Voraussetzungen Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein Untersuchung von Problemen mit mehreren Konten

Kontenübergreifende Untersuchungen

Kontoübergreifende CloudWatch Untersuchungen ermöglichen es Ihnen, Anwendungsprobleme, die sich über mehrere erstrecken, AWS-Konten von einem zentralen Überwachungskonto aus zu untersuchen. Mit dieser Funktion können Sie zusätzlich zum Überwachungskonto Telemetriedaten, Metriken und Protokolle für bis zu 25 Konten korrelieren, um einen umfassenden Überblick über verteilte Anwendungen zu erhalten und komplexe Szenarien mit mehreren Konten zu beheben.

Themen

Voraussetzungen
Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein
Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein
Untersuchung von Problemen mit mehreren Konten

Voraussetzungen

Für die Untersuchung mehrerer Konten müssen Sie bereits die kontenübergreifende Observability eingerichtet haben, um kontenübergreifende Telemetriedaten einsehen zu können. Um die Voraussetzungen zu erfüllen, müssen Sie entweder die kontenübergreifende Beobachtbarkeit oder das kontenübergreifende Dashboard einrichten.
Richten Sie eine Untersuchungsgruppe ein. Für eine kontenübergreifende Beobachtbarkeit sollte dies im Überwachungskonto erfolgen. Sie können sie auch in den Quellkonten einrichten und dort Einzelkontenuntersuchungen durchführen.

Richten Sie Ihr Überwachungskonto für den kontoübergreifenden Zugriff ein

Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/
Wählen Sie im linken Navigationsbereich AI Operations, Configuration aus.
Wählen Sie unter Kontoübergreifenden Zugriff konfigurieren die Option Konfigurieren aus.
Fügen Sie im Abschnitt Quellkonten auflisten die Konto-ID für bis zu 25 Konten hinzu.

Aktualisieren Sie Ihre IAM-Rolle.

Automatisch
- Wenn Sie die Assistentenrolle automatisch aktualisieren (empfohlen) wählen, wird eine vom Kunden verwaltete Richtlinie mit dem Namen erstellt, die die sts:AssumeRole Anweisungen enthältAIOpsAssistantCrossAccountPolicy-${guid}, die für die Übernahme der Assistentenrolle in den angegebenen Quellkonten erforderlich sind. Wenn Sie die Option „Automatisches Update“ wählen, wird der Name der IAM-Rolle standardmäßig auf AIOps-CrossAccountInvestigationRole den Quellkonten festgelegt.
  JSON
  
  { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } }
- Wenn der Besitzer des Überwachungskontos ein Quellkonto aus der kontoübergreifenden Konfiguration entfernt, wird die IAM-Richtlinie nicht automatisch aktualisiert. Sie müssen die IAM-Rolle und -Richtlinie manuell aktualisieren, um sicherzustellen, dass sie immer über die geringstmöglichen Berechtigungen verfügt.
- Wenn die Berechtigungen beim Entfernen eines Quellkontos nicht manuell aktualisiert werden, können Sie das Limit für verwaltete Richtlinien pro Rolle erreichen. Sie müssen alle ungenutzten verwalteten Richtlinien löschen, die Ihrer Ermittlungsrolle zugeordnet sind.

manuell

Das folgende Beispiel zeigt die Vertrauensrichtlinie, die für die Assistentenrolle erforderlich ist:

Sie können die Rolle verwenden AWS CLI , um das benutzerdefinierte Quellkonto zu erstellen und es dann mit den folgenden Befehlen AIOpsAssistantPolicy an die Rolle anzuhängen, wobei Sie die Platzhalterwerte durch die entsprechenden Werte für Ihre Umgebung ersetzen:


aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17", 
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

Um kontenübergreifenden Zugriff zu gewähren, muss die Berechtigungsrichtlinie der Assistentenrolle im Überwachungskonto Folgendes enthalten. Wenn Sie das Überwachungskonto manuell konfigurieren, kann der Rollenname beliebig sein. Standardmäßig ist dies nicht der Fall. Stellen Sie sicherAIOps-CrossAccountInvestigationRole, dass Sie den Namen der Assistentenrolle für jedes der Quellkonten angeben.
JSON
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/custom_source_account_role_name", "arn:aws:iam::555555555555:role/custom_source_account_role_name", "arn:aws:iam::666666666666:role/custom_source_account_role_name" ] } }
Verwenden Sie die AWS CLI , um die Überwachungskonto-Untersuchungsgruppe mit der benutzerdefinierten Quellkontorolle ARN zu aktualisieren. Verwenden Sie dazu den folgenden Befehl und ersetzen Sie dabei die Platzhalterwerte durch die entsprechenden Werte für Ihre Umgebung:
```
aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2
```
Weitere Informationen zu diesem Befehl finden Sie in der AWS CLI-Befehlsreferenz.

Richten Sie Ihr (e) Quellkonto (e) für den kontoübergreifenden Zugriff ein

Stellen Sie eine IAM-Rolle mit dem Namen bereit, AIOps-CrossAccountInvestigationRole wenn Sie die Option Assistentenrolle automatisch aktualisieren ausgewählt haben, um das Überwachungskonto einzurichten. Wenn Sie die manuelle Einrichtungsoption verwendet haben, stellen Sie der IAM-Rolle den Rollennamen Ihres benutzerdefinierten Quellkontos zur Verfügung.
1. Hängen Sie die AWS verwaltete Richtlinie AIOpsAssistantPolicy an die Rolle in der IAM-Konsole an.
2. Die Vertrauensrichtlinie der Rolle auf dem Quellkonto sieht wie folgt aus. ExternalIDmuss in der Richtlinie angegeben werden. Verwenden Sie die Überwachungskonto-Ermittlungsgruppe ARN.
  JSON
  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ] }
Dies muss in jedem der Quellkonten erfolgen.
Wenn Sie die Rolle des Überwachungskontos über die Konsole einrichten, ist der Rollenname des Quellkontos standardmäßig auf AIOps-CrossAccountInvestionRole eingestellt.
Bestätigen Sie den Zugriff, indem Sie sich beim Überwachungskonto anmelden, zu Investigation Group, dann zu Konfiguration navigieren und dann Kontoübergreifende Einrichtung auswählen.

Vergewissern Sie sich, dass das Quellkonto in der kontoübergreifenden Konfiguration angezeigt wird und der Status „Mit Überwachungskonto verknüpft“ lautet.

Untersuchung von Problemen mit mehreren Konten

Nachdem Sie das CloudWatch kontoübergreifende Observability-Dashboard eingerichtet haben, können Sie die kontenübergreifende Telemetrie in Ihrem Monitoring-Konto einsehen und untersuchen. Sie müssen eine kontoübergreifende Telemetrie aus dem Quellkonto hinzufügen, um eine Untersuchung für dieses Quellkonto durchführen zu können.

Ausführliche Informationen zum Erstellen einer Untersuchung finden Sie unter. Untersuchen Sie betriebliche Probleme in Ihrer Umgebung

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwalte deine aktuellen Untersuchungen

Sicherheit bei CloudWatch Ermittlungen