CloudWatch クロスアカウントオブザーバビリティ機能により AWS Organizations メンバーアカウントのメトリクス情報を集約する

CloudWatch クロスアカウントオブザーバビリティ機能により AWS Organizations メンバーアカウントのメトリクス情報を集約する

#Amazon CloudWatch
#AWS
yhana

yhana

facebook logohatena logotwitter logo
Clock Icon2025.06.05

Amazon CloudWatch には他の AWS アカウントのロググループやメトリクスを集約して閲覧できる「CloudWatch クロスアカウントオブザーバビリティ」機能があります。下記のブログで CloudWatch クロスアカウントオブザーバビリティの概要や設定例について紹介されており、わかりやすいです。

https://business.ntt-east.co.jp/content/cloudsolution/ihcm_column-07.html

本ブログでは、東京リージョンを対象に CloudWatch クロスアカウントオブザーバビリティ機能を組織単位で設定して、モニタリングアカウントで組織配下のアカウントのメトリクスを確認できるようにしてみます。

設定後は 1 つのアカウントで複数アカウントのメトリクスが確認できます。下図は VPC エンドポイントのメトリクス例となります。

amazon-cloudwatch-unified-cross-account-10

CloudWatch クロスアカウントオブザーバビリティの設定

今回設定する環境のイメージ図です。OU 構成は簡略化して記載しています。
Sandbox-01 Account をモニタリングアカウントとして、AWS Organizations のメンバーアカウントをソースアカウントにします(今回の環境では管理アカウント以外に 2 アカウントしかないため、Sandbox-02 のみがソースアカウントになります)。モニタリングアカウントにおいて、ソースアカウントのメトリクスが閲覧できるようになります。

amazon-cloudwatch-unified-cross-account-1

CloudWatch クロスアカウントオブザーバビリティを設定します。
モニタリングアカウントとする AWS アカウントにおいて「Amazon CloudWatch」→「設定」→「グローバル」タブからモニタリングアカウントを設定します。

amazon-cloudwatch-unified-cross-account-2

「データを選択」ではメトリクスのみを対象にしてみます。「ソースアカウントを一覧表示」では単一アカウントの設定や OU 指定の設定ができ、今回は組織全体を対象とするため組織 ID を指定しています。

amazon-cloudwatch-unified-cross-account-3

モニタリングアカウント設定の後は、ソースアカウントのリンク設定をするために「アカウントをリンクするためのリソース」から CloudFormation テンプレートをダウンロードして展開します。

amazon-cloudwatch-unified-cross-account-4

「AWS 組織」を選択してテンプレートをダウンロードします。

amazon-cloudwatch-unified-cross-account-5

テンプレートの中身です。ソースアカウントからモニタリングアカウントをリンクする設定となります。モニタリングアカウントでは処理がスキップされるようになっているようです。

AWSTemplateFormatVersion: 2010-09-09

Conditions:
  SkipMonitoringAccount: !Not
    - !Equals
      - !Ref AWS::AccountId
      - "111122223333"

Resources:
  Link:
    Type: AWS::Oam::Link
    Condition: SkipMonitoringAccount
    Properties:
      LabelTemplate: "$AccountName"
      ResourceTypes:
        - "AWS::CloudWatch::Metric"
      SinkIdentifier: "arn:aws:oam:ap-northeast-1:111122223333:sink/192d13bc-d0ke-49db-if8c-8f48fexample"

このテンプレートを CloudFormatioon StackSets で展開します。
管理アカウントもしくは CloudFormation の委任先アカウントにサインインして設定します。サービスマネージドアクセス許可の StackSets において、テンプレートをアップロードします。

amazon-cloudwatch-unified-cross-account-6

Step2 では StackSets 名を入力し、Step3 はデフォルトのまま進めます。

Step4 において、デプロイ先のアカウントを指定します。テンプレートにはモニタリングアカウントでは処理がスキップされる動作が入っていそうでしたが、今回は意図的にモニタリングアカウントをデプロイ対象から除外する設定にしてみました。

amazon-cloudwatch-unified-cross-account-8

最後の Step で設定内容を確認して実行します。
実行後にオペレーションのステータスが SUCCEEDED になれば完了です。

amazon-cloudwatch-unified-cross-account-9

CloudFormation StackSets の展開完了後に数分待つと、モニタリングアカウントでソースアカウントの情報を確認できるようになりました。

下記は VPC エンドポイントのメトリクスです。アカウントラベル列とアカウント ID 列が追加されています。アカウントラベルはモニタリングアカウントの設定で指定した内容です(今回の場合はアカウント名です)。

amazon-cloudwatch-unified-cross-account-10

さいごにソースアカウントの設定も確認してみたところ、モニターアカウントへのリンク設定が有効になっていました(CloudFormation で設定した内容です)。

amazon-cloudwatch-unified-cross-account-11

リンクされたアカウントは、モニタリングアカウント設定をしたアカウントになっています。

amazon-cloudwatch-unified-cross-account-12

以上で、CloudWatch クロスアカウントオブザーバビリティの設定は終わりです。

さいごに

AWS Organizations 組織配下の利用されていない VPC エンドポイントの洗い出しを、メトリクスを用いて確認したい場合があり、CloudWatch クロスアカウントオブザーバビリティを組織単位で設定してみました。メンバーアカウントの情報を集約して確認できるのは便利でした。

以上、このブログがどなたかのご参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

おうちでAWS ~Amazon CloudWatch 編~

おうちでAWS ~Amazon CloudWatch 編~

User avatar
あかいけ
2025.06.05
[小ネタ] Claude Opus 4 の利用費を CloudWatch Metrics で可視化してみた

[小ネタ] Claude Opus 4 の利用費を CloudWatch Metrics で可視化してみた

User avatar
たかくに
2025.05.31
Aurora I/O 最適化にすべきかどうかを CloudWatch Metrics から確認する

Aurora I/O 最適化にすべきかどうかを CloudWatch Metrics から確認する

User avatar
たかくに
2025.05.26
EKS の Amazon CloudWatch Observability アドオンを EKS Pod Identity を利用して設定してみた

EKS の Amazon CloudWatch Observability アドオンを EKS Pod Identity を利用して設定してみた

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.