# 开启遥测审计与配置功能
<a name="telemetry-config-turn-on"></a>

通过 CloudWatch 控制台，可对单个 AWS 账户或整个组织的遥测进行审计与配置。若为组织级操作，以 AWS 组织管理账户或 CloudWatch 委托管理员账户身份操作时，CloudWatch 会自动发现组织内的所有 AWS 资源，并为您提供组织下所有成员账户的遥测配置可视能力。

只要不主动关闭，遥测配置就会持续运行。有关更多信息，请参阅 [关闭 CloudWatch 遥测配置功能](telemetry-config-turn-off.md)。

**Topics**
+ [为组织配置遥测审计功能](#telemetry-config-organization)
+ [为账户配置遥测审计功能](#telemetry-config-turn-on-account)
+ [注销委托管理员账户](#telemetry-config-deregister-administrator)
+ [关闭 AWS Organizations 的可信访问权限](#telemetry-config-turn-off-trusted-access)

## 为组织配置遥测审计功能
<a name="telemetry-config-organization"></a>

需以 AWS 组织管理账户或委托管理员账户身份，才能为所属组织开启遥测审计与配置功能。CloudWatch 将使用此账户来发现组织的 AWS 资源并配置资源的遥测设置。

在为组织配置遥测功能之前，需要启用 AWS Organizations 和 CloudWatch 之间的可信访问权限。启用可信访问权限后，CloudWatch 将创建名为 **AWSServiceRoleForObservabilityAdmin** 的服务相关角色，用以支持组织的资源发现和遥测配置。组织的所有成员账户中都会创建此角色。有关服务相关角色的更多信息，请参阅 [CloudWatch 遥测配置的服务相关角色权限](using-service-linked-roles.md#service-linked-role-telemetry-config)。有关 AWS Organizations 的更多信息，请参阅《AWS Organizations 用户指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)。

**为组织开启遥测审计功能**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 选择**组织**选项卡。

1. 在 **CloudWatch** 设置页面上的**组织设置管理**窗格中，选择**启用可信访问权限**。系统将出现**启用可信访问权限**页面。

   要查看角色策略，请选择**查看权限详细信息**，系统将在窗口中显示角色策略。选择**启用可信访问权限**，确认要向管理账户提供这些权限。

1. 在**管理设置**下的 **CloudWatch 遥测配置**模块中，进入 **Organizations 选项卡**并选择**开启**。

1. 为组织开启遥测配置功能后，系统将弹出通知提示。在通知中选择“前往遥测配置”。您可在**摄取**页面访问“遥测配置”功能，同时 CloudWatch 将开始发现组织内的 AWS 资源。在 CloudWatch 发现资源的过程中，相关资源信息将在**遥测配置**页面实时更新。
**注意**  
资源显示在**遥测配置**页面前的时间延迟取决于组织或账户中的成员账户和资源数量。

### 为组织注册委托管理员账户
<a name="telemetry-config-register-administrator"></a>

委托管理员账户是成员账户，可以共享服务管理权限的管理员访问权限。您要注册为委托管理员的账户必须位于组织中。组织的委托管理员账户可在 CloudWatch 之外使用，因此在执行此步骤之前，请务必了解此账户类型。有关更多信息，请参阅《AWS Organizations 用户指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)。

要移除或更改委托管理员账号，请先注销该账户。有关更多信息，请参阅 [注销委托管理员账户](#telemetry-config-deregister-administrator)。

**配置委托管理员账户**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 选择**组织**选项卡。

1. 在**组织设置管理**窗格中，选择**注册委托管理员**。

1. 在**注册委托管理员**对话框的**委托管理员账户 ID** 中，输入 12 位数的组织成员账户 ID。

1. 选择**注册委托管理员**。**CloudWatch 设置**页面顶部将弹出提示信息，显示账户注册成功。要查看有关委托管理员账户的信息，选中**委托管理员**下方的数字即可。

### 为组织配置遥测审计功能
<a name="telemetry-config-turn-on-organization"></a>

为 AWS Organizations 配置遥测功能，监控所有成员账户中 AWS 资源的遥测数据。此配置同时也会为单个账户设置遥测功能。可以选择仅为当前账户配置遥测功能。有关更多信息，请参阅 [为账户配置遥测审计功能](#telemetry-config-turn-on-account)。

可以选择对所有成员账户禁用可信访问权限。有关更多信息，请参阅 [关闭 AWS Organizations 的可信访问权限](#telemetry-config-turn-off-trusted-access)。

**为组织配置遥测审计功能**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**摄取**。

1. 选择**数据来源选项卡**，然后选择**启用资源发现**按钮。CloudWatch 将开始发现您组织内的所有 AWS 资源。在 CloudWatch 发现资源的过程中，相关资源信息将在**概览**页面实时更新。
**注意**  
资源显示在**概览**页面前的时间延迟取决于组织中的成员账户数量。

## 为账户配置遥测审计功能
<a name="telemetry-config-turn-on-account"></a>

为 AWS 账户配置遥测功能，用以监控该账户中 AWS 资源的遥测数据。如果已在 AWS Organizations 中创建组织，则改为直接为组织配置遥测功能。有关更多信息，请参阅 [为组织配置遥测审计功能](#telemetry-config-turn-on-organization)。

**为 AWS 账户配置遥测功能**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**遥测配置**。

1. 进入**数据来源**选项卡，勾选**启用资源发现**。CloudWatch 将开始发现账户内的 AWS 资源。在 CloudWatch 发现资源的过程中，相关资源信息将在**概览**页面实时更新。
**注意**  
资源显示在**概览**页面前的时间延迟取决于账户中的资源数量。

## 注销委托管理员账户
<a name="telemetry-config-deregister-administrator"></a>

在关闭 AWS Organizations 的可信访问权限之前，请先注销委托管理员账户。如果委托管理员账户不再有权访问用于遥测配置的相应 AWS 资源，或者要选择其他成员账户作为委托管理员，亦可注销该委托管理员账户。此账户将无法为 AWS Organizations 执行账户管理任务。有关更多信息，请参阅《AWS Organizations 用户指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)。

**注销委托管理员账户**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 在**组织**选项卡上，选择**取消注册**。

1. 在**取消注册委托管理员**页面，选择**取消注册**。

要将账户注册为委托管理员，请参阅 [为组织注册委托管理员账户](#telemetry-config-register-administrator)。

## 关闭 AWS Organizations 的可信访问权限
<a name="telemetry-config-turn-off-trusted-access"></a>

可信访问权限可将 AWS Organizations中管理账户的功能扩展到其他 AWS 服务。当您关闭可信访问权限时，组织与所有 AWS 服务之间的可信访问权限均将停止，而非仅限于 CloudWatch。

如果您不再想为组织开启可信访问权限，则可以将其关闭。有关更多信息，请参阅《AWS Organizations 用户指南》中的 [Amazon CloudWatch 和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)。

**注意**  
请先取消注册委托管理员账户，再关闭组织的可信访问权限。有关更多信息，请参阅 [注销委托管理员账户](#telemetry-config-deregister-administrator)。

**关闭 AWS Organizations 的可信访问权限**

1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 选择**组织**选项卡。

1. 在**组织管理设置**部分，选择**关闭**。