本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 連結監控帳戶與來源帳戶
本節中的主題會說明如何設定監控帳戶和來源帳戶之間的連結。
我們建議您建立新的 AWS 帳戶,做為組織的監控帳戶。
**Contents**
+ [必要的許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)
+ [建立連結所需的許可](#Unified-Cross-Account-permissions-setup)
+ [跨帳戶監控所需的許可](#Unified-Cross-Account-permissions-monitor)
+ [設定概觀](#CloudWatch-Unified-Cross-Account-Setup-overview)
+ [步驟 1:設定監控帳戶](#Unified-Cross-Account-Setup-ConfigureMonitoringAccount)
+ [步驟 2:(選用) 下載 CloudFormation 範本或 URL](#Unified-Cross-Account-Setup-TemplateOrURL)
+ [步驟 3:連結來源帳戶](#Unified-Cross-Account-Setup-ConfigureSourceAccount)
+ [使用 CloudFormation 範本將組織或組織單位中的所有帳戶設定為來源帳戶](#Unified-Cross-Account-SetupSource-OrgTemplate)
+ [使用 CloudFormation 範本來設定個別來源帳戶](#Unified-Cross-Account-SetupSource-SingleTemplate)
+ [使用 URL 來設定個別來源帳戶](#Unified-Cross-Account-SetupSource-SingleURL)
## 必要的許可
### 建立連結所需的許可
若要在監控帳戶和來源帳戶之間建立連結,您必須擁有特定許可並登入帳戶。
+ **若要設定監控帳戶**:您必須在監控帳戶中擁有完整的系統管理員存取權,或者您必須擁有下列許可並登入該帳戶:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSinkModification",
"Effect": "Allow",
"Action": [
"oam:CreateSink",
"oam:DeleteSink",
"oam:PutSinkPolicy",
"oam:TagResource"
],
"Resource": "*"
},
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": ["oam:Get*", "oam:List*"],
"Resource": "*"
}
]
}
```
------
+ **範圍為特定監控帳戶的來源帳戶**:若要僅針對某個指定監控帳戶建立、更新和管理連結,您必須擁有下列許可並登入該帳戶。在此範例中,監控帳戶為 `999999999999`。
如果連結不會共用所有七種資源類型 (指標、日誌、追蹤、Application Insights 應用程式、Application Signals 服務、服務水準目標 (SLO)、Internet Monitor),可以視需要省略 `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` 或 `internetmonitor:Link`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink",
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:link/*"
},
{
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Effect": "Allow",
"Resource": "arn:*:oam:*:*:sink/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": [
"999999999999"
]
}
}
},
{
"Action": "oam:ListLinks",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
+ **具有連結至任何監控帳戶之許可的來源帳戶**:若要建立任何現有監控帳戶接收器的連結並共用指標、日誌群組、追蹤、Application Insights 應用程式和 Internet Monitor,您必須擁有完整管理員許可並登入來源帳戶,或擁有下列許可並登入該帳戶
