# Vincular contas de monitoramento a contas de origem
Os tópicos desta seção explicam como configurar vínculos entre as contas de monitoramento e as contas de origem.
Recomendamos que você crie uma nova conta da AWS para servir como conta de monitoramento para a sua organização.
**Contents**
+ [Permissões requeridas](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [Permissões necessárias para criar links](#Unified-Cross-Account-permissions-setup)
+ [Permissões necessárias para monitorar em várias contas](#Unified-Cross-Account-permissions-monitor)
+ [Visão geral da configuração](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [Etapa 1: configurar uma conta de monitoramento](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [Etapa 2: (opcional) baixe um modelo do CloudFormation ou uma URL](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [Etapa 3: vincular as contas de origem](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [Use um modelo do CloudFormation para configurar todas as contas de uma organização ou unidade organizacional como contas de origem](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [Use um modelo do CloudFormation para configurar contas de origem individuais](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [Usar uma URL para configurar contas de origem individuais](#Unified-Cross-Account-SetupSource-SingleURL)
## Permissões requeridas
### Permissões necessárias para criar links
Para criar vínculos entre uma conta de monitoramento e uma conta de origem, você deve ter feito login com determinadas permissões.
+ **Para configurar uma conta de monitoramento**, você deve ter total acesso de administrador à conta de monitoramento ou fazer login nessa conta com as seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **Conta de origem, com o escopo de uma conta de monitoramento específica**: para criar, atualizar e gerenciar os vínculos para apenas uma conta de monitoramento especificada, você deve entrar na conta com pelo menos as permissões a seguir. Neste exemplo, a conta de monitoramento é a `999999999999`.
Se o vínculo não compartilhar todos os sete tipos de recursos (métricas, logs, rastreamentos, aplicações do Application Insights, serviços do Application Insights e objetivos de nível de serviço [SLOs] e monitoramentos do monitor de internet), você poderá omitir `cloudwatch:Link`, `logs:Link`, `xray:Link`, `applicationinsights:Link`, `application-signals:Link` ou `internetmonitor:Link`, conforme necessário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **Conta de origem com permissões para realizar a vinculação com qualquer conta de monitoramento**: para criar um vínculo para qualquer coletor de conta de monitoramento existente e compartilhar métricas, grupos de logs, rastreamentos, aplicações do Application Insights e monitoramentos do Monitor de Internet, você deverá iniciar uma sessão na conta de origem com permissões totais de administrador ou iniciar uma sessão com as permissões apresentadas a seguir.
Se o vínculo não compartilhar todos os sete tipos de recursos (métricas, logs, rastreamentos, aplicações do Application Insights, serviços do Application Insights e objetivos de nível de serviço [SLOs] e monitoramentos do monitor de internet), você poderá omitir `cloudwatch:Link`, `logs:Link`, `xray:Link`, `applicationinsights:Link`, `application-signals:Link` ou `internetmonitor:Link`, conforme necessário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Permissões necessárias para monitorar em várias contas
Depois que um link for criado, para visualizar as informações da conta de origem de uma conta de monitoramento, você deverá estar conectado a uma conta com uma das seguintes opções:
+ Acesso total do administrador na conta de monitoramento
+ As permissões a seguir entre contas, além das permissões para visualizar os tipos específicos de recursos que você monitorará
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## Visão geral da configuração
As etapas de alto nível a seguir mostram como configurar a observabilidade entre contas do CloudWatch.
**nota**
Recomendamos a criação de uma nova conta da AWS para servir como conta de monitoramento para a sua organização.
1. Configure uma conta de monitoramento dedicada.
1. (Opcional) Baixe um modelo do CloudFormation ou copie uma URL para vincular as contas de origem.
1. Vincule as contas de origem à conta de monitoramento.
Depois de concluir essas etapas, você poderá usar a conta de monitoramento para visualizar os dados de observabilidade das contas de origem.
## Etapa 1: configurar uma conta de monitoramento
Siga as etapas desta seção para configurar uma conta da AWS como conta de monitoramento para a observabilidade entre contas do CloudWatch.
