必要的权限设置概述步骤 1：设置监控账户步骤 2：（可选）下载 Amazon CloudFormation 模板或复制 URL 步骤 3：关联源账户

将监控账户与源账户相关联

本节中的主题介绍了如何在监控账户和源账户之间设置关联。

我们建议您创建一个新的 Amazon 账户作为贵组织的监控账户。

必要的权限

如要在监控账户和源账户之间创建关联，您必须以特定权限登录。

设置监控账户 – 您必须拥有监控账户的完全管理员访问权限，或者使用以下权限登录该账户：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSinkModification",
            "Effect": "Allow",
            "Action": [
                "oam:CreateSink",
                "oam:DeleteSink",
                "oam:PutSinkPolicy",
                "oam:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowReadOnly",
            "Effect": "Allow",
            "Action": ["oam:Get*", "oam:List*"],
            "Resource": "*"
        }
    ]
}

源账户，范围限定为特定的监控账户 – 如要仅为一个指定的监控账户创建、更新和管理关联，您必须至少使用以下权限登录该账户。在本示例中，监控账户为 999999999999。

如果此关联未共享全部四种资源类型（指标、日志、跟踪记录和 Application Insights 应用程序），则可以根据需要省略 cloudwatch:Link、logs:Link、xray:Link 或 applicationinsights:Link。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink",
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:link/*"
        },
        {
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Effect": "Allow",
            "Resource": "arn:*:oam:*:*:sink/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": [
                        "999999999999"
                    ]
                }
            }
        },
        {
            "Action": "oam:ListLinks",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
         }
    ]
}

源账户，具有关联到任何监控账户的权限 – 要创建与任何现有监控账户接收器的关联并共享指标、日志组、跟踪记录和 Application Insights 应用程序，您必须以完全管理员权限登录源账户或使用以下权限登录。


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:List*",
                "oam:Get*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Action": "cloudwatch:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "xray:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "logs:Link",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
             "Action": "applicationinsights:Link",
             "Effect": "Allow",
             "Resource": "*"
        }
    ]
}

设置概述

以下高级步骤向您展示了如何设置 CloudWatch 跨账户可观测性。

注意

我们建议创建一个新的 Amazon 账户，用作贵组织的监控账户。

设置一个专用的监控账户。
（可选）下载 Amazon CloudFormation 模板或复制 URL 以关联源账户。
将源账户关联到该监控账户。

完成这些步骤后，您可以使用该监控账户查看源账户的可观测性数据。

步骤 1：设置监控账户

按照本节中的步骤将 Amazon 账户设置为 CloudWatch 跨账户可观测性的监控账户。

先决条件

如果您将 Amazon Organizations 组织中的账户设置为源账户 – 获取组织路径或组织 ID。
如果您不使用 Organizations 作为源账户 – 获取源账户的账户 ID。

要将一个账户设置为监控账户，您必须具有特定的权限。有关更多信息，请参阅必要的权限。

设置监控账户

登录要用作监控账户的账户。
通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。
在左侧导航窗格中，选择设置。
通过 Monitoring account configuration（监控账户配置），选择 Configure（配置）。
对于选择数据，选择该监控账户是否能够查看所关联源账户的日志、指标、跟踪和 Application Insights – 应用程序数据。
对于 List source accounts（列出源账户），输入该监控账户将查看的源账户。要标识源账户，请输入单个账户 ID、组织路径或组织 ID。如果您输入组织路径或组织 ID，则该监控账户可以查看该组织中所有关联账户的可观测性数据。

用逗号分隔此列表中的条目。

重要
输入组织路径时，请遵循确切的格式。ou-id 必须以 /（斜杠字符）结尾。例如：o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbb/
对于 Define a label to identify your source account（定义一个标签来标识源账户），请指定在使用监控账户查看源账户时是使用账户名还是电子邮件地址来标识源账户。
选择配置。

重要

在您配置源账户之前，监控账户和源账户之间的关联是不完整的。有关更多信息，请参阅以下部分。

步骤 2：（可选）下载 Amazon CloudFormation 模板或复制 URL

要将源账户关联到监控账户，我们建议使用 Amazon CloudFormation 模板或 URL。

如果您要关联整个组织 – CloudWatch 提供了一个 Amazon CloudFormation 模板。
如果您要关联单个账户 – 使用 Amazon CloudFormation 模板或 CloudWatch 提供的 URL。

要使用 Amazon CloudFormation 模板，您必须在以下步骤中下载该模板。将监控账户与至少一个源账户关联后，将不能再下载 Amazon CloudFormation 模板。

