Kontoübergreifende Untersuchungen - Amazon CloudWatch
VoraussetzungenDas Überwachungskonto für den kontoübergreifenden Zugriff einrichtenIhre Quellkonten für den kontoübergreifenden Zugriff einrichtenUntersuchen von Problemen, die mehrere Konten betreffen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontoübergreifende Untersuchungen

Kontoübergreifende CloudWatch Untersuchungen ermöglichen es Ihnen, Anwendungsprobleme zu untersuchen, die sich über mehrere Bereiche erstrecken, AWS-Konten von einem zentralen Überwachungskonto aus. Mit diesem Feature können Sie zusätzlich zum Überwachungskonto Telemetriedaten, Metriken und Protokolle für bis zu 25 Konten korrelieren, um einen umfassenden Einblick in verteilte Anwendungen zu erhalten und komplexe Szenarien mit mehreren Konten zu bearbeiten.

Voraussetzungen

  • Für die Untersuchung mehrerer Konten muss die kontoübergreifende Beobachtbarkeit eingerichtet sein, damit kontoübergreifende Telemetriedaten erfass werden. Richten Sie entweder die kontoübergreifende Beobachtbarkeit oder das kontoübergreifende Dashboard ein.

  • Richten Sie eine Untersuchungsgruppe ein. Für eine kontoübergreifende Beobachtbarkeit sollte dies im Überwachungskonto erfolgen. Sie können die Gruppe auch in den Quellkonten einrichten und Konten einzeln untersuchen.

Das Überwachungskonto für den kontoübergreifenden Zugriff einrichten

Das Überwachungskonto für den kontoübergreifenden Zugriff einrichten

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im linken Navigationsbereich AI Operations und anschließend Konfiguration aus.

  3. Wählen Sie unter Kontoübergreifenden Zugriff konfigurieren die Option Konfigurieren aus.

  4. Fügen Sie im Abschnitt Quellkonten auflisten die Konto-ID für bis zu 25 Konten hinzu.

  5. Aktualisieren Sie Ihre IAM-Rolle.

    1. Automatisch

      • Wenn Sie Die Assistentenrolle automatisch aktualisieren (empfohlen) auswählen, wird eine vom Kunden verwaltete Richtlinie mit dem Namen AIOpsAssistantCrossAccountPolicy-${guid} erstellt, die die sts:AssumeRole-Anweisungen enthält, die für die Übernahme der Assistentenrolle in den angegebenen Quellkonten erforderlich sind. Wenn Sie die Option „Automatisches Update“ wählen, wird der Name der IAM-Rolle in den Quellkonten standardmäßig auf AIOps-CrossAccountInvestigationRole festgelegt.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Wenn der Besitzer des Überwachungskontos ein Quellkonto aus der kontoübergreifenden Konfiguration entfernt, wird die IAM-Richtlinie nicht automatisch aktualisiert. Sie müssen die IAM-Rolle und -Richtlinie manuell aktualisieren, um sicherzustellen, dass sie immer über die minimal möglichen Berechtigungen verfügt.

      • Wenn die Berechtigungen beim Entfernen eines Quellkontos nicht manuell aktualisiert werden, könnten Sie das Limit für verwaltete Richtlinien pro Rolle erreichen. Sie müssen alle ungenutzten verwalteten Richtlinien löschen, die Ihrer Untersuchungsrolle zugeordnet sind.

    2. manuell

      • Das folgende Beispiel veranschaulicht die Vertrauensrichtlinie, die für die Assistentenrolle erforderlich ist:

        JSON
        
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        Sie können die Rolle verwenden AWS CLI , um das benutzerdefinierte Quellkonto zu erstellen und sie dann mithilfe der folgenden Befehle AIOpsAssistantPolicy an die Rolle anzuhängen, wobei Sie die Platzhalterwerte durch die entsprechenden Werte für Ihre Umgebung ersetzen: 

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17",		 	 	  
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • Um kontoübergreifenden Zugriff zu gewähren, muss die Berechtigungsrichtlinie der Assistentenrolle im Überwachungskonto Folgendes enthalten. Wenn Sie das Überwachungskonto manuell konfigurieren, kann der Rollenname beliebig sein. Standardmäßig ist dies nicht AIOps-CrossAccountInvestigationRole. Stellen Sie sicher, dass Sie den Namen der Assistentenrolle für jedes Quellkonto angeben.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • Verwenden Sie die AWS CLI , um die Überwachungskonto-Untersuchungsgruppe mit der benutzerdefinierten Quellkontorolle ARN zu aktualisieren. Verwenden Sie dazu den folgenden Befehl und ersetzen Sie dabei die Platzhalterwerte durch die entsprechenden Werte für Ihre Umgebung: 

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        In der Befehlsreferenz für die AWS -CLI finden Sie weitere Informationen zu diesem Befehl.

Ihre Quellkonten für den kontoübergreifenden Zugriff einrichten

  1. Stellen Sie eine IAM-Rolle mit dem Namen AIOps-CrossAccountInvestigationRole bereit, wenn Sie bei der Einrichtung des Überwachungskontos die Option Die Assistentenrolle automatisch aktualisieren ausgewählt haben. Wenn Sie die manuelle Einrichtung verwendet haben, geben Sie in der IAM-Rolle den Namen der benutzerdefinierten Quellkonto-Rolle an.

    1. Hängen Sie die AWS verwaltete Richtlinie AIOpsAssistantPolicy an die Rolle in der IAM-Konsole an.

    2. Die Vertrauensrichtlinie der Rolle im Quellkonto sieht wie folgt aus. ExternalID muss in der Richtlinie angegeben werden. Verwenden Sie den ARN der Überwachungskonto-Untersuchungsgruppe.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Dieser Schritt muss in jedem Quellkonto erfolgen.

  3. Wenn Sie die Überwachungskonto-Rolle über die Konsole einrichten, ist der Rollenname des Quellkontos standardmäßig auf AIOps-CrossAccountInvestionRole eingestellt.

  4. Bestätigen Sie den Zugriff, indem Sie sich beim Überwachungskonto anmelden, zur Untersuchungsgruppe, dann zu Konfiguration navigieren und Kontoübergreifende Einrichtung auswählen.

    Vergewissern Sie sich, dass das Quellkonto in der kontoübergreifenden Konfiguration angezeigt wird und der Status Mit Überwachungskonto verbunden lautet.

Untersuchen von Problemen, die mehrere Konten betreffen

Nachdem Sie das CloudWatch kontoübergreifende Observability-Dashboard eingerichtet haben, können Sie die kontenübergreifende Telemetrie in Ihrem Monitoring-Konto einsehen und untersuchen. Sie müssen eine kontoübergreifende Telemetrie aus dem Quellkonto hinzufügen, um eine Untersuchung für dieses Quellkonto durchzuführen.

Ausführliche Informationen zum Erstellen einer Untersuchung finden Sie unter Untersuchen Sie betriebliche Probleme in Ihrer Umgebung.