Configuration d’un groupe d’enquête - Amazon CloudWatch

Configuration d’un groupe d’enquête

Pour utiliser les enquêtes CloudWatch avec des enquêtes avancées dans votre compte, vous devez créer un groupe d’enquête. La création d’un groupe d’enquête est une tâche ponctuelle : une fois créé, ce groupe est utilisé pour toutes les autres enquêtes. Les paramètres du groupe d’enquête vous permettent de gérer de façon centralisée les propriétés communes de vos enquêtes, notamment :

  • Qui peut accéder aux enquêtes

  • Assistance intercomptes aux enquêtes pour accéder à des ressources dans d’autres comptes pendant une enquête

  • Chiffrement des données d’enquête à l’aide d’une clé AWS Key Management Service gérée par le client.

  • La durée de conservation par défaut des enquêtes et de leurs données.

Vous ne pouvez avoir qu’un seul groupe d’enquête par compte. Chaque enquête créée dans votre compte fera partie de ce groupe.

Pour créer un groupe d’enquête, vous devez être connecté avec un principal IAM auquel est associée la politique IAM AIOpsConsoleAdminPolicy ou AdministratorAccess, ou avec un compte disposant d’autorisations équivalentes.

Note

Pour pouvoir sélectionner l’option recommandée consistant à créer un nouveau rôle IAM pour les enquêtes opérationnelles CloudWatch, vous devez être connecté à un principal IAM disposant des autorisations iam:CreateRole, iam:AttachRolePolicy et iam:PutRolePolicy.

Important

Les enquêtes CloudWatch utilisent l’inférence entre régions pour répartir le trafic entre les différentes régions AWS. Pour de plus amples informations, consultez Inférence interrégionale.

Pour créer un groupe d’enquête dans votre compte

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation de gauche, sélectionnez AI Operations, Configuration.

  3. Sélectionnez Configurer pour ce compte.

  4. Modifiez éventuellement la période de conservation des enquêtes. Pour plus d’informations sur ce que couvre la période de conservation, consultez Conservation des données dans les enquêtes CloudWatch.

  5. (Facultatif) Pour chiffrer les données de vos enquêtes à l’aide d’une clé AWS KMS gérée par le client, sélectionnez Personnaliser les paramètres de chiffrement et suivez les étapes pour créer ou spécifier la clé à utiliser. Si vous ne spécifiez pas de clé gérée par le client, les enquêtes CloudWatch utilisent une clé détenue par AWS pour le chiffrement. Pour de plus amples informations, consultez Chiffrement des données d’enquête.

  6. Choisissez comment accorder aux enquêtes CloudWatch les autorisations nécessaires pour accéder aux ressources. Pour pouvoir sélectionner l’une des deux premières options ci-dessous, vous devez être connecté à un principal IAM disposant des autorisations iam:CreateRole, iam:AttachRolePolicy et iam:PutRolePolicy.

    1. (Recommandé) Sélectionnez Créer automatiquement un nouveau rôle avec les autorisations d’enquête par défaut. Ce rôle se verra accorder des autorisations via les politiques gérées par AWS pour AI Operations. Pour plus d’informations, consultez Autorisations des utilisateurs pour votre groupe d’enquêtes CloudWatch .

    2. Créez vous-même un nouveau rôle, puis attribuez les modèles de politiques.

    3. Sélectionnez Attribuer un rôle existant si vous disposez déjà d’un rôle comportant les autorisations que vous voulez utiliser.

      Si vous choisissez cette option, vous devez vous assurer que le rôle inclut une politique d’approbation désignant aiops.amazonaws.com comme principal de service. Pour plus d’informations sur l’utilisation des principaux de service dans les politiques d’approbation, consultez Principaux de service AWS.

      Nous vous recommandons également d’inclure une section Condition comportant le numéro de compte, afin d’éviter toute situation de confusion d’identité. L’exemple suivant de politique d’approbation illustre à la fois le principal de service et la section Condition.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Sélectionnez Créer un groupe d’enquête. Vous pouvez désormais créer une enquête à partir d’une alarme, d’une métrique ou d’un aperçu du journal.

Vous pouvez également configurer des paramètres supplémentaires recommandés pour enrichir votre expérience.

  1. Dans le volet de navigation de gauche, sélectionnez AI Operations, Configuration.

  2. Dans l’onglet Configuration facultative, choisissez les améliorations que vous souhaitez appliquer aux enquêtes CloudWatch.

  3. Dans Configurer l’accès intercompte, vous pouvez définir ce compte comme un compte de surveillance qui collecte des données provenant d’autres comptes sources de votre organisation. Pour de plus amples informations, consultez Enquêtes intercomptes.

  4. Pour Intégrations avancées, choisissez d’autoriser les enquêtes CloudWatch à accéder à des services supplémentaires de votre système afin de lui permettre de recueillir davantage de données et d’offrir des analyses plus pertinentes.

    1. Dans la section Balises pour la détection des limites des applications, saisissez les clés de balises personnalisées déjà utilisées pour vos applications personnalisées dans le système. Les balises de ressources aident les enquêtes CloudWatch à réduire l’espace de recherche lorsqu’elle n’est pas en mesure d’établir des relations précises entre les ressources. Par exemple, pour découvrir qu’un service Amazon ECS dépend d’une base de données Amazon RDS, les enquêtes CloudWatch peuvent identifier cette relation à partir de sources de données telles que X-Ray et la vigie applicative CloudWatch. Cependant, si ces fonctionnalités ne sont pas activées, les enquêtes CloudWatch tenteront de déduire les relