specify stack details]** (スタックの詳細を指定) ページで、スタックの名前を入力して **[Next]** (次へ) をクリックします。
1. **[スタックオプションの設定]** ページで、**[次へ]** を選択します。
1. **[Review]** (確認) ページで **[Submit]** (送信) をクリックします。
1. スタックのステータスのページで、ステータスが **CREATE\$1COMPLETE** になるまで画面を更新します。
1. 同じテンプレートを使用して他のソースアカウントをこのモニターリングアカウントにリンクするには、このアカウントからサインアウトし、次のソースアカウントにサインインします。その後、2 から 12 の手順を繰り返します。
### URL を使用して個別のソースアカウントを設定する
これらの手順は、[ステップ 2: (オプション) CloudFormation テンプレートまたは URL をダウンロードする](#Unified-Cross-Account-Setup-TemplateOrURL) の手順を実行し、必要な URL を既にコピーしていることを前提としています。
**URL を使用して個々のソースアカウントをモニターリングアカウントにリンクするには**
1. ソースアカウントとして使用するアカウントにサインインします。
1. モニターリングアカウントからコピーした URL を入力します。
いくつかの情報が入力された CloudWatch の設定ページが表示されます。
1. **[データの選択]** で、このソースアカウントが **[ログ]**、**[メトリクス]**、**[トレース]**、**[Application Insights - Applications]**、**[Internet Monitor - モニター]** のデータをモニタリングアカウントと共有するかどうかを選択します。
**[ログ]** と **[メトリクス]** では、リソースの全部または一部をモニタリングアカウントと共有するかどうかを選択できます。
1. (オプション) このアカウントのロググループのサブセットをモニタリングアカウントと共有するには、**[ログ]** を選択し、**[ログのフィルタリング]** を選択します。次に、**[ログのフィルタリング]** ボックスを使用して、共有するロググループを検索するクエリを作成します。そのクエリでは、条件 `LogGroupName` と次の 1 つ以上のオペランドを使用します。
+ `=` および `!=`
+ `AND`
+ `OR`
+ `^` は LIKE を示し、`!^` は NOT LIKE を示します。どちらも、プレフィックス検索としてのみ使用できます。検索して見つかった文字列を含める場合は、その文字列の末尾に `%` を含めます。
+ `IN` と `NOT IN` 。括弧 (`( )`) を使用します。
クエリ全体の文字数は 2,000 文字以内にする必要があり、指定できる条件オペランドは 5 つまでに制限されています。条件オペランドには、`AND` と `OR` があります。他のオペランドの数に上限はありません。
**ヒント**
**[サンプルクエリを表示]** を選択すると、よく使用されるクエリ形式に適した構文が表示されます。
1. (オプション) このアカウントのメトリクス名前空間のサブセットをモニタリングアカウントと共有するには、**[メトリクス]** を選択し、**[メトリクスのフィルタリング]** を選択します。次に、**[メトリクスのフィルタリング]** ボックスを使用して、共有するメトリクス名前空間を検索するクエリを作成します。条件 `Namespace` と次の 1 つ以上のオペランドを使用します。
+ `=` および `!=`
+ `AND`
+ `OR`
+ 「`LIKE`」および「`NOT LIKE`」。どちらも、プレフィックス検索としてのみ使用できます。検索して見つかった文字列を含める場合は、その文字列の末尾に `%` を含めます。
+ `IN` と `NOT IN` 。括弧 (`( )`) を使用します。
クエリ全体の文字数は 2,000 文字以内にする必要があり、指定できる条件オペランドは 5 つまでに制限されています。条件オペランドには、`AND` と `OR` があります。他のオペランドの数に上限はありません。
**ヒント**
**[サンプルクエリを表示]** を選択すると、よく使用されるクエリ形式に適した構文が表示されます。
1. **[Enter monitoring account configuration ARN]** (モニターリングアカウント設定 ARN を入力) で ARN を変更しないでください。
1. **[Define a label to identify your source account]** (ソースアカウントを識別するラベルを定義する) セクションには、モニタリングアカウントで選択したラベルがある場合は、そのラベルがあらかじめ入力されています。必要に応じて、**[Edit]** (編集) を選択し変更します。
**注記**
AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンでは、サポートされている唯一のオプションはカスタムラベルを使用することであり、`$AccountName`、`$AcccountEmail`、および `$AcccountEmailNoDomain` の変数はすべて、指定された変数ではなく *account-id* として解決されます。
1. [**Link (リンク)**] を選択します。
1. ボックスに「**Confirm**」と入力し、**[Confirm]** (確認) をクリックします。
1. 同じ URL を使用して他のソースアカウントをこのモニターリングアカウントにリンクするには、このアカウントからサインアウトし、次のソースアカウントにログインします。その後、2 から 7 の手順を繰り返します。
# モニターリングアカウントとソースアカウントを管理する
モニターリングアカウントとソースアカウントを設定したら、次のセクションの手順を実行してそれらを管理できます。
**Contents**
+ [モニターリングアカウントにソースアカウントを追加でリンクする](#Unified-Cross-Account-Setup-AddSourceAccounts)
+ [モニターリングアカウントとソースアカウント間のリンクを削除する](#Unified-Cross-Account-Setup-UnlinkAccount)
+ [モニターリングアカウントに関する情報を表示する](#Unified-Cross-Account-Setup-ManageMonitoringAccount)
## モニターリングアカウントにソースアカウントを追加でリンクする
このセクションの手順を実行して、他のソースアカウントから既存のモニターリングアカウントにリンクを追加できます。
各ソースアカウントは、最大 5 つのモニターリングアカウントにリンクできます。各モニターリングアカウントは、最大 100,000 個のソースアカウントにリンクできます。
ソースアカウントを管理するには、特定のアクセス許可が必要です。詳細については、「[必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions)」を参照してください。
**モニターリングアカウントにソースアカウントをさらに追加するには**
1. モニターリングアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. 左側のナビゲーションペインで **[設定]** を選択します。
1. **[Monitoring account configuration]** (モニターリングアカウント設定) から、**[Manage source accounts]** (ソースアカウントを管理) を選択します。
1. **[Configuration policy]** (設定ポリシー) タブを選択します。
1. **[Configuration policy]** (設定ポリシー) ボックスの **[Principal]** (プリンシパル) 行に新しいソースアカウント ID を追加します。
例えば、現在 **[Principal]** (プリンシパル) 行が次のようになっているとします。
```
"Principal": {"AWS": ["111111111111", "222222222222"]}
```
3 番目のソースアカウントとして `999999999999` を追加するには、次のように行を編集します。
```
"Principal": {"AWS": ["111111111111", "222222222222", "999999999999"]}
```
1. **[更新]** を選択します。
1. **[Configuration set]** (設定の詳細) タブを選択します。
1. モニターリングアカウントのシンクの ARN の横にあるコピーアイコンを選択します。
1. 新しいソースアカウントとして使用するアカウントにサインインします。
1. ステップ 9 でコピーしたモニタリングアカウントのシンク ARN を貼り付けます。
いくつかの情報が入力された CloudWatch の設定ページが表示されます。
1. **[データを選択]** では、このソースアカウントが、**[ログ]**、**[メトリクス]**、**[トレース]**、**[Application Insights - アプリケーション]**、**[Internet Monitor - モニター]**、**[Application Signals -サービス、サービスレベル目標 (SLO)]** データをリンクされているモニタリングアカウントに送信するかどうかを選択します。
1. **[Enter monitoring account configuration ARN]** (モニターリングアカウント設定 ARN を入力) で ARN を変更しないでください。
1. **[Define a label to identify your source account]** (ソースアカウントを識別するラベルを定義する) セクションには、モニタリングアカウントで選択したラベルがある場合は、そのラベルがあらかじめ入力されています。必要に応じて、**[Edit]** (編集) を選択し変更します。
**注記**
AWS GovCloud (米国東部) および AWS GovCloud (米国西部) リージョンでは、サポートされている唯一のオプションはカスタムラベルを使用することであり、`$AccountName`、`$AcccountEmail`、および `$AcccountEmailNoDomain` の変数はすべて、指定された変数ではなく *account-id* として解決されます。
1. [**Link (リンク)**] を選択します。
1. ボックスに「**Confirm**」と入力し、**[Confirm]** (確認) をクリックします。
## モニターリングアカウントとソースアカウント間のリンクを削除する
ソースアカウントからモニターリングアカウントへのデータの送信を停止するには、このセクションの手順を実行します。
**注記**
ソースアカウントが*モニタリング*アカウントとのメトリクスの共有を停止すると、*ソース*アカウントのメトリクスデータはモニタリングアカウントからアクセスできなくなります。ソースメトリクス名は、最大 14 日間モニタリングアカウントに表示されます。
このタスクを完了するには、ソースアカウントの管理に必要となるアクセス許可が必要です。詳細については、「[必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions)」を参照してください。
**ソースアカウントとモニターリングアカウント間のリンクを削除するには**
1. ソースアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. 左側のナビゲーションペインで **[設定]** を選択します。
1. **[ソースアカウントの設定]** で、**[リンクされたモニタリングアカウントを表示]** を選択します。
1. データの共有を停止するモニターリングアカウントの横にあるチェックボックスをオンします。
1. **[モニタリングアカウントを削除]**、**[確認]** を選択します。
1. モニタリングアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. **[設定]** を選択します。
1. **[モニタリングアカウント設定]** で、**[モニタリングアカウントを管理]** を選択します。
1. **[設定ポリシー]** ボックスで、**[主要]** 行からソースアカウント ID を削除し、**[更新]** を選択します。
## モニターリングアカウントに関する情報を表示する
モニターリングアカウントのクロスアカウント設定を表示するには、このセクションの手順を実行します。
モニターリングアカウントを管理するには、特定のアクセス許可が必要です。詳細については、「[必要なアクセス許可](CloudWatch-Unified-Cross-Account-Setup.md#CloudWatch-Unified-Cross-Account-Setup-permissions)」を参照してください。
**モニターリングアカウントを管理するには**
1. モニターリングアカウントにサインインします。
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. 左側のナビゲーションペインで **[設定]** を選択します。
1. **[モニタリングアカウント設定]** で、**[モニタリングアカウントを管理]** を選択します。
1. このアカウントをモニターリングアカウントとして有効にする Observability Access Manager ポリシーを表示するには、**[Configuration policy]** (設定ポリシー) タブを選択します。
1. このモニターリングアカウントにリンクされているソースアカウントを表示するには、**[Linked source accounts]** (リンクされたソースアカウント) タブを選択します。
1. モニターリングアカウントのシンクの ARN、およびモニターリングアカウントがリンクされているソースアカウントで表示できるデータのタイプを確認するには、**[Linked source accounts]** (リンクされたソースアカウント) タブを選択します。