# 교차 계정 교차 리전 CloudWatch 콘솔
**참고**
리전 내 지표, 로그 및 트레이스에 대해 가장 풍부한 크로스 계정 관찰성과 검색 경험을 얻으려면 CloudWatch 크로스 계정 관찰성을 사용하는 것이 좋습니다. 자세한 내용은 [CloudWatch 크로스 계정 관측성](CloudWatch-Unified-Cross-Account.md) 섹션을 참조하세요.
크로스 계정, 크로스 리전 CloudWatch 콘솔을 사용하면 콘솔의 선택기로 다른 계정 및 리전의 대시보드, 경보, 지표를 확인하여 다른 계정과 리전 간을 쉽게 전환할 수 있습니다. 또한 이 기능을 사용하면 여러 AWS 계정과 여러 리전의 CloudWatch 지표를 단일 대시보드로 요약하는 크로스 계정, 크로스 리전 대시보드를 생성하여 계정이나 리전을 전환하지 않고도 액세스할 수 있습니다.
많은 조직에서는 결제 및 보안 경계를 제공하기 위해 AWS 리소스를 여러 계정에 배포하고 있습니다. 이 경우 하나 이상의 사용자 계정을 *모니터링 계정*으로 지정하고 이러한 계정에 크로스 계정 크로스 리전 대시보드를 구축하는 것이 좋습니다. 크로스 계정 크로스 리전 콘솔 기능이 AWS Organizations와 통합되어 크로스 계정 크로스 리전 대시보드를 효율적으로 구축할 수 있습니다.
크로스 계정, 크로스 리전 CloudWatch 콘솔 환경에서는 로그에 대한 크로스 계정 크로스 리전 가시성을 제공하지 않습니다. 또한 모니터링 계정 내에서 다른 계정 또는 리전의 지표에 대한 경보를 생성할 수 없습니다.
**Topics**
+ [CloudWatch에서 크로스 계정 크로스 리전 기능 활성화](#enable-cross-account-cross-Region)
+ [(선택 사항) AWS Organizations와 통합](#cross-account-and-AWS-organizations)
+ [CloudWatch 교차 계정 설정 문제 해결](#troubleshooting-cross-account-cross-Region)
+ [교차 계정 액세스를 위한 모니터링 계정 권한](#cross-account-cross-region-limitations)
+ [교차 계정 사용 후 사용 중지 및 정리](#cleanup-cross-account-cross-Region)
## CloudWatch에서 크로스 계정 크로스 리전 기능 활성화
CloudWatch 콘솔에서 크로스 계정 크로스 리전 기능을 설정하려면 CloudWatch 콘솔을 사용하여 공유 계정 및 모니터링 계정을 설정합니다.
**공유 계정 설정**
모니터링 계정에서 데이터를 사용할 수 있도록 각 계정에서 공유를 활성화해야 합니다.
이렇게 하면 공유받는 계정의 사용자에게 해당 권한이 있는 경우 공유받는 계정의 교차 계정 대시보드를 보는 모든 사용자에게 5단계에서 선택한 읽기 전용 권한이 부여됩니다.
**계정이 CloudWatch 데이터를 다른 계정과 공유할 수 있도록 하려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **Share your CloudWatch data**(CloudWatch 데이터 공유)에서 **Configure**(구성)를 선택합니다.
1. **공유(Sharing)**에서 **특정 계정(Specific accounts)**을 선택하고 데이터를 공유할 계정의 ID를 입력합니다.
여기에서 지정되는 해당 계정은 공유하는 계정의 CloudWatch 데이터를 볼 수 있습니다. 알고 신뢰하는 계정의 ID만 지정합니다.
1. **권한(Permissions)**에 대해 다음 옵션 중 하나를 사용하여 데이터를 공유하는 방법을 지정합니다.
+ **CloudWatch 지표, 대시보드 및 경보에 대한 읽기 전용 액세스 권한 제공(Provide read-only access to your CloudWatch metrics, dashboards, and alarms)**. 이 옵션을 사용하면 모니터링 계정이 계정의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다.
+ **CloudWatch 자동 대시보드 포함(Include CloudWatch automatic dashboards)**. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 자동 대시보드에서 정보를 볼 수도 있습니다. 자세한 내용은 [CloudWatch 자동 대시보드 시작하기](GettingStarted.md) 섹션을 참조하세요.
