# 将监控账户与源账户相关联
本节中的主题介绍了如何在监控账户和源账户之间设置关联。
我们建议您创建一个新的 AWS 账户作为贵组织的监控账户。
**Contents**
+ [必要的权限](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [创建链接所需的权限](#Unified-Cross-Account-permissions-setup)
+ [跨账户监控所需的权限](#Unified-Cross-Account-permissions-monitor)
+ [设置概述](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [步骤 1:设置监控账户](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [步骤 2:(可选)下载 CloudFormation 模板或复制 URL](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [步骤 3:关联源账户](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [使用 CloudFormation 模板将组织或组织单位中的所有账户设置为源账户](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [使用 CloudFormation 模板设置单个源账户](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [使用 URL 设置单个源账户](#Unified-Cross-Account-SetupSource-SingleURL)
## 必要的权限
### 创建链接所需的权限
如要在监控账户和源账户之间创建关联,您必须以特定权限登录。
+ **设置监控账户** – 您必须拥有监控账户的完全管理员访问权限,或者使用以下权限登录该账户:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **源账户,范围限定为特定的监控账户** – 如要仅为一个指定的监控账户创建、更新和管理关联,您必须至少使用以下权限登录该账户。在本示例中,监控账户为 `999999999999`。
如果此关联未打算共享所有七种资源类型 [指标、日志、跟踪、Application Insights 应用程序、Application Signals 服务和服务目标级别(SLO)以及 Internet Monitor 网络监测仪],则可以根据需要省略 `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` 或 `internetmonitor:Link`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **源账户,具有关联到任何监控账户的权限** – 要创建与任何现有监控账户接收器的关联并共享指标、日志组、跟踪、Application Insights 应用程序和网络监测仪,您必须以完全管理员权限登录源账户或使用以下权限登录
如果此关联未打算共享所有七种资源类型 [指标、日志、跟踪、Application Insights 应用程序、Application Signals 服务和服务目标级别(SLO)以及 Internet Monitor 网络监测仪],则可以根据需要省略 `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` 或 `internetmonitor:Link`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### 跨账户监控所需的权限
创建链接后,要查看来自监控账户的源账户信息,必须使用以下选项之一登录账户:
+ 监控账户的完整管理员访问权限
+ 以下跨账户权限以及查看您将要监控的特定类型的资源所需的权限
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## 设置概述
以下高级步骤向您展示了如何设置 CloudWatch 跨账户可观测性。
**注意**
我们建议创建一个新的 AWS 账户,用作贵组织的监控账户。
1. 设置一个专用的监控账户。
1. (可选)下载 CloudFormation 模板或复制 URL 以关联源账户。
1. 将源账户关联到该监控账户。
完成这些步骤后,您可以使用该监控账户查看源账户的可观测性数据。
## 步骤 1:设置监控账户
按照本节中的步骤将 AWS 账户设置为 CloudWatch 跨账户可观测性的监控账户。
**先决条件**
+ **如果您将 AWS Organizations 组织中的账户设置为源账户** – 获取组织路径或组织 ID。
+ **如果您不使用 Organizations 作为源账户** – 获取源账户的账户 ID。
要将一个账户设置为监控账户,您必须具有特定的权限。有关更多信息,请参阅 [必要的权限](#CloudWatch-Unified-Cross-Account-Setup-permissions)。
**设置监控账户**
1. 登录要用作监控账户的账户。
1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。
1. 在左侧导航窗格中,选择**设置**。
1. 通过 **Monitoring account configuration**(监控账户配置),选择 **Configure**(配置)。
