Voraussetzungen Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein Untersuchung von Problemen mit mehreren Konten

Kontoübergreifende Untersuchungen

Kontoübergreifende CloudWatch Untersuchungen ermöglichen es Ihnen, Anwendungsprobleme, die sich über mehrere erstrecken, AWS-Konten von einem zentralen Überwachungskonto aus zu untersuchen. Mit dieser Funktion können Sie zusätzlich zum Überwachungskonto Telemetriedaten, Metriken und Protokolle für bis zu 25 Konten korrelieren, um einen umfassenden Überblick über verteilte Anwendungen zu erhalten und komplexe Szenarien mit mehreren Konten zu beheben.

Themen

Voraussetzungen
Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein
Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein
Untersuchung von Problemen mit mehreren Konten

Voraussetzungen

Für die Untersuchung mehrerer Konten müssen Sie bereits die kontenübergreifende Observability eingerichtet haben, um kontenübergreifende Telemetriedaten einsehen zu können. Um die Voraussetzung zu erfüllen, müssen Sie entweder die kontenübergreifende Beobachtbarkeit oder das kontenübergreifende Dashboard einrichten.
Richten Sie eine Untersuchungsgruppe ein. Für eine kontenübergreifende Beobachtbarkeit sollte dies im Überwachungskonto erfolgen. Sie können sie auch in den Quellkonten einrichten und dort Einzelkontenuntersuchungen durchführen.

Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein

Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/
Wählen Sie im linken Navigationsbereich AI Operations, Configuration aus.
Wählen Sie unter Kontoübergreifenden Zugriff konfigurieren die Option Konfigurieren aus.
Fügen Sie im Abschnitt Quellkonten auflisten die Konto-ID für bis zu 25 Konten hinzu.
Aktualisieren Sie Ihre IAM-Rolle.
1. Automatisch
  - Wenn Sie die Assistentenrolle automatisch aktualisieren (empfohlen) wählen, wird eine vom Kunden verwaltete Richtlinie AIOpsAssistantCrossAccountPolicy-${guid} mit dem Namen der sts:AssumeRole Anweisungen zur Übernahme der angegebenen Quellkontorollen erstellt. Wenn Sie die Option „Automatisches Update“ wählen, wird der IAM-Rollenname AIOps-CrossAccountInvestigationRole in den Quellkonten standardmäßig auf den Namen der IAM-Rolle gesetzt.
    JSON
    
    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } }
  - Wenn der Besitzer des Überwachungskontos ein Quellkonto aus der kontoübergreifenden Konfiguration entfernt, wird die IAM-Richtlinie nicht automatisch aktualisiert. Sie müssen die IAM-Rolle und -Richtlinie manuell aktualisieren, um sicherzustellen, dass sie immer über die geringstmöglichen Berechtigungen verfügt.
  - Wenn die Berechtigungen beim Entfernen eines Quellkontos nicht manuell aktualisiert werden, können Sie das Limit an verwalteten Richtlinien pro Rolle erreichen. Sie müssen alle ungenutzten verwalteten Richtlinien löschen, die Ihrer Ermittlungsrolle zugeordnet sind.
2. manuell
  - Im Folgenden finden Sie ein Beispiel dafür, wie die Vertrauensrichtlinie der Assistentenrolle aussehen sollte. Weitere Informationen finden Sie unter Erste Schritte.
    JSON
    
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*" } } } ] }
    Um kontoübergreifenden Zugriff zu gewähren, muss die Berechtigungsrichtlinie der Ermittlungsrolle im Überwachungskonto Folgendes enthalten. Wenn Sie das Überwachungskonto manuell konfigurieren, kann der Rollenname beliebig sein. Standardmäßig ist es nicht AIOps-CrossAccountInvestigationRole
    JSON
    
    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/source_role_name_1", "arn:aws:iam::555555555555:role/source_role_name_2", "arn:aws:iam::666666666666:role/source_role_name_3" ] } }

Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein

Stellen Sie eine IAM-Rolle mit dem Namen bereit, AIOps-CrossAccountInvestigationRole wenn Sie die Option Assistentenrolle automatisch aktualisieren ausgewählt haben, um das Überwachungskonto einzurichten. Wenn Sie die manuelle Einrichtungsoption verwendet haben, stellen Sie der IAM-Rolle den Rollennamen Ihres benutzerdefinierten Quellkontos zur Verfügung.
1. Hängen Sie die AWS verwaltete Richtlinie AIOpsAssistantPolicy an die Rolle in der IAM-Konsole an.
2. Die Vertrauensrichtlinie der Rolle auf dem Quellkonto sieht wie folgt aus. ExternalIDmuss in der Richtlinie angegeben werden. Verwenden Sie die Überwachungskonto-Ermittlungsgruppe arn.
  JSON
  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ] }
Dies muss in jedem der Quellkonten erfolgen.
Wenn Sie die Rolle des Überwachungskontos über die Konsole einrichten, ist der Rollenname des Quellkontos standardmäßig auf AIOps-CrossAccountInvestionRole eingestellt.
Bestätigen Sie den Zugriff, indem Sie sich beim Überwachungskonto anmelden, zu Investigation Group, dann zu Konfiguration navigieren und dann Kontoübergreifende Einrichtung auswählen.

Vergewissern Sie sich, dass das Quellkonto in der kontoübergreifenden Konfiguration angezeigt wird und der Status „Mit Überwachungskonto verknüpft“ lautet.

Untersuchung von Problemen mit mehreren Konten

Nachdem Sie OAM oder ein kontoübergreifendes Dashboard eingerichtet haben, können Sie die Daten von einer kontoübergreifenden Telemetrie in Ihrem Monitoring-Konto aus einsehen und untersuchen. Sie müssen eine kontoübergreifende Telemetrie aus dem Quellkonto hinzufügen, um eine Untersuchung für dieses Quellkonto durchführen zu können.

Ausführliche Informationen zum Erstellen einer Untersuchung finden Sie unter. Untersuchen Sie betriebliche Probleme in Ihrer Umgebung

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwalte deine aktuellen Untersuchungen

Sicherheit bei CloudWatch Ermittlungen