Organizations 環境で CloudWatch のテレメトリ設定を有効にしてみた

Organizations 環境で CloudWatch のテレメトリ設定を有効にしてみた

AWS re:Invent 2024

AWS re:Invent 2024

#AWS
#Amazon CloudWatch
板倉舞

板倉舞

facebook logohatena logotwitter logo
Clock Icon2024.12.23

カスタマーサクセス部 運用支援チームのいたくらです。
Organizations 環境で CloudWatch のテレメトリ設定を有効にしてみました。

はじめに

AWS Config がサービスリンクレコーダーのサポートを開始したという以下のアップデートブログを書いた際に、CloudWatch のテレメトリ設定を有効にしました。
https://dev.classmethod.jp/articles/202412-update-config-service-linked-recorder/

このときは 1 アカウントのみで有効にしましたが、本ブログでは Organizations 全体でテレメトリ設定を有効にしてみました。

やってみた

Organizations 環境でテレメトリ設定をオンにする

管理アカウントでテレメトリ設定ページを開くと、CloudWatch のマルチアカウント設定をオンにすることを推奨されます。
「組織で CloudWatch を設定してください」をクリックします。
13.png

「信頼されたアクセス権限を有効にする」をクリックします。
14.png

確認画面でもう一度「信頼されたアクセス権限を有効にする」をクリックします。
15.png

信頼されたアクセスが有効になったら、テレメトリ設定をオンにできる状態になりました。
「オンにする」をクリックします。
16.png

環境によって変動があると思いますが、私の環境の場合は数分で Status がオンに変わりました。
18.png

各メンバーアカウントにログインし、それぞれのアカウント上にサービスリンクレコーダー(AWSConfigurationRecorderForObservabilityAdmin)が作成済みになっていることを確認しました。
19.png

管理アカウントからどのように見えるか

管理アカウントの CloudWatch テレメトリ設定画面に移動しました。
画面はこのようになっていました。
2.png

今回検証している Organizations 環境は、管理アカウント+メンバーアカウントで 計 4 アカウントを管理しています。

いま、全アカウント上で「詳細モニタリングが有効になっている EC2 インスタンス」と「AWS X-Ray トレースが有効になっている Lambda 関数」が無いため、その 2 項目のそれぞれのカバレッジがハイフン(0%)になっています。

一方で、全アカウント上で「VPC フローログが有効になっている VPC」は各アカウントで 1 つずつあるため、カバレッジが 50% と表示されています。

検出された VPC の詳細を見てみます。
3.png

どの VPC で VPC フローログが有効/無効かが一目で分かるようになっています。
「詳細なメトリクス」列、「トレース」列があるので、もしも「詳細モニタリングが有効になっている EC2 インスタンス」と「AWS X-Ray トレースが有効になっている Lambda 関数」がある場合は、これらの列がそれぞれ「オン」と表示されそうですね。

このように AWS Config が有効になっているメンバーアカウントについては、サービスリンクレコーダーを使用して、管理アカウントの CloudWatch テレメトリ設定で一元的に管理可能で、一括で確認できることが分かりました。

Organizations 環境でテレメトリ設定をオフにする

ついでにオフにする方法も確認しました。
CloudWatch 設定の「組織」をクリックします。
4.png

画面が遷移し、CloudWatch テレメトリ設定が表示されるので「オフにする」をクリックします。
5.png

少し待つと Status がオフに変わりました。
6.png

各メンバーアカウントにログインし、それぞれのアカウント上からサービスリンクレコーダー(AWSConfigurationRecorderForObservabilityAdmin)が削除されていることを確認しました。
7.png

さいごに

単一アカウントではなく、Organizations 環境で CloudWatch テレメトリ設定を有効にしてみました。
現在は一部サービスの詳細モニタリングに限られていますが、管理アカウントで一元的に管理して、一括で確認できるのは運用目線だと嬉しい機能だと感じました。
テレメトリ設定で一括確認できる項目が今後もしも増えたら、続報ブログを書こうと思います。

この記事がどなたかのお役に立てれば幸いです。

関連ブログ

https://dev.classmethod.jp/articles/reinvet-2024-cloudwatch-centralized-visibility-telemetry-configurations/

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon S3 Tables の Table Bucketを削除する方法 #AWSreInvent

Amazon S3 Tables の Table Bucketを削除する方法 #AWSreInvent

User avatar
石川覚
2024.12.23
Amazon Bedrock のカスタムモデルインポート機能を試してみる

Amazon Bedrock のカスタムモデルインポート機能を試してみる

User avatar
たかくに
2024.12.23
[レポート]AWSのデータ取り込み戦略 - Solving different data ingestion use cases with AWS (ANT330) #AWSreInvent

[レポート]AWSのデータ取り込み戦略 - Solving different data ingestion use cases with AWS (ANT330) #AWSreInvent

User avatar
suto
2024.12.23
AWS End User Messaging でシミュレータータイプの US 電話番号から日本の電話番号へ SMS を送信使用する時に「NO_ORIGINATION_IDENTITIES_FOUND」が発生する場合の対処方法

AWS End User Messaging でシミュレータータイプの US 電話番号から日本の電話番号へ SMS を送信使用する時に「NO_ORIGINATION_IDENTITIES_FOUND」が発生する場合の対処方法

User avatar
いわさ
2024.12.23
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.