如果連結不會共用所有七種資源類型 (指標、日誌、追蹤、Application Insights 應用程式、Application Signals 服務、服務水準目標 (SLO)、Internet Monitor),可以視需要省略 `cloudwatch:Link`、`logs:Link`、`xray:Link`、`applicationinsights:Link`、`application-signals:Link` 或 `internetmonitor:Link`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:List*",
"oam:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Action": "cloudwatch:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "xray:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "logs:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "applicationinsights:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "internetmonitor:Link",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "application-signals:Link",
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### 跨帳戶監控所需的許可
建立連結後,若要從監控帳戶檢視來源帳戶資訊,必須使用下列其中一項登入帳戶:
+ 監控帳戶中的完整管理員存取權
+ 除可檢視將監控之特定類型資源的許可外,亦需具備以下跨帳戶許可
```
{
"Sid": "AllowReadOnly",
"Effect": "Allow",
"Action": [
"oam:Get*",
"oam:List*"
],
"Resource": "*"
}
```
## 設定概觀
下列高階步驟會示範如何設定 CloudWatch 跨帳戶觀察功能。
**注意**
我們建議您建立新的 AWS 帳戶,以做為組織的監控帳戶。
1. 設定專用的監控帳戶。
1. (選用) 下載 CloudFormation 範本或複製 URL 以連結來源帳戶。
1. 將來源帳戶連結至監控帳戶。
完成這些步驟後,您可以使用監控帳戶來檢視來源帳戶的可觀察性資料。
## 步驟 1:設定監控帳戶
遵循本節中的步驟,將 AWS 帳戶設定為 CloudWatch 跨帳戶可觀測性的監控帳戶。
**先決條件**
+ **如果您要將 AWS Organizations 組織中的帳戶設定為來源帳戶** – 取得組織路徑或組織 ID。
+ **如果您未將 Organizations 用於來源帳戶**:請取得來源帳戶的帳戶 ID。
若要將帳戶設定為監控帳戶,您必須具備特定許可。如需詳細資訊,請參閱[必要的許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)。
**設定監控帳戶**
1. 登入您想要用作監控帳戶的帳戶。
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在 **Monitoring account configuration** (監控帳戶組態) 中,選擇 **Configure** (設定)。
1. 對於**選取資料**,選擇此監控帳戶能否從其連結的來源帳戶檢視**日誌**、**指標**、**追蹤**、**Application Insights – 應用程式**、**Internet Monitor – 監視器**和 **Application Signals – 服務、服務水準目標 (SLO)** 資料。
1. 在 **List source accounts** (列出來源帳戶) 中,輸入此監控帳戶可檢視的來源帳戶。若要識別來源帳戶,請輸入個別帳戶 ID、組織路徑或組織 ID。如果您輸入組織路徑或組織 ID,系統會允許此監控帳戶檢視該組織中所有連結帳戶的可觀察性資料。
以逗號分隔的此清單中的項目。
**重要**
輸入組織路徑時,請嚴格遵循格式要求。ou-id 必須以 `/` (斜線字元) 結尾。例如:`o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/`
1. 對於**定義用於識別來源帳戶的標籤**,您可以定義用於建立 CloudFormation 範本的標籤。然後,當系統使用該範本將來源帳戶連結至此監控帳戶時,標籤會套用至來源帳戶。
可以指定是否在此標籤中使用帳戶名稱或電子郵件地址,以及是否使用 `$AccountName`、`$AcccountEmail`、`$AcccountEmailNoDomain` 等變數。
**注意**
在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 區域中,唯一支援的選項是使用自訂標籤,而 `$AccountName`、 `$AcccountEmail`和 `$AcccountEmailNoDomain`變數全部解析為 *account-id*,而不是指定的變數。