**Pré-requisitos**
+ **Se você estiver configurando contas em uma organização do AWS Organizations como contas de origem**, obtenha o caminho da organização ou a ID da organização.
+ **Se você não estiver usando o Organizations para as contas de origem**, obtenha as IDs das contas de origem.
Para configurar uma conta como conta de monitoramento, é necessário ter determinadas permissões. Para obter mais informações, consulte [Permissões requeridas](#CloudWatch-Unified-Cross-Account-Setup-permissions).
**Para configurar uma conta de monitoramento**
1. Faça login na conta que você deseja usar como uma conta de monitoramento.
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, escolha **Configurações**.
1. Em **Monitoring account configuration** (Configuração de conta de monitoramento), escolha **Configure** (Configurar).
1. Em **Selecionar dados**, escolha se essa conta de monitoramento poderá visualizar dados de **Logs**, **Métricas**, **Rastreamentos**, **Application Insights: aplicações**, **Monitor de Internet: monitores** e **Application Signals: serviços, objetivos de nível de serviço (SLOs)** das contas de origem às quais ela está vinculada.
1. Em **List source accounts** (Listar contas de origem), insira as contas de origem que essa conta de monitoramento visualizará. Para identificar as contas de origem, insira IDs de conta individuais, caminhos de organizações ou os IDs de organizações. Se você inserir um caminho de organização ou um ID de organização, essa conta de monitoramento poderá visualizar dados de observabilidade de todas as contas vinculadas a essa organização.
Separe com vírgulas as entradas dessa lista.
**Importante**
Ao inserir um caminho organizacional, siga o formato exato. O ou-id deve terminar com uma `/` (um caractere de barra). Por exemplo, .: `o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. Em **Definir um rótulo a ser usado para identificar sua conta de origem**, você pode definir um rótulo usado para criar um modelo do CloudFormation. Em seguida, o rótulo é aplicado às contas de origem quando esse modelo é usado para vincular as contas de origem a essa conta de monitoramento.
Você pode especificar se deseja usar nomes de contas ou endereços de e-mail nesse rótulo e também usar variáveis, como `$AccountName`, `$AcccountEmail` e `$AcccountEmailNoDomain`.
**nota**
Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), a única opção compatível é usar rótulos personalizados, e as variáveis `$AccountName`, `$AcccountEmail` e `$AcccountEmailNoDomain` são todas resolvidas como *account-id* em vez da variável especificada.
1. Selecione **Configurar**.
**Importante**
O vínculo entre as contas de monitoramento e de origem não estará completo até que você configure as contas de origem. Para obter mais informações, consulte as seções a seguir.
## Etapa 2: (opcional) baixe um modelo do CloudFormation ou uma URL
Para vincular contas de origem a uma conta de monitoramento, recomendamos usar um modelo do AWS CloudFormation ou uma URL.
+ **Se você estiver vinculando uma organização inteira**, o CloudWatch fornece um modelo do CloudFormation.
+ **Se você estiver vinculando contas individuais**, use um modelo do CloudFormation ou uma URL fornecida pelo CloudWatch.
Para usar um modelo do CloudFormation, você deve baixá-lo durante essas etapas. Depois de vincular a conta de monitoramento a pelo menos uma conta de origem, o modelo do CloudFormation não estará mais disponível para download.
**Para baixar um modelo do CloudFormation ou copiar uma URL para vincular contas de origem à conta de monitoramento**
1. Faça login na conta que você deseja usar como uma conta de monitoramento.
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, escolha **Configurações**.
1. Em **Monitoring account configuration** (Configuração de conta de monitoramento), escolha **Resources to link accounts** (Recursos para vincular contas).
1. Execute um destes procedimentos:
+ Escolha a **organização da AWS** para obter um modelo a ser usado para vincular as contas de uma organização a essa conta de monitoramento.
+ Escolha **Any account** (Qualquer conta) para obter um modelo ou uma URL para configurar contas individuais como contas de origem.
