AWS 組織単位の監視設定

最終更新日: 28 年 2024 月 XNUMX 日

AWS 組織単位 (OU) は、単一のエンティティとして管理される個々のアカウントのグループです。 使用する場合 AWS組織、AWS 組織単位ウィザードを使用すると、新規または既存のアカウントを効率的に追加してグループ化することができます。 

OU ウィザードには、LogicMonitor 内で OU を識別するための情報がリストされます。 OU 内で監視されるすべての AWS アカウントに対してウィザード内で変更が行われ、その後、ロール情報が LM に追加されます。

完了すると、LogicMonitor は OU と子アカウントを検出できるようになります。 その後、LogicMonitor に追加されたアカウントに適用されるサービスのリストから選択できます。 次に、ウィザードはアクセス許可をテストし、監視するアカウントを追加します。

AWS 組織単位のモニタリング

  1. MFAデバイスに移動する リソース > Add > クラウドとSaaS.
  2. 選択 AWS 組織単位 > Add.
    AWS 組織単位の追加ウィザードが表示されます。



  3. ウィザードの「名前」ページで、 説明 リソースに関する基本情報を追加します。
  4. 入力または選択 プロパティ このリソースに関連付ける (キーと値のペア)。
  5. 選択 次:パーミッション.
  6. このプロセスで LogicMonitor に追加するすべてのアカウントに新しいロールとポリシーを追加します。
    • の値を使用します。 アカウントID LogicMonitor が提供するフィールドを使用して、AWS マネジメントコンソールで IAM ロールを作成します。 外部ID。 LogicMonitor に初めてアカウントを追加する場合は、AWS コンソールから外部 ID をコピーします。
    • 追加のアカウントを追加する場合は、選択します 外部IDの再利用 次に、外部 ID を再利用したい既存の AWS アカウントを選択します。
    •  アクセス許可を IAM ユーザーに委任するロールの作成 AWS マネジメントコンソールで IAM ロールを作成するプロセス。 JSON をコピーします 新しいポリシーを作成する それを使用して AWS で IAM ポリシーを作成します。 指定されたアカウント ID と外部 ID を IAM ロールに追加するには、LogicMonitor が作成した IAM ロールを使用する必要があります。
  1. これらを作成したら、JSON から作成したポリシーを作成したロールにアタッチします。 見る IAM ポリシーの作成 詳細については、AWS ドキュメントを参照してください。
    • JSON には、LogicMonitor が AWS リソースのデータを収集するために必要な最小限のアクセス許可が含まれています。 LogicMonitor で監視しないサービスの権限を省略します。 あるいは、デフォルトの AWS の「ReadOnlyAccess」を LogicMonitor ロールにアタッチし、必要に応じて特定の AWS リソースに対するアクセス許可を追加することもできます。
    • Trusted Advisor によるサービス制限監視には「AWSSupportAccess」ロールが必要で、予約インスタンスを監視するには「CostExplorer」読み取りアクセスが必要です。 ReadOnlyAccess の詳細については、AWS の 管理ポリシーとインライン ポリシー のドキュメントで詳しく説明されています)。
    • 請求監視には s3:GetObjects 権限が必要です。 アクセス許可を減らすには、AWS のコストと使用状況レポートを保存した s3 バケットを含めるようにアクセス許可を変更できます。
  2. AWS でロールが作成されたら、 役割名 および 組織ルート ARN 権限ページで。
  3. 選択 次へ: アカウント.
  4. ソフトウェア設定ページで、下図のように アカウント ページで、監視に追加するアカウントを選択します。 
    • すでに監視されているアカウントを再度追加する必要はありません。 このウィザードでは選択できません。
    • 監視対象として選択したサービスは、選択したすべての AWS アカウントに適用されます。
    • このウィザードを使用するたびに最大 100 個のアカウントを追加できます。


注: このアプリケーションには、XNUMXµmおよびXNUMXµm波長で最大XNUMXWの平均出力を提供する 現在監視されているアカウントを表示する トグルは非アクティブです。 初期設定と監視が完了するとアクティブになります。

  1. 選択 次へ:サービス.
  2. ソフトウェア設定ページで、下図のように サービス ページで、監視するサービスを選択または選択解除します。



  3. 選択 次へ: 権限のテスト.
  4. ソフトウェア設定ページで、下図のように ホイール試乗 ページで、アクセス許可をテストするサービスを選択 (青色の強調表示) または選択解除 (強調表示なし) します。


注: サービスの選択を解除すると、すべてのアカウントの選択が解除されます。 選択した内容は、[サービス] ページで自動的に更新されます。 これはスクロール可能なペインであるため、すべてのサービスを表示するには下にスクロールする必要がある場合があります。

  1. アカウント表で、監視に追加するアカウント (OU) を選択または選択解除します。
  2. 選択 テスト権限 テストを実行します。 考えられる結果またはステータスは XNUMX つあります。
    • 合格 - すべてのサービスが権限テストに合格しました。
    • 警告 - 一部のサービスは権限テストに合格しました。
    • 失敗 - すべてのサービスが権限テストに失敗しました。
  3. 選択 次へ: 終了.
  4. ソフトウェア設定ページで、下図のように 終了 AWS リソースを表示する.
    組織単位は「リソース」ページに表示されます。

追加情報

記事上で