In che modo è possibile risolvere gli errori relativi alla condivisione di pannelli di controllo tra account in CloudWatch?

Ultimo aggiornamento: 05/05/2022

Voglio condividere il mio pannello di controllo di Amazon CloudWatch con un altro account AWS utilizzando la condivisione del pannello di controllo tra account. Come posso risolvere gli errori che ricevo quando utilizzo la condivisione del pannello di controllo tra più account?

Breve descrizione

Puoi creare pannelli di controllo tra più account o più regioni per condividere i tuoi dati CloudWatch con più account AWS e in più regioni AWS. Esistono diversi motivi per cui si potrebbe verificare un problema quando condividi un pannello di controllo creato in un account con un altro account utilizzando gli ID account o ID organizzazione. È possibile che si verifichi uno dei seguenti problemi:

  • L'utente dell'account di monitoraggio non può visualizzare o selezionare l'ID account nell'account di condivisione per visualizzare il pannello di controllo.
  • L'utente che esegue il monitoraggio riceve un errore simile al seguente quando accede al pannello di controllo a causa di problemi di autorizzazione nell'account di condivisione:
    • Errori "Impossibile recuperare gli allarmi"
    • Errori "Impossibile recuperare i gruppi di risorse"
    • Errori "Utenti non autorizzati"

Risoluzione

In questi esempi, un account condivide un pannello di controllo con un altro account utilizzando gli ID account o gli ID organizzazione. L'account di condivisione ha l'ID 111111111111. L'account di monitoraggio ha l'ID account 999999999999.

Problemi di visualizzazione dell'ID account per visualizzare un pannello di controllo da un account di monitoraggio

Per visualizzare e selezionare il pannello di controllo che viene condiviso, devi abilitare un selettore di account per ogni utente AWS Identity and Access Management (IAM) nell'account di monitoraggio. I selettori di ID account sono visibili solo per gli utenti IAM che hanno abilitato un selettore di account nelle impostazioni di CloudWatch. Per ulteriori informazioni sull'abilitazione di un selettore di account in CloudWatch, consulta Abilitazione della funzionalità tra account in CloudWatch.

Errori ricevuti durante l'accesso a pannelli di controllo personalizzati da un account di monitoraggio

È possibile che si verifichi un errore quando si prova ad accedere a un pannello di controllo personalizzato da un account di monitoraggio.

  • Quando si accede alla pagina Panoramica nella console di CloudWatch:

    Errore "Impossibile recuperare gli allarmi: non disponi delle autorizzazioni per eseguire le seguenti operazioni: CloudWatch:DescribeAlarms. Contatta il tuo amministratore se hai bisogno di aiuto. Se sei un amministratore, puoi fornire le autorizzazioni per i tuoi utenti o gruppi creando policy IAM."

  • Quando accedi al pannello di controllo tra servizi da account condivisi:

    "Impossibile selezionare un gruppo di risorse nel menu a discesa "Filtra per gruppo di risorse". L'errore è "Impossibile recuperare i gruppi di risorse".

  • Quando apri un pannello di controllo personalizzato da un account condiviso:

    "L'utente: "arn:aws:sts::999999999999:assumed-role/AWSServiceRoleForCloudWatchCrossAccount/CloudWatchConsole non è autorizzato a eseguire sts:AssumeRole sulla risorsa: arn:aws:iam::111111111111:role/CloudWatch-CrossAccountSharingRole"

    oppure

    "L'utente: arn:aws:sts::999999999999:assumed-role/CloudWatch-CrossAccountSharingRole/CloudWatchConsole non è autorizzato a eseguire cloudwatch:ListDashboards sulla risorsa: arn:aws:cloudwatch::111111111111:dashboard/* poiché nessuna policy basata sulle identità consente l'operazione cloudwatch:ListDashboards"

Questi errori si verificano a causa di problemi di autorizzazione nel ruolo creato nell'account di condivisione. Assicurati che l'account di condivisione segua questi criteri:

  • Deve essere presente CloudWatch-CrossAccountSharingRole.
  • L'account di condivisione deve avere le policy di attendibilità corrette, come descritto in Abilitazione della funzionalità tra account in CloudWatch.
  • Al ruolo CloudWatch-CrossAccountSharing devono essere associate le seguenti policy:
    • CloudWatchReadOnlyAccess
    • CloudWatchAutomaticDashboardsAccess: se durante la condivisione del pannello di controllo è stata deselezionata l'opzione Includi pannelli di controllo automatici CloudWatch questa policy non sarà disponibile.
    • AWSXrayReadOnlyAccess: se durante la condivisione del pannello di controllo è stata deselezionata l'opzione Includi accesso in sola lettura X-Ray per ServiceLens questa policy non sarà disponibile.

Limitazione degli utenti di un account di monitoraggio all'accesso a pannelli di controllo specifici

Per elencare tutti i pannelli di controllo dai pannelli di controllo tra più account, utilizza la chiamata API ListDashboards. Tuttavia, l'API ListDashboards non supporta autorizzazioni specifiche per le risorse. Tuttavia, la chiamata API GetDashboard supporta le autorizzazioni specifiche delle risorse, quindi puoi limitare i pannelli di controllo che possono essere descritti o aperti tra gli account.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": "cloudwatch:GetDashboard",
      "Resource": "arn:aws:cloudwatch::111111111111:dashboard/dashboard-name"
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "autoscaling:Describe*",
        "cloudwatch:Describe*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetInsightRuleReport",
        "cloudwatch:GetMetricWidgetImage",
        "cloudwatch:ListMetrics",
        "cloudwatch:ListTagsForResource",
        "cloudwatch:ListDashboards",
        "logs:Get*",
        "logs:List*",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:Describe*",
        "logs:TestMetricFilter",
        "logs:FilterLogEvents",
        "sns:Get*",
        "sns:List*"
      ],
      "Resource": "*"
    }
  ]
}

Dopo aver eseguito questo comando, potrai elencare tutti i pannelli di controllo. Se si prova ad aprire un pannello di controllo che non è riportato in questa policy, sarà visualizzato un errore del tipo:

User: arn:aws:sts::111111111111:assumed-role/CloudWatch-CrossAccountSharingRole/CloudWatchConsole is not authorized to perform: cloudwatch:GetDashboard on resource: arn:aws:cloudwatch::111111111111:dashboard/test

Problemi durante l'avvio di CloudFormationStack per creare il CloudWatch-CrossAccountSharingRole richiesto nell'account di condivisione

Quando utilizzi la condivisione dei pannelli di controllo tra account, assicurati di avere le seguenti policy associate al ruolo IAM nell'account di condivisione:

  • AWSCloudFormationFullAccess
  • IAMFullAccess

Queste autorizzazioni ti consentono di avviare l'API CloudFormationStack richiesta per creare i ruoli IAM necessari per la condivisione dei pannelli di controllo tra più account.

Usa Terraform/CloudFormation/AWS CLI per creare una configurazione di condivisione dei pannelli di controllo tra più account

Quando configuri un account di condivisione per l'utilizzo di funzioni tra account, CloudWatch implementa un modello AWS CloudFormation. Converti questo modello CloudFormation in un modello Terraform corrispondente. Ciò consente di abilitare la condivisione dei dati tra account.

Per consentire al tuo account di monitoraggio di visualizzare i dati tra account in CloudWatch, abilita un selettore di account dalla console. Questa è un'impostazione per utente e non è gestita a livello di account. Per ulteriori informazioni sulla configurazione di questa impostazione, consulta Abilitazione della funzionalità tra account in CloudWatch.

Console CloudWatch tra più account per più regioni

Questo articolo è stato utile?

Invia un feedback

Hai bisogno di supporto tecnico o per la fatturazione?

Contatta AWS Support