1. Execute um destes procedimentos:
+ Se você escolheu **Organização da AWS**, escolha **Baixar modelo do CloudFormation**.
+ Se você escolheu **Any account** (Qualquer conta), escolha **Download CloudFormation template** (Baixar modelo do CloudFormation) ou **Copy URL** (Copiar URL).
1. (Opcional) Repita as etapas 5 e 6 para baixar ambos, o modelo do CloudFormation e a URL.
## Etapa 3: vincular as contas de origem
Use as etapas nestas seções para vincular contas de origem a uma conta de monitoramento.
Para vincular contas de monitoramento a contas de origem, é necessário ter determinadas permissões. Para obter mais informações, consulte [Permissões requeridas](#CloudWatch-Unified-Cross-Account-Setup-permissions).
### Use um modelo do CloudFormation para configurar todas as contas de uma organização ou unidade organizacional como contas de origem
Essas etapas pressupõem que você já tenha baixado o modelo CloudFormation necessário executando as etapas em [Etapa 2: (opcional) baixe um modelo do CloudFormation ou uma URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Para usar um modelo do CloudFormation para vincular as contas de uma organização ou unidade organizacional à conta de monitoramento**
1. Faça login na conta de gerenciamento da organização.
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Na barra de navegação esquerda, escolha **StackSets**.
1. Verifique se você fez login na região desejada e escolha **Create StackSet** (Criar StackSet).
1. Escolha **Próximo**.
1. Escolha **Template is ready** (O modelo está pronto) e escolha **Upload a template file** (Carregar um arquivo de modelo).
1. Escolha **Choose file** (Escolher arquivo), escolha o modelo que você baixou da conta de monitoramento e escolha **Open** (Abrir).
1. Escolha **Próximo**.
1. Na página **Specify stack details** (Especificar detalhes da pilha), digite o nome do StackSet e escolha **Next** (Avançar).
1. Em **Add stacks to stack set** (Adicionar pilhas ao conjunto de pilhas), escolha **Deploy new stacks** (Implantar novas pilhas).
1. Para **Deployment targets** (Destinos da implantação), escolha se deseja implantar em toda a organização ou nas unidades organizacionais especificadas.
1. Em **Specify regions** (Especificar regiões), escolha em quais regiões a observabilidade entre contas do CloudWatch será implantada.
1. Escolha **Próximo**.
1. Na página **Review** (Revisar), reveja as opções selecionadas e escolha **Submit** (Enviar).
1. Na guia **Stack instances** (Instâncias de pilha), atualize a tela até ver que as instâncias de pilha têm o status **CREATE\$1COMPLETE**.
### Use um modelo do CloudFormation para configurar contas de origem individuais
Essas etapas pressupõem que você já tenha baixado o modelo CloudFormation necessário executando as etapas em [Etapa 2: (opcional) baixe um modelo do CloudFormation ou uma URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Para usar um modelo do CloudFormation para configurar contas de origem individuais para observabilidade entre contas do CloudWatch**
1. Faça login na conta de origem.
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. No painel de navegação esquerda, escolha **Stacks** (Pilhas).
1. Verifique se fez login na região desejada e escolha **Create stack** (Criar pilha), **With new resources (standard)** (Com novos recursos (padrão).
1. Escolha **Próximo**.
1. Selecione **Carregar um arquivo de modelo**.
1. Escolha **Choose file** (Escolher arquivo), escolha o modelo que você baixou da conta de monitoramento e escolha **Open** (Abrir).
1. Escolha **Próximo**.
1. Na página **Specify stack details** (Especificar detalhes da pilha), insira um nome para a pilha, e escolha **Next** (Avançar).
1. Na página **Configurar opções de pilha**, selecione **Avançar**.
1. Na página **Review** (Revisar), escolha **Submit** (Enviar).
1. Na página de status da pilha, atualize a tela até ver que a pilha tem o status **CREATE\$1COMPLETE**.
1. Para usar esse mesmo modelo para vincular mais contas de origem a essa conta de monitoramento, saia dessa conta e entre na próxima conta de origem. Depois, repita as etapas de 2 a 12.