1. 選擇 **Configure** (設定)。
**重要**
設定來源帳戶之後,監控帳戶和來源帳戶之間的連結才會完成。如需詳細資訊,請參閱下列區段。
## 步驟 2:(選用) 下載 CloudFormation 範本或 URL
若要將來源帳戶連結至監控帳戶,建議您使用 AWS CloudFormation 範本或 URL。
+ **如果您要連結整個組織** – CloudWatch 提供 CloudFormation 範本。
+ **如果您要連結個別帳戶** – 使用 CloudWatch 提供的 CloudFormation 範本或 URL。
若要使用 CloudFormation 範本,您必須在這些步驟期間下載範本。將監控帳戶連結至至少一個來源帳戶後,即無法再下載 CloudFormation 範本。
**下載 CloudFormation 範本或複製 URL,以將來源帳戶連結至監控帳戶**
1. 登入您想要用作監控帳戶的帳戶。
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側的導覽窗格中,選擇**設定**。
1. 在 **Monitoring account configuration** (監控帳戶組態) 中,選擇 **Resources to link accounts** (要連結帳戶的資源)。
1. 執行以下任意一項:
+ 選擇 **AWS 組織**以取得範本,並用來將組織中的帳戶連結至此監視帳戶。
+ 選擇 **Any account** (任何帳戶) 以取得用於將個別帳戶設定為來源帳戶的範本或 URL。
1. 執行以下任意一項:
+ 如果您選擇 **AWS 組織**,請選擇**下載 CloudFormation 範本**。
+ 如果您選擇 **Any account** (任何帳戶),請選擇 **Download CloudFormation template** (下載 CloudFormation 範本) 或 **Copy URL** (複製 URL)。
1. (選用) 重複步驟 5-6 以下載 CloudFormation 範本和 URL。
## 步驟 3:連結來源帳戶
請依照這些章節中的步驟,將來源帳戶連結至監控帳戶。
若要將監控帳戶與來源帳戶連結,您必須具備特定許可。如需詳細資訊,請參閱[必要的許可](#CloudWatch-Unified-Cross-Account-Setup-permissions)。
### 使用 CloudFormation 範本將組織或組織單位中的所有帳戶設定為來源帳戶
這些步驟假設您已透過執行 中的步驟來下載必要的 CloudFormation 範本[步驟 2:(選用) 下載 CloudFormation 範本或 URL](#Unified-Cross-Account-Setup-TemplateOrURL)。
**使用 CloudFormation 範本將組織或組織單位中的帳戶連結至監控帳戶**
1. 登入組織的管理帳戶。
1. 在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。
1. 在左側導覽窗格中,選擇 **StackSets**。
1. 檢查您是否已登入所需的區域,然後選擇 **Create StackSet** (建立 StackSet)。
1. 選擇 **Next** (下一步)。
1. 選擇 **Template is ready** (範本已準備就緒),然後選擇 **Upload a template file** (上傳範本檔案)。
1. 選擇 **Choose file** (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 **Open** (開啟)。
1. 選擇**下一步**。
1. 在 **Specify StackSet details** (指定 StackSet 詳細資訊) 中,請輸入 StackSet 名稱,然後選擇 **Next** (下一步)。
1. 在 **Add stacks to stack set** (將堆疊新增至堆疊集) 中,選擇 **Deploy new stacks** (部署新堆疊)。
1. 在 **Deployment targets** (部署目標) 中,選擇是部署到整個組織還是部署至指定的組織單位。
1. 在 **Specify regions** (指定區域) 中,選擇要將 CloudWatch 跨帳戶觀察功能部署到哪些區域。
1. 選擇**下一步**。
1. 在 **Review** (檢閱) 頁面上,確認您選取的選項,然後選擇 **Submit** (提交)。
1. 在 **Stack instances** (堆疊執行個體) 索引標籤中,重新整理畫面,直到您看到堆疊執行個體的狀態為 **CREATE\$1COMPLETE**。
### 使用 CloudFormation 範本來設定個別來源帳戶
這些步驟假設您已透過執行 中的步驟來下載必要的 CloudFormation 範本[步驟 2:(選用) 下載 CloudFormation 範本或 URL](#Unified-Cross-Account-Setup-TemplateOrURL)。