1. 对于**选择数据**,选择该监控账户是否能够查看所关联源账户的**日志**、**指标**、**跟踪**、**Application Insights – 应用程序**、**Internet Monitor –网络监测仪**和 **Application Signals – 服务、服务级别目标(SLO)**数据。
1. 对于 **List source accounts**(列出源账户),输入该监控账户将查看的源账户。要标识源账户,请输入单个账户 ID、组织路径或组织 ID。如果您输入组织路径或组织 ID,则该监控账户可以查看该组织中所有关联账户的可观测性数据。
用逗号分隔此列表中的条目。
**重要**
输入组织路径时,请遵循确切的格式。ou-id 必须以 `/`(斜杠字符)结尾。例如:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. 对于**定义用于标识源账户的标签**,可以定义用于创建 CloudFormation 模板的标签。然后,当该模板用于将源账户链接到此监控账户时,该标签将应用于源账户。
您可以在此标签中指定是使用账户名还是电子邮件地址,也可以使用 `$AccountName`、`$AcccountEmail`、`$AcccountEmailNoDomain` 等变量。
**注意**
在 AWS GovCloud(美国东部)和 AWS GovCloud(美国西部)区域,唯一支持的选项是使用自定义标签,并且 `$AccountName`、`$AcccountEmail`、`$AcccountEmailNoDomain` 变量都解析为 *account-id*,而不是指定的变量。
1. 选择**配置**。
**重要**
在您配置源账户之前,监控账户和源账户之间的关联是不完整的。有关更多信息,请参阅以下部分。
## 步骤 2:(可选)下载 CloudFormation 模板或复制 URL
要将源账户关联到监控账户,我们建议使用 AWS CloudFormation 模板或 URL。
+ **如果您要关联整个组织** – CloudWatch 提供了一个 CloudFormation 模板。
+ **如果您要关联单个账户** – 使用 CloudFormation 模板或 CloudWatch 提供的 URL。
要使用 CloudFormation 模板,您必须在以下步骤中下载该模板。将监控账户与至少一个源账户关联后,将不能再下载 CloudFormation 模板。
**下载 CloudFormation 模板或复制 URL,以便将源账户关联到监控账户**
1. 登录要用作监控账户的账户。
1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。
1. 在左侧导航窗格中,选择**设置**。
1. 通过 **Monitoring account configuration**(监控账户配置),选择 **Resources to link accounts**(用于关联账户的资源)。
1. 请执行以下操作之一:
+ 选择 **AWS organization** 以获取用于将组织中的账户关联到该监控账户的模板。
+ 选择 **Any account**(任何账户)以获取用于将单个账户设置为源账户的模板或 URL。
1. 请执行以下操作之一:
+ 如果您选择了 **AWS organization**,请选择 **Download CloudFormation template**(下载 CloudFormation 模板)。
+ 如果您选择了 **Any account**(任何账户),请选择 **Download CloudFormation template**(下载 CloudFormation 模板)或 **Copy URL**(复制 URL)。
1. (可选)重复步骤 5-6以下载 CloudFormation 模板并复制 URL。
## 步骤 3:关联源账户
按照以下步骤将源账户关联到监控账户。
要将监控账户与源账户相关联,您必须具有特定的权限。有关更多信息,请参阅 [必要的权限](#CloudWatch-Unified-Cross-Account-Setup-permissions)。
### 使用 CloudFormation 模板将组织或组织单位中的所有账户设置为源账户
以下步骤假设您已经通过执行 [步骤 2:(可选)下载 CloudFormation 模板或复制 URL](#Unified-Cross-Account-Setup-TemplateOrURL) 中的步骤下载了必要的 CloudFormation 模板。
**使用 CloudFormation 模板将组织或组织单位中的账户关联到监控账户**
1. 登录到组织的管理账户。
1. 通过以下网址打开 CloudFormation 控制台:[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)。
1. 在左侧导航栏中,选择 **StackSets**(堆栈集)。
1. 检查您是否已登录到所需的区域,然后选择 **Create StackSet**(创建堆栈集)。
1. 选择**下一步**。
1. 选择 **Template is ready**(模板已准备就绪),然后选择 **Upload a template file**(上传模板文件)。
1. 选择 **Choose file**(选择文件),然后选择从监控账户下载的模板,再选择 **Open**(打开)。
1. 选择**下一步**。
1. 对于 **Specify StackSet details**(指定堆栈集详细信息),输入堆栈集名称并选择 **Next**(下一步)。
1. 对于 **Add stacks to stack set**(将堆栈添加到堆栈集),选择 **Deploy new stacks**(部署新堆栈)。