### Usar uma URL para configurar contas de origem individuais
Essas etapas pressupõem que você já tenha copiado a URL necessária executando as etapas em [Etapa 2: (opcional) baixe um modelo do CloudFormation ou uma URL](#Unified-Cross-Account-Setup-TemplateOrURL).
**Para usar uma URL para vincular contas de origem individuais à conta de monitoramento**
1. Faça login na conta que você deseja usar como uma conta de origem.
1. Insira a URL que você copiou da conta de monitoramento.
Você verá a página de configurações do CloudWatch, com algumas informações preenchidas.
1. Em **Selecionar dados**, escolha se essa conta de origem compartilhará dados de **Logs**, **Métricas**, **Rastreamentos**, **Application Insights: aplicações** e **Monitor de Internet: monitores** com essa conta de monitoramento.
Tanto para **Logs** quanto para **Métricas**, é possível escolher se deseja compartilhar todos os recursos ou um subconjunto com a conta de monitoramento.
1. (Opcional) Para compartilhar um subconjunto dos grupos de logs desta conta com a conta de monitoramento, selecione **Logs** e escolha **Filtrar logs**. Em seguida, use a caixa **Filtrar logs** para definir a estrutura de uma consulta para localizar os grupos de logs que você deseja compartilhar. A consulta usará o termo `LogGroupName` e um ou mais dos operadores apresentados a seguir.
+ `=` e da `!=`
+ `AND`
+ `OR`
+ `^` indica LIKE e `!^` indica NOT LIKE. Esses operadores podem ser usados somente como pesquisas de prefixo. Inclua um símbolo de `%` no final da string que você deseja pesquisar e incluir.
+ `IN` e `NOT IN`, usando parênteses (`( )`)
A consulta completa não deve ter mais de 2 mil caracteres e está limitada a cinco operadores condicionais. Os operadores condicionais são `AND` e `OR`. Não há limite para o número de outros operadores.
**dica**
Escolha **Visualizar amostras de consultas** para obter a sintaxe correta para os formatos de consulta comuns.
1. (Opcional) Para compartilhar um subconjunto de namespaces de métricas desta conta com a conta de monitoramento, selecione **Métricas** e escolha **Filtrar métricas**. Em seguida, use a caixa **Filtrar métricas** para definir a estrutura de uma consulta para localizar os namespaces de métricas que você deseja compartilhar. Use o termo `Namespace` e um ou mais dos operadores apresentados a seguir.
+ `=` e `!=`
+ `AND`
+ `OR`
+ `LIKE` e `NOT LIKE`. Esses operadores podem ser usados somente como pesquisas de prefixo. Inclua um símbolo de `%` no final da string que você deseja pesquisar e incluir.
+ `IN` e `NOT IN`, usando parênteses (`( )`)
A consulta completa não deve ter mais de 2 mil caracteres e está limitada a cinco operadores condicionais. Os operadores condicionais são `AND` e `OR`. Não há limite para o número de outros operadores.
**dica**
Escolha **Visualizar amostras de consultas** para obter a sintaxe correta para os formatos de consulta comuns.
1. Não altere o ARN em **Enter monitoring account configuration ARN** (Inserir ARN de configuração da conta de monitoramento).
1. A seção **Definir um rótulo para identificar sua conta de origem** é pré-preenchida com a opção de rótulo da conta de monitoramento, caso ela exista. Opcionalmente, escolha **Edit** (Editar) para alterar a URL.
**nota**
Nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA), a única opção compatível é usar rótulos personalizados, e as variáveis `$AccountName`, `$AcccountEmail` e `$AcccountEmailNoDomain` são todas resolvidas como *account-id* em vez da variável especificada.
1. Escolha **Link** (Vincular).
1. Insira **Confirm** na caixa e escolha **Confirm** (Confirmar).
1. Para usar essa mesma URL para vincular mais contas de origem a essa conta de monitoramento, saia dessa conta e entre na próxima conta de origem. Depois, repita as etapas de 2 a 7.