本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon CloudWatch 和 AWS Organizations
您可以針對下列使用案例使用 AWS Organizations Amazon CloudWatch 的 :
+ 從 CloudWatch 主控台的中央檢視探索並了解資源 AWS 的遙測組態狀態。這可簡化稽核您 AWS 組織或帳戶中多個資源類型的遙測收集組態的程序。您必須開啟受信任的存取,才能在整個組織中使用遙測組態。
如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[稽核 CloudWatch 遙測組態](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-cloudwatch.html)。
+ 在 Network Flow Monitor 中使用多個帳戶,這是 Amazon CloudWatch Network Monitoring 的一項功能。Network Flow Monitor 為 Amazon EC2 執行個體之間的流量提供近乎即時的網路效能可見性。開啟信任的存取以與 Organizations 整合後,您可以建立監視器,以視覺化多個帳戶的網路效能詳細資訊。
如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[初始化多帳戶監控的網路流量監控](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-multi-account.html)。
使用以下資訊來協助您整合 Amazon CloudWatch 與 AWS Organizations。
## 當您啟用整合時,即會建立服務連結角色。
在組織的管理帳戶中建立下列[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。當您啟用受信任存取時,服務連結角色會自動在成員帳戶中建立。此角色可讓 CloudWatch 在組織中的組織帳戶中執行支援的操作。只有在您停用 CloudWatch 和 Organizations 之間的受信任存取,或從組織中移除成員帳戶時,才能刪除或修改此角色。
+ `AWSServiceRoleForObservabilityAdmin`
## 服務連結角色所使用的服務委託人
上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。CloudWatch 使用的服務連結角色會將存取權授予下列服務主體:
+ `observabilityadmin.amazonaws.com`
+ `networkflowmonitor.amazonaws.com`
+ `topology.networkflowmonitor.amazonaws.com`
## 使用 CloudWatch 啟用受信任存取
如需開啟受信任存取所需的許可資訊,請參閱 [啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。
您可以使用 Amazon CloudWatch 主控台或 主控台啟用受信任存取 AWS Organizations 。
**重要**
我們強烈建議您盡可能使用 Amazon CloudWatch 主控台或工具來啟用與 Organizations 的整合。這可讓 Amazon CloudWatch 執行所需的任何組態,例如建立服務所需的資源。只有在您無法使用 Amazon CloudWatch 提供的工具啟用整合時,才能繼續進行這些步驟。如需詳細資訊,請參閱[本說明](orgs_integrate_services.md#important-note-about-integration)。
如果您使用 Amazon CloudWatch 主控台或工具啟用受信任存取,則不需要完成這些步驟。
**使用 CloudWatch 主控台開啟受信任存取**
請參閱《Amazon [ CloudWatch 使用者指南》中的開啟 CloudWatch 遙測稽核](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 *Amazon CloudWatch *
當您在 CloudWatch 中開啟受信任存取時,您可以啟用遙測稽核,並且可以在網路流量監視器中使用多個帳戶。
您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令,或呼叫其中一個 AWS SDKs。
------
#### [ AWS 管理主控台 ]
**使用 Organizations 主控台來啟用受信任的服務存取**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在導覽窗格中,選擇**服務**。
1. 在服務清單中選擇 **Amazon CloudWatch**。
1. 選擇 **Enable trusted access (啟用信任存取)**。
1. 在**啟用 Amazon CloudWatch 的受信任存取**對話方塊中,輸入**啟用**以確認,然後選擇**啟用受信任存取**。
1. 如果您只是 的管理員 AWS Organizations,請告訴 Amazon CloudWatch 的管理員,他們現在可以從服務主控台 啟用該服務來使用 AWS Organizations 。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 來啟用受信任服務存取**
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)
執行下列命令以啟用 Amazon CloudWatch 做為 Organizations 的受信任服務。
```
$ aws organizations enable-aws-service-access \
--service-principal observabilityadmin.amazonaws.com
```
此命令成功後就不會產生輸出。
+ AWS API:[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)
------
## 使用 CloudWatch 關閉受信任的存取
如需啟用受信任的存取所需許可的資訊,請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。
您可以使用 Amazon CloudWatch 或 AWS Organizations 工具來停用受信任存取。
**重要**
我們強烈建議您盡可能使用 Amazon CloudWatch 主控台或工具來停用與 Organizations 的整合。這可讓 Amazon CloudWatch 執行其所需的任何清除,例如刪除服務不再需要的資源或存取角色。只有在您無法使用 Amazon CloudWatch 提供的工具停用整合時,才能繼續進行這些步驟。
如果您使用 Amazon CloudWatch 主控台或工具停用受信任存取,則不需要完成這些步驟。
**使用 CloudWatch 主控台關閉受信任存取**
請參閱《Amazon [ CloudWatch 使用者指南》中的關閉 CloudWatch 遙測稽核 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-off.html) *Amazon CloudWatch *
當您在 CloudWatch 中關閉受信任存取時,遙測稽核不再處於作用中狀態,您無法再使用網路流量監視器中的多個帳戶。
您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。
------
#### [ AWS CLI, AWS API ]
**使用 Organizations CLI/SDK 來停用受信任服務存取**
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)
執行下列命令來停用 Amazon CloudWatch 做為 Organizations 的受信任服務。
```
$ aws organizations disable-aws-service-access \
--service-principal observabilityadmin.amazonaws.com
```
此命令成功後就不會產生輸出。
+ AWS API:[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)
------
## 註冊 CloudWatch 的委派管理員帳戶
當您將成員帳戶註冊為組織的委派管理員帳戶時,該帳戶的使用者和角色可以為 CloudWatch 執行管理動作,否則只能由使用組織管理帳戶登入的使用者或角色執行。使用委派管理員帳戶可協助您將組織的管理與 CloudWatch 中的功能管理分開。
**最低許可**
只有 Organizations 管理帳戶中的管理員可以將成員帳戶註冊為組織中 CloudWatch 的委派管理員帳戶。
您可以使用 CloudWatch 主控台註冊委派管理員帳戶,或使用 Organizations `RegisterDelegatedAdministrator` API 操作搭配 AWS Command Line Interface 或 SDK。
如需有關如何使用 CloudWatch 主控台註冊委派管理員帳戶的資訊,請參閱《Amazon [ CloudWatch 使用者指南》中的開啟 CloudWatch 遙測稽核](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html)。 *Amazon CloudWatch *
當您在 CloudWatch 中註冊委派管理員帳戶時,您可以使用該帳戶進行管理操作,搭配遙測稽核和 Network Flow Monitor。
## 取消註冊 CloudWatch 的委派管理員
**最低許可**
只有使用 Organizations 管理帳戶登入的管理員才能取消組織中 CloudWatch 的委派管理員帳戶註冊。
您可以使用 CloudWatch 主控台,或使用 Organizations `DeregisterDelegatedAdministrator` API 操作搭配 AWS Command Line Interface 或 SDK 來取消註冊委派管理員帳戶。如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[取消註冊委派管理員帳戶](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)。
當您在 CloudWatch 中取消註冊委派管理員帳戶時,您無法再使用帳戶進行遙測稽核和網路流量監控的管理操作。