+ **X-Ray 트레이스 맵에 대한 X-Ray 읽기 전용 액세스를 포함합니다**. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 X-Ray 트레이스 맵 및 X-Ray 트레이스 정보도 볼 수 있습니다. 자세한 내용은 [X-Ray 트레이스 맵 사용](https://docs.aws.amazon.com/xray/latest/devguide/xray-console-servicemap.html)을 참조하세요.
+ **Include read-only access for Database Insights**. 이 옵션을 선택하면 모니터링 계정의 사용자가 이 계정의 Database Insights 원격 분석도 볼 수 있습니다. 자세한 내용은 [CloudWatch Database Insights에 대한 교차 계정 교차 리전 모니터링 설정](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Database-Insights-Cross-Account-Cross-Region.html)을 참조하세요.
+ **사용자 계정의 모든 항목에 대한 전체 읽기 전용 액세스 권한(Full read-only access to everything in your account)**. 이 옵션을 사용하면 공유에 사용되는 계정이 계정의 CloudWatch 데이터가 포함된 위젯이 있는 교차 계정 대시보드를 생성할 수 있습니다. 또한 이러한 계정에서 사용자 계정을 더 자세히 살펴보고 다른 AWS 서비스의 콘솔에서 사용자 계정의 데이터를 볼 수 있습니다.
1. **CloudFormation 템플릿 실행(Launch CloudFormation template)**을 선택합니다.
확인 화면에서 **Confirm**을 입력하고 **템플릿 실행(Launch template)**을 선택합니다.
1. **...확인합니다.(I acknowledge...)** 확인란을 선택하고 **스택 생성(Create stack)**을 선택합니다.
**조직 전체와 공유**
위의 절차를 완료하면 IAM 역할이 생성됩니다. 이 역할을 사용하여 계정이 하나의 계정과 데이터를 공유할 수 있습니다. 조직의 모든 계정과 데이터를 공유하는 IAM 역할을 생성하거나 편집할 수 있습니다. 조직의 모든 계정을 알고 신뢰하는 경우에만 이 작업을 수행하십시오.
이렇게 하면 공유받는 계정의 사용자에게 해당 권한이 있는 경우 공유받는 계정의 교차 계정 대시보드를 보는 모든 사용자에게 위 절차의 5단계에 나와 있는 정책에 나열된 읽기 전용 권한이 부여됩니다.
**조직의 모든 계정과 CloudWatch 계정 데이터를 공유하려면**
1. 아직 수행하지 않은 경우 이전 절차를 완료하여 한 AWS 계정과 데이터를 공유하십시오.
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다.
1. 역할 목록에서 **CloudWatch-CrossAccountSharingRole**을 선택합니다.
1. **신뢰 관계(Trust relationships)**, **신뢰 관계 편집(Edit trust relationship)**을 차례대로 선택합니다.
다음과 같은 정책이 표시됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 정책을 다음과 같이 변경하여 *org-id* 를 조직의 ID로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "org-id"
}
}
}
]
}
```
------
1. **신뢰 정책 업데이트**를 선택합니다.
**모니터링 계정 설정**
교차 계정 CloudWatch 데이터를 보려는 경우 각 모니터링 계정을 사용 설정합니다.
다음 절차를 완료하면 CloudWatch는 다른 계정에서 공유한 데이터에 액세스하는 데 사용하는 모니터링 계정의 서비스 연결 역할을 생성합니다. 이 서비스 연결 역할을 **AWSServiceRoleForCloudWatchCrossAccount**라고 합니다. 자세한 내용은 [CloudWatch에 서비스 연결 역할 사용](using-service-linked-roles.md) 섹션을 참조하세요.
**계정이 교차 계정 CloudWatch 데이터를 볼 수 있도록 사용 설정하려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **설정(Settings)**을 선택한 다음 **교차 계정 교차 리전(Cross-account cross-region)** 섹션에서 **구성(Configure)**을 선택합니다.
