开启 CloudWatch 遥测审计 - Amazon CloudWatch
审计组织的遥测配置为账户启用遥测审计注销委托管理员账户关闭组织的可信访问
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开启 CloudWatch 遥测审计

通过 CloudWatch 控制台为您的 Amazon Web Services 账户或组织开启遥测审计。对于组织,CloudWatch 将使用管理账户或委托管理员账户为组织中所有成员账户发现 Amazon 资源和遥测配置。开启遥测审计体验不会产生任何额外费用。

在您关闭遥测审计前,它将一直处于开启状态。有关更多信息,请参阅 关闭 CloudWatch 遥测审计

审计组织的遥测配置

要启用组织的遥测配置,必须使用管理账户或委托管理员账户。CloudWatch 将使用此账户来发现组织的 Amazon 资源及其遥测配置。

在为组织开启遥测审计之前,您需要启用 Amazon Organizations 和 CloudWatch 之间的可信访问权限。开启可信访问权限后,CloudWatch 将创建名为 AWSServiceRoleForObservabilityAdmin 的服务相关角色,以支持组织的资源和遥测配置发现。组织的所有成员账户中都会创建此角色。有关服务相关角色的更多信息,请参阅 CloudWatch 遥测配置的服务相关角色权限。有关 Amazon Organizations 的更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon CloudWatch 和 Amazon Organizations

要使用管理账户进行遥测配置,请使用该账户登录,启用可信访问,然后启用遥测审计。有关更多信息,请参阅 为 Amazon Organizations 开启遥测审计

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置

  3. 选择组织选项卡。

  4. 组织管理设置中,选择开启。系统将出现启用可信访问权限页面。

  5. 要查看角色策略,请选择查看权限详细信息,系统将在窗口中显示角色策略。选择 Enable trusted access (启用可信访问)。系统将显示遥测配置概览页面,CloudWatch 随即开始发现组织中的 Amazon 资源。当 CloudWatch 发现资源时,它会自动更新概述页面中的信息。

    注意

    资源显示在概述页面前的时间延迟取决于组织或账户中的成员账户和资源数量。

为组织注册委托管理员账户

委托管理员账户是成员账户,可以共享服务管理权限的管理员访问权限。您要注册为委托管理员的账户必须位于组织中。组织的委托管理员账户可在 CloudWatch 之外使用,因此在执行此步骤之前,请务必了解此账户类型。有关更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon CloudWatch 和 Amazon Organizations

要移除或更改委托管理员账号,请先注销该账户。有关更多信息,请参阅 注销委托管理员账户

配置委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 选择组织选项卡。

  4. 选择 Register delegated administrator (注册委派管理员)

  5. 注册委托管理员页面的委托管理员账户 ID 中,输入 12 位数的组织成员账户 ID。

  6. 选择 Register delegated administrator (注册委派管理员)。页面顶部会显示一条消息,表明账户已成功注册。系统将显组织设置页面。要查看有关委托管理员账户的信息,请将鼠标悬停在委托管理员下方的数字上。

为 Amazon Organizations 开启遥测审计

为您的 Amazon Organizations 开启遥测审计,以在所有成员账户中监控 Amazon 资源的遥测情况。这也为个人账户开启了遥测审计体验。您还可以仅为您的账户开启遥测审计体验。有关更多信息,请参阅 为账户启用遥测审计

您可以关闭所有成员账户的可信访问。有关更多信息,请参阅 关闭组织的可信访问

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择遥测配置

  3. 选择开启,然后选择组织选项卡。系统将显示遥测配置概述页面,CloudWatch 随即开始发现账户中的 Amazon 资源。当 CloudWatch 发现资源时,它会自动更新概述页面中的信息。

    注意

    资源显示在概述页面前的延迟取决于组织或账户中的成员账户和资源数量。

为账户启用遥测审计

为 Amazon Web Services 账户启用遥测审计,用以监控该账户中 Amazon 资源的遥测数据。如果在 Amazon Organizations 有组织,则为组织启用遥测配置。有关更多信息,请参阅 为 Amazon Organizations 开启遥测审计

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择设置,然后选择遥测配置

  3. 如果您使用的是管理账户或委托管理员账户,请选择开启,然后选择此账户。系统将显示遥测配置概览页面,CloudWatch 随即开始发现账户中的 Amazon 资源。当 CloudWatch 发现资源时,它会自动更新概述页面中的信息。

    注意

    资源显示在概述页面前的延迟取决于组织或账户中的成员账户和资源数量。

注销委托管理员账户

在关闭组织的可信访问之前,请先注销委托管理员账户。如果委托管理员账户不再有权访问用于遥测审计的相应 Amazon 资源,或者选择其他成员账户作为委托管理员,则也可以注销该委托管理员账户。此账户将无法为组织执行账户管理任务。有关更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon CloudWatch 和 Amazon Organizations

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 组织选项卡上,选择取消注册

  4. 取消注册委托管理员页面,选择取消注册

要将账户注册为委托管理员,请参阅 为组织注册委托管理员账户

关闭组织的可信访问

可信访问权限可将 Amazon Organizations中管理账户的功能扩展到其他 Amazon 服务。当您关闭可信访问权限时,组织与所有 Amazon 服务之间的可信访问权限均将停止,而非仅限于 CloudWatch。

如果您不再想为组织开启可信访问权限,则可以将其关闭。有关更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon CloudWatch 和 Amazon Organizations

注意

请先取消注册委托管理员账户,再关闭组织的可信访问权限。有关更多信息,请参阅 注销委托管理员账户

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 选择组织选项卡。

  4. 组织管理设置部分,选择关闭