Investigaciones entre cuentas - Amazon CloudWatch
Requisitos previosConfigurar su cuenta de supervisión para el acceso entre cuentasConfigurar su cuenta de origen para el acceso entre cuentasInvestigar problemas entre varias cuentas

Investigaciones entre cuentas

Las investigaciones entre cuentas de CloudWatch le permiten investigar problemas de aplicaciones que abarcan varias Cuentas de AWS desde una cuenta de supervisión centralizada. Esta característica le permite correlacionar datos de telemetría, métricas y registros de hasta 25 cuentas, además de la cuenta de supervisión, para obtener una visibilidad completa de las aplicaciones distribuidas y solucionar problemas complejos en escenarios con varias cuentas.

Requisitos previos

  • La investigación entre varias cuentas requiere que ya tenga configurada la observabilidad entre cuentas para poder ver las telemetrías entre cuentas. Para completar el requisito previo, configure la observabilidad entre cuentas o el panel de control entre cuentas.

  • Configure un grupo de investigación. Para la observabilidad entre cuentas, debe estar en la cuenta de supervisión. También puede configurarlo en las cuentas de origen y realizar allí investigaciones de una sola cuenta.

Configurar su cuenta de supervisión para el acceso entre cuentas

Configurar su cuenta de supervisión para el acceso entre cuentas

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación izquierdo, elija Operaciones de IA, Configuración.

  3. En Configurar el acceso entre cuentas, seleccione Configurar.

  4. Agregue el ID de cuenta de hasta 25 cuentas en la sección Enumerar las cuentas de origen.

  5. Actualice su rol de IAM.

    1. Automáticamente

      • Si elige Actualizar automáticamente el rol de asistente (recomendado), se crea una política administrada por el cliente llamada AIOpsAssistantCrossAccountPolicy-${guid} con las instrucciones de sts:AssumeRole para asumir los roles de la cuenta de origen proporcionados. Al elegir la opción de actualización automática, el nombre del rol de IAM se establece de manera predeterminada como AIOps-CrossAccountInvestigationRole en las cuentas de origen.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Si el propietario de la cuenta de supervisión elimina una cuenta de origen de la configuración entre cuentas, la política de IAM no se actualizará automáticamente. Debe actualizar manualmente la política y el rol de IAM para garantizar que siempre tengan los permisos mínimos posibles.

      • Puede alcanzar el límite de políticas administradas por rol si los permisos no se actualizan manualmente cuando se elimina una cuenta de origen. Debe eliminar todas las políticas administradas no utilizadas asociadas a su rol de investigación.

    2. Manualmente

      • A continuación, se muestra un ejemplo de cómo debería ser la política de confianza del rol de asistente. Para obtener más información, consulte Introducción.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                }
            }
        }
    ]
}

        Para conceder el acceso entre cuentas, la política de permisos del rol de investigación en la cuenta de supervisión debe incluir lo siguiente. Si configura la cuenta de supervisión manualmente, puede elegir el nombre de rol que desee. No tiene AIOps-CrossAccountInvestigationRole como valor predeterminado

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/source_role_name_1",
            "arn:aws:iam::555555555555:role/source_role_name_2",
            "arn:aws:iam::666666666666:role/source_role_name_3"
        ]
    }
}

Configurar su cuenta de origen para el acceso entre cuentas

  1. Aprovisione un rol de IAM con el nombre AIOps-CrossAccountInvestigationRole si seleccionó la opción Actualizar automáticamente el rol de asistente para configurar la cuenta de supervisión. Si utilizó la opción de configuración manual, aprovisione el rol de IAM con el nombre de rol personalizado de la cuenta de origen.

    1. En la consola de IAM, asocie la política administrada AIOpsAssistantPolicy de AWS a su rol de IAM.

    2. La política de confianza del rol en la cuenta de origen tiene el siguiente aspecto. ExternalID debe especificarse en la política. Utilice el ARN del grupo de investigación de la cuenta de supervisión.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Debe hacerlo en cada una de las cuentas de origen.

  3. Si configura el rol de la cuenta de supervisión a través de la consola, el nombre del rol de la cuenta de origen será AIOps-CrossAccountInvestionRole de forma predeterminada.

  4. Confirme el acceso; para ello, inicie sesión en la cuenta de supervisión, vaya a Grupo de investigación, luego a Configuración y, por último, seleccione Configuración entre cuentas.

    Asegúrese de que la cuenta de origen aparezca en la configuración entre cuentas y que el estado sea Vinculada a la cuenta de supervisión.

Investigar problemas entre varias cuentas

Después de configurar OAM o el panel entre cuentas, puede ver e investigar desde una telemetría entre cuentas en su cuenta de supervisión. Debe agregar una telemetría entre cuentas desde la cuenta de origen para poder realizar una investigación en esa cuenta de origen.

Para obtener información detallada sobre cómo crear una investigación, consulte Investigación de los problemas operativos de su entorno.