1. **교차 계정 교차 리전 보기(View cross-account cross-region)** 섹션에서 **사용 설정(Enable)**을 선택한 다음 **콘솔에 선택기 표시(Show selector in the console)** 확인란을 선택하여 지표를 그래프로 표시하거나 경보를 생성할 때 CloudWatch 콘솔에 계정 선택기가 표시되도록 합니다.
1. **교차 계정 교차 리전 보기(View cross-account cross-region)**에서 다음 옵션 중 하나를 선택합니다.
+ **계정 ID 입력(Account Id Input)**. 이 옵션은 교차 계정 데이터를 볼 때 계정을 전환할 때마다 계정 ID를 수동으로 입력하라는 메시지를 표시합니다.
+ **AWS Organization account selector**. 이 옵션을 사용하면 Organizations와의 교차 계정 통합을 완료할 때 지정한 계정이 표시됩니다. 다음에 콘솔을 사용하면 CloudWatch는 교차 계정 데이터를 볼 때 선택할 수 있도록 이러한 계정의 드롭다운 목록을 표시합니다.
이렇게 하려면 먼저, 조직 관리 계정을 사용하여 CloudWatch가 조직의 계정 목록을 확인할 수 있도록 해야 합니다. 자세한 내용은 [(선택 사항) AWS Organizations와 통합](#cross-account-and-AWS-organizations) 섹션을 참조하세요.
+ **사용자 지정 계정 선택기(Custom account selector)**. 이 옵션은 계정 ID 목록을 입력하라는 메시지를 표시합니다. 다음에 콘솔을 사용하면 CloudWatch는 교차 계정 데이터를 볼 때 선택할 수 있도록 이러한 계정의 드롭다운 목록을 표시합니다.
또한 보려는 계정을 선택할 때 계정을 식별하는 데 도움이 되도록 각 계정에 대한 레이블을 입력할 수도 있습니다.
여기서 사용자가 지정하는 계정 선택기 설정은 모니터링 계정의 다른 모든 사용자가 아니라 해당 사용자에 대해서만 유지됩니다.
1. **사용(Enable)**을 선택합니다.
이 설정을 완료한 후 교차 계정 대시보드를 생성할 수 있습니다. 자세한 내용은 [사용자 지정 CloudWatch 대시보드 생성](create_dashboard.md) 섹션을 참조하세요.
**크로스 리전 기능**
크로스 리전 기능은 이 기능에 자동으로 내장되어 있습니다. 별도의 단계가 필요 없이 동일한 그래프나 동일한 대시보드에서 단일 계정으로 여러 리전의 지표를 표시할 수 있습니다. 경보에 대한 교차 리전 기능을 지원하지 않으므로 다른 리전의 지표를 감시하는 리전에서는 경보를 생성할 수 없습니다.
## (선택 사항) AWS Organizations와 통합
교차 계정 기능을 AWS Organizations와 통합하려면 조직의 모든 계정 목록을 모니터링 계정에서 사용할 수 있도록 만들어야 합니다.
**교차 계정 CloudWatch 기능을 사용 설정하여 조직의 모든 계정 목록에 액세스하려면**
1. 조직의 관리 계정에 로그인합니다.
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **설정(Settings)**을 선택한 다음 **구성(Configure)**을 선택합니다.
1. **조직의 계정 목록을 볼 수 있는 권한 부여(Grant permission to view the list of accounts in the organization)**에 대해 **특정 계정(Specific accounts)**을 선택하여 계정 ID 목록을 입력하라는 메시지를 표시합니다. 조직의 계정 목록은 여기에서 지정한 계정과만 공유됩니다.
1. **조직 계정 목록 공유(Share organization account list)**를 선택합니다.
1. **CloudFormation 템플릿 실행(Launch CloudFormation template)**을 선택합니다.
확인 화면에서 **Confirm**을 입력하고 **템플릿 실행(Launch template)**을 선택합니다.
## CloudWatch 교차 계정 설정 문제 해결
이 단원에는 CloudWatch의 교차 계정 콘솔 배포에 대한 문제 해결 팁이 포함되어 있습니다.
**교차 계정 데이터를 표시하는 데 액세스 거부 오류가 발생했습니다.**
다음을 확인하세요.
+ 모니터링 계정에는 **AWSServiceRoleForCloudWatchCrossAccount**라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 내용은 [Set Up a Monitoring Account](#setup_monitoring_account) 섹션을 참조하세요.