**使用 CloudFormation 範本設定 CloudWatch 跨帳戶可觀測性的個別來源帳戶**
1. 登入來源帳戶。
1. 在 https://[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。
1. 在左側導覽窗格中,選擇 **Stacks** (堆疊)。
1. 檢查您是否已登入到所需的區域,然後選擇 **Create stack** (建立堆疊)、**With new resources (standard)** (使用新資源 (標準))。
1. 選擇**下一步**。
1. 選擇 **Upload a template file (上傳範本檔案)**。
1. 選擇 **Choose file** (選擇檔案),選擇您從監控帳戶下載的範本,然後選擇 **Open** (開啟)。
1. 選擇**下一步**。
1. 在 **Specify Stack details** (指定堆疊詳細資訊) 中,輸入堆疊名稱,然後選擇 **Next** (下一步)。
1. 在 **Configure stack options** (設定堆疊選項) 頁面,選擇 **Next** (下一步)。
1. 在 **Review** (檢閱) 頁面,選擇 **Submit** (提交)。
1. 在堆疊的狀態頁面上,重新整理畫面,直到您看到堆疊的狀態為 **CREATE\$1COMPLETE**。
1. 若要使用相同範本將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-12。
### 使用 URL 來設定個別來源帳戶
這些步驟假設您已透過執行 [步驟 2:(選用) 下載 CloudFormation 範本或 URL](#Unified-Cross-Account-Setup-TemplateOrURL) 中的步驟複製了必要的 URL。
**若要使用 URL 將個別來源帳戶連結至監控帳戶**
1. 登入您想要用作來源帳戶的帳戶。
1. 輸入您從監控帳戶複製的 URL。
您會看到 CloudWatch 設定頁面,其中已填入一些資訊。
1. 對於**選取資料**,選擇此來源帳戶是否將**日誌**、**指標**、**追蹤**、**Application Insights – 應用程式**和 **Internet Monitor – 監視器**資料共用至此監控帳戶。
對於**日誌**和**指標**,可以選擇是否與監控帳戶共用所有或部分資源。
1. (選用) 若要與監控帳戶共用此帳戶的部分日誌群組,請依序選取**日誌**、**篩選日誌**。然後使用**篩選日誌**方塊來建構查詢,以找到您要共用的日誌群組。查詢將使用術語 `LogGroupName` 及一個或多個以下運算元。
+ `=` 和 `!=`
+ `AND`
+ `OR`
+ `^` 表示喜歡,`!^` 表示不喜歡。這些只能用作字首搜尋。在要搜尋並包含的字串尾端加入 `%`。
+ `IN` 和 `NOT IN`,使用括號 (`( )`)
完整查詢不得超過 2000 個字元,限制為五個條件運算元。條件運算元為 `AND` 和 `OR`。對其他運算元的數目沒有限制。
**提示**
選擇**檢視查詢範例**,以檢視常見查詢格式的正確語法。
1. (選用) 若要與監控帳戶共用此帳戶的部分指標命名空間,請依序選取**指標**、**篩選指標**。然後使用**篩選指標**方塊來建構查詢,以找到您要共用的指標命名空間。使用術語 `Namespace` 及一個或多個以下運算元。
+ `=` 和 `!=`
+ `AND`
+ `OR`
+ `LIKE` 與 `NOT LIKE`。這些只能用作字首搜尋。在要搜尋並包含的字串尾端加入 `%`。
+ `IN` 和 `NOT IN`,使用括號 (`( )`)
完整查詢不得超過 2000 個字元,限制為五個條件運算元。條件運算元為 `AND` 和 `OR`。對其他運算元的數目沒有限制。
**提示**
選擇**檢視查詢範例**,以檢視常見查詢格式的正確語法。
1. 請勿更改 **Enter monitoring account configuration ARN** (輸入監控帳戶組態 ARN) 中的 ARN。
1. **定義標籤來識別來源帳戶**區段會預先填入監控帳戶的標籤選項 (如有)。或者,您也可以選擇 **Edit** (編輯) 來進行變更。
**注意**
在 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 區域中,唯一支援的選項是使用自訂標籤,而 `$AccountName`、 `$AcccountEmail`和 `$AcccountEmailNoDomain`變數全部解析為 *account-id*,而不是指定的變數。
1. 選擇 **Link (連結)**。
1. 在方塊中輸入 **Confirm**,然後選擇 **Confirm** (確認)。
1. 若要使用相同 URL 將更多來源帳戶連結至此監控帳戶,請登出此帳戶並登入下一個來源帳戶。然後重複步驟 2-7。