下载 Amazon CloudFormation 模板或复制 URL，以便将源账户关联到监控账户

登录要用作监控账户的账户。
通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。
在左侧导航窗格中，选择设置。
通过 Monitoring account configuration（监控账户配置），选择 Resources to link accounts（用于关联账户的资源）。
请执行以下操作之一：
- 选择 Amazon organization 以获取用于将组织中的账户关联到该监控账户的模板。
- 选择 Any account（任何账户）以获取用于将单个账户设置为源账户的模板或 URL。
请执行以下操作之一：
- 如果您选择了 Amazon organization，请选择 Download CloudFormation template（下载 CloudFormation 模板）。
- 如果您选择了 Any account（任何账户），请选择 Download CloudFormation template（下载 CloudFormation 模板）或 Copy URL（复制 URL）。
（可选）重复步骤 5-6以下载 Amazon CloudFormation 模板并复制 URL。

步骤 3：关联源账户

按照以下步骤将源账户关联到监控账户。

要将监控账户与源账户相关联，您必须具有特定的权限。有关更多信息，请参阅必要的权限。

使用 Amazon CloudFormation 模板将组织或组织单位中的所有账户设置为源账户

以下步骤假设您已经通过执行步骤 2：（可选）下载 Amazon CloudFormation 模板或复制 URL 中的步骤下载了必要的 Amazon CloudFormation 模板。

使用 Amazon CloudFormation 模板将组织或组织单位中的账户关联到监控账户

登录到组织的管理账户。
打开 Amazon CloudFormation 控制台，地址：https://console.aws.amazon.com/cloudformation。
在左侧导航栏中，选择 StackSets（堆栈集）。
检查您是否已登录到所需的区域，然后选择 Create StackSet（创建堆栈集）。
选择下一步。
选择 Template is ready（模板已准备就绪），然后选择 Upload a template file（上传模板文件）。
选择 Choose file（选择文件），然后选择从监控账户下载的模板，再选择 Open（打开）。
选择下一步。
对于 Specify StackSet details（指定堆栈集详细信息），输入堆栈集名称并选择 Next（下一步）。
对于 Add stacks to stack set（将堆栈添加到堆栈集），选择 Deploy new stacks（部署新堆栈）。
对于 Deployment targets（部署目标），选择是部署到整个组织还是部署到指定的组织单位。
对于 Specify regions（指定区域），选择要将 CloudWatch 跨账户可观测性部署到哪些区域。
选择下一步。
在 Review（审核）页面上，确认所选的选项并选择 Submit（提交）。
在 Stack instances（堆栈实例）选项卡中，刷新屏幕，直到您看到堆栈实例的状态为 CREATE_COMPLETE。

使用 Amazon CloudFormation 模板设置单个源账户

以下步骤假设您已经通过执行步骤 2：（可选）下载 Amazon CloudFormation 模板或复制 URL 中的步骤下载了必要的 Amazon CloudFormation 模板。

使用 Amazon CloudFormation 模板为 CloudWatch 跨账户可观测性设置单个源账户

登录到源账户。
打开 Amazon CloudFormation 控制台，地址：https://console.aws.amazon.com/cloudformation。
在左侧导航栏中，选择 Stacks（堆栈）。
检查您是否已登录到所需的区域，然后依次选择 Create stack（创建堆栈）、With new resources (standard)（使用新资源（标准））。
选择下一步。
选择上传模板文件。
选择 Choose file（选择文件），然后选择从监控账户下载的模板，再选择 Open（打开）。
选择下一步。
对于 Specify stack details（指定堆栈详细信息），输入堆栈名称并选择 Next（下一步）。
在 配置堆栈选项 页面上，请选择 下一步。
在 Review（审核）页面上，选择 Submit（提交）。
在堆栈的状态页面上，刷新屏幕，直到您看到堆栈的状态为 CREATE_COMPLETE。
要使用同一模板将更多源账户关联到该监控账户，请退出此源账户并登录到下一个源账户。然后重复步骤 2-12。

使用 URL 设置单个源账户

以下步骤假设您已经通过执行步骤 2：（可选）下载 Amazon CloudFormation 模板或复制 URL 中的步骤复制了必要的 URL。

使用 URL 将单个源账户关联到监控账户

登录要用作源账户的账户。
输入从监控账户复制的 URL。

您会看到 CloudWatch 设置页面，其中填写了一些信息。
对于选择数据，选择该源账户是否将与此监控账户共享日志、指标、跟踪和 Application Insights – 应用程序数据。
请勿在 Enter monitoring account configuration ARN（输入监控账户配置 ARN）中更改 ARN。
Define a label to identify your source account（定义一个标签来标识源账户）部分预先填充了监控账户中选择的标签。或者，也可以选择 Edit（编辑）来更改标签。
选择关联。
在此框中输入 Confirm，然后选择 Confirm（确认）。
要使用同一 URL 将更多源账户关联到该监控账户，请退出此源账户并登录到下一个源账户。然后重复步骤 2-7。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

CloudWatch 跨账户可观测性

管理监控账户和源账户