+ 각 공유 계정에는 **CloudWatch-CrossAccountSharingRole**이라는 역할이 있어야 합니다. 그렇지 않은 경우 이 역할을 생성해야 합니다. 자세한 내용은 [Set Up A Sharing Account](#setup_sharing_account) 섹션을 참조하세요.
+ 공유 역할은 모니터링 계정을 신뢰해야 합니다.
**CloudWatch 교차 계정 콘솔에 대해 역할이 올바르게 설정되었는지 확인하려면**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택합니다.
1. 역할 목록에서 필요한 역할이 있는지 확인합니다. 공유 계정에서 **CloudWatch-CrossAccountSharingRole**을 찾습니다. 모니터링 계정에서 **AWSServiceRoleForCloudWatchCrossAccount**를 찾습니다.
1. 공유 계정에 **CloudWatch-CrossAccountSharingRole**이 이미 있는 경우 **CloudWatch-CrossAccountSharingRole**을 선택합니다.
1. **신뢰 관계(Trust relationships)**, **신뢰 관계 편집(Edit trust relationship)**을 차례대로 선택합니다.
1. 정책에 모니터링 계정의 계정 ID 또는 모니터링 계정이 포함된 조직의 조직 ID가 나열되어 있는지 확인합니다.
**콘솔에 계정 드롭다운이 표시되지 않음**
먼저, 앞의 문제 해결 단원에서 설명한 대로 올바른 IAM 역할을 생성했는지 확인합니다. 이러한 항목이 올바르게 설정된 경우 [Enable Your Account to View Cross-Account Data](#view_cross_account)에 설명된 대로 이 계정에서 교차 계정 데이터를 볼 수 있도록 활성화해야 합니다.
## 교차 계정 액세스를 위한 모니터링 계정 권한
소스 계정의 작업에 성공적으로 액세스하려면 모니터링 계정의 사용자에게는 모니터링 계정의 해당 작업에서 모든 리소스(\$1)에 대해 동등한 권한이 있어야 합니다. 이는 모니터링 계정의 로컬 권한 요구 사항이며 소스 계정의 교차 계정 공유 역할에 있는 권한과 관련이 없습니다.
### 예제
소스 계정에서 로그 쿼리를 시작하려면 모니터링 계정에서 StartQuery에 대한 와일드카드(\$1) 액세스 권한을 보유해야 합니다. 소스 계정의 교차 계정 역할은 여전히 특정 로그 그룹으로 액세스를 제한할 수 있습니다.
**지원됨 - 와일드카드 리소스:**
```
{
"Effect": "Allow",
"Action": "logs:StartQuery",
"Resource": "*"
}
```
**지원되지 않음 - 특정 ARN:**
```
{
"Effect": "Allow",
"Action": "logs:StartQuery",
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:/aws/lambda/my-function:*"
}
```
## 교차 계정 사용 후 사용 중지 및 정리
CloudWatch에 대한 교차 계정 기능을 사용 중지하려면 다음 단계를 따릅니다.
**1단계: 크로스 계정 스택 또는 역할 제거**
가장 좋은 방법은 교차 계정 기능을 사용 설정하는 데 사용된 CloudFormation 스택을 제거하는 것입니다.
+ 각 공유 계정에서 [**CloudWatch-CrossAccountSharingRole**] 스택을 제거합니다.
+ AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용 설정한 경우 조직의 관리 계정에서 [**CloudWatch-CrossAccountListAccountsRole**] 스택을 제거합니다.
교차 계정 기능을 사용 설정하는 데 CloudFormation 스택을 사용하지 않은 경우 다음을 수행합니다.
+ 각 공유 계정에서 [**CloudWatch-CrossAccountSharingRole**] IAM 역할을 삭제합니다.
+ AWS Organizations를 사용하여 조직의 모든 계정에서 교차 계정 기능을 사용 설정한 경우 조직의 관리 계정에서 [**CloudWatch-CrossAccountSharing-ListAccountsRole**] IAM 역할을 삭제합니다.
**2단계: 서비스 연결 역할 제거**
모니터링 계정에서 [**AWSServiceRoleForCloudWatchCrossAccount**] 서비스 연결 IAM 역할을 삭제합니다.