1. 对于 **Deployment targets**(部署目标),选择是部署到整个组织还是部署到指定的组织单位。
1. 对于 **Specify regions**(指定区域),选择要将 CloudWatch 跨账户可观测性部署到哪些区域。
1. 选择**下一步**。
1. 在 **Review**(审核)页面上,确认所选的选项并选择 **Submit**(提交)。
1. 在 **Stack instances**(堆栈实例)选项卡中,刷新屏幕,直到您看到堆栈实例的状态为 **CREATE\$1COMPLETE**。
### 使用 CloudFormation 模板设置单个源账户
以下步骤假设您已经通过执行 [步骤 2:(可选)下载 CloudFormation 模板或复制 URL](#Unified-Cross-Account-Setup-TemplateOrURL) 中的步骤下载了必要的 CloudFormation 模板。
**使用 CloudFormation 模板为 CloudWatch 跨账户可观测性设置单个源账户**
1. 登录到源账户。
1. 通过以下网址打开 CloudFormation 控制台:[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)。
1. 在左侧导航栏中,选择 **Stacks**(堆栈)。
1. 检查您是否已登录到所需的区域,然后依次选择 **Create stack**(创建堆栈)、**With new resources (standard)**(使用新资源(标准))。
1. 选择**下一步**。
1. 选择**上传模板文件**。
1. 选择 **Choose file**(选择文件),然后选择从监控账户下载的模板,再选择 **Open**(打开)。
1. 选择**下一步**。
1. 对于 **Specify stack details**(指定堆栈详细信息),输入堆栈名称并选择 **Next**(下一步)。
1. 在**配置堆栈选项**页面上,请选择**下一步**。
1. 在 **Review**(审核)页面上,选择 **Submit**(提交)。
1. 在堆栈的状态页面上,刷新屏幕,直到您看到堆栈的状态为 **CREATE\$1COMPLETE**。
1. 要使用同一模板将更多源账户关联到该监控账户,请退出此源账户并登录到下一个源账户。然后重复步骤 2-12。
### 使用 URL 设置单个源账户
以下步骤假设您已经通过执行 [步骤 2:(可选)下载 CloudFormation 模板或复制 URL](#Unified-Cross-Account-Setup-TemplateOrURL) 中的步骤复制了必要的 URL。
**使用 URL 将单个源账户关联到监控账户**
1. 登录要用作源账户的账户。
1. 输入从监控账户复制的 URL。
您会看到 CloudWatch 设置页面,其中填写了一些信息。
1. 对于**选择数据**,选择该源账户是否将**日志**、**指标**、**跟踪**、**Application Insights – 应用程序**和**网络监测仪 - 监控**数据共享到该监控账户。
对于**日志**和**指标**,您可以选择是与监控账户共享所有资源还是共享部分资源。
1. (可选)要与监控账户共享此账户日志组的子集,请选择**日志**,然后选择**筛选日志**。然后,使用**筛选日志**框构造查询以查找要共享的日志组。该查询将使用条件 `LogGroupName` 和以下一个或多个操作数。
+ `=` 和 `!=`
+ `AND`
+ `OR`
+ `^` 表示 LIKE,`!^` 表示 NOT LIKE。这些只能用作前缀搜索。在要搜索和包含的字符串末尾加上 `%`。
+ `IN` 和 `NOT IN`,使用圆括号 (`( )`)
完整的查询不得超过 2000 个字符,并且限制为五个条件操作数。条件操作数为 `AND` 和 `OR`。其他操作数的数量没有限制。
**提示**
选择**查看示例查询**,以查看常见查询格式的正确语法。
1. (可选)要与监控账户共享此账户指标命名空间的子集,请选择**指标**,然后选择**筛选指标**。然后,使用**筛选指标**框构造查询以查找要共享的指标命名空间。使用条件 `Namespace` 和以下一个或多个操作数。
+ `=` 和 `!=`
+ `AND`
+ `OR`
+ `LIKE` 和 `NOT LIKE` 这些只能用作前缀搜索。在要搜索和包含的字符串末尾加上 `%`。
+ `IN` 和 `NOT IN`,使用圆括号 (`( )`)
完整的查询不得超过 2000 个字符,并且限制为五个条件操作数。条件操作数为 `AND` 和 `OR`。其他操作数的数量没有限制。
**提示**
选择**查看示例查询**,以查看常见查询格式的正确语法。
1. 请勿在 **Enter monitoring account configuration ARN**(输入监控账户配置 ARN)中更改 ARN。
1. **定义一个标签来标识源账户**部分将预先填充监控账户中选择的标签(如有)。或者,也可以选择 **Edit**(编辑)来更改标签。
**注意**
在 AWS GovCloud(美国东部)和 AWS GovCloud(美国西部)区域,唯一支持的选项是使用自定义标签,并且 `$AccountName`、`$AcccountEmail`、`$AcccountEmailNoDomain` 变量都解析为 *account-id*,而不是指定的变量。
1. 选择**链接**。
1. 在此框中输入 **Confirm**,然后选择 **Confirm**(确认)。
1. 要使用同一 URL 将更多源账户关联到该监控账户,请退出此源账户并登录到下一个源账户。然后重复步骤 2-7。