本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 CloudWatch 和 AWS Organizations
您可以将 Amazon AWS Organizations CloudWatch 用于以下用例:
+ 从 CloudWatch 控制台的中央视图发现和了解 AWS 资源的遥测配置状态。这简化了审核组织或账户中多种资源类型的遥测收集配置的过程。 AWS 您必须开启可信访问权限才能在整个组织中使用遥测配置。
有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[审计 CloudWatch 遥测配置](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html)。
+ 在 “网络流量监控”(Amazon CloudWatch 网络监控的一项功能)中使用多个账户。可通过网络流量监测仪近乎实时地查看 Amazon EC2 实例之间流量的网络性能。开启可信访问权限以与 Organizations 集成后,您可以创建监测仪来直观查看多个账户的网络性能详细信息。
有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[初始化网络流量监控器以进行多账户监控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html)。
使用以下信息来帮助您将Amazon CloudWatch 与之集成 AWS Organizations。
## 启用集成时,创建了一个服务相关角色
在贵组织的管理账户中创建以下[服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。服务关联角色会在您启用可信访问权限时自动在成员账户中创建。此角色 CloudWatch 允许在组织中的组织账户中执行支持的操作。只有在 CloudWatch 和 Organizations 之间禁用可信访问权限或从组织中移除成员帐户后,才能删除或修改此角色。
+ `AWSServiceRoleForObservabilityAdmin`
## 服务相关角色使用的服务委托人
上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。使用的服务相关角色向以下服务主体 CloudWatch 授予访问权限:
+ `observabilityadmin.amazonaws.com`
+ `networkflowmonitor.amazonaws.com`
+ `topology.networkflowmonitor.amazonaws.com`
## 使用启用可信访问 CloudWatch
有关开启可信访问权限所需权限的信息,请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。
您可以使用 Amazon CloudWatch 控制台或控制台启用可信访问。 AWS Organizations
**重要**
我们强烈建议您尽可能使用亚马逊 CloudWatch 控制台或工具来启用与 Organizations 的集成。这样,Amazon 就可以 CloudWatch 执行其所需的任何配置,例如创建服务所需的资源。只有在无法使用 Amazon 提供的工具启用集成时,才能继续执行这些步骤 CloudWatch。有关更多信息,请参阅[此说明](orgs_integrate_services.md#important-note-about-integration)。
如果您使用 Amazon CloudWatch 控制台或工具启用可信访问,则无需完成这些步骤。
**使用 CloudWatch 控制台开启可信访问**
请参阅[《*Amazon CloudWatch 用户指南》*中的开启 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。
在中开启可信访问时,将启用遥测审计 CloudWatch,并且可以在 Network Flow Monitor 中使用多个帐户。
您可以使用 AWS Organizations 控制台、运行 AWS CLI 命令或在其中一个中调用 API 操作来启用可信访问 AWS SDKs。
------
#### [ AWS 管理控制台 ]
**要使用 Organizations 控制台启用信任服务访问权限,请执行以下操作:**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在导航窗格中,选择**服务**。
1. 在服务列表 CloudWatch中选择 **Amazon**。
1. 选择 **Enable trusted access (启用可信访问)**。
1. 在 “**为 Amazon 启用可信访问 CloudWatch**” 对话框中,键入 **enab** le 进行确认,然后选择 “**启用可信访问**”。
1. 如果您只是 Amazon 的管理员 AWS Organizations,请告诉 Amazon CloudWatch 管理员他们现在可以 AWS Organizations 从服务控制台启用该服务。
------
#### [ AWS CLI, AWS API ]
**使用 OrganizationsCLI/SDK 启用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作启用可信服务访问权限:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
运行以下命令,将 Amazon 启用 CloudWatch 为 Organizations 的可信服务。
```
$ aws organizations enable-aws-service-access \
--service-principal observabilityadmin.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[启用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## 使用关闭可信访问 CloudWatch
有关禁用信任访问所需权限的信息,请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
您可以使用 Amazon CloudWatch 或 AWS Organizations 工具禁用可信访问。
**重要**
我们强烈建议您尽可能使用亚马逊 CloudWatch 控制台或工具来禁用与 Organizations 的集成。这样,Amazon 就可以 CloudWatch 执行其所需的任何清理工作,例如删除服务不再需要的资源或访问角色。只有当您无法使用 Amazon 提供的工具禁用集成时,才能继续执行这些步骤 CloudWatch。
如果您使用 Amazon CloudWatch 控制台或工具禁用可信访问,则无需完成这些步骤。
**使用 CloudWatch 控制台关闭可信访问**
请参阅《*Amazon CloudWatch 用户*指南》中的[关闭 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html)
当您在中关闭可信访问时 CloudWatch,遥测审计将不再处于活动状态,并且您无法再在 Network Flow Monitor 中使用多个帐户。
您可以通过运行 Organizations AWS CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 禁用信任服务访问权限**
使用以下 AWS CLI 命令或 API 操作禁用可信服务访问权限:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
运行以下命令将 Amazon 禁用 Organization CloudWatch s 作为可信服务。
```
$ aws organizations disable-aws-service-access \
--service-principal observabilityadmin.amazonaws.com
```
如果成功,此命令不会产生任何输出。
+ AWS API:[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 为注册委派管理员账号 CloudWatch
当您将成员账户注册为组织的委托管理员账户时,该账户中的用户和角色可以执行管理操作 CloudWatch ,否则只能由使用组织管理账户登录的用户或角色执行这些操作。使用委派管理员帐户可以帮助您将组织管理与中的功能管理分开 CloudWatch。
**最小权限**
只有 Organizations 管理账户中的管理员才能将成员账户注册为组织 CloudWatch 中的委托管理员账户。
您可以使用 CloudWatch 控制台注册委托管理员账户,也可以使用带有或 SDK 的 Organizations `RegisterDelegatedAdministrator` API 操作来注册委托管理员账户。 AWS Command Line Interface
有关如何使用 CloudWatch控制台注册委托管理员账户的信息,请参阅 *Amazon CloudWatch 用户指南*中的[开启 CloudWatch 遥测审计](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。
在中注册委派管理员帐户时 CloudWatch,您可以使用该帐户通过遥测审计和网络流量监控器进行管理操作。
## 取消注册的委派管理员 CloudWatch
**最小权限**
只有使用 Organizations 管理账户登录的管理员才能在组织 CloudWatch 中取消注册委派管理员账户。
你可以使用 CloudWatch控制台取消注册委派管理员账户,也可以使用带有或 SDK 的 Organizations `DeregisterDelegatedAdministrator` API 操作。 AWS Command Line Interface 有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[取消注册委托管理员账户](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。
当您在中注销委派管理员帐户时 CloudWatch,您将无法再使用该帐户进行遥测审计和网络流量监控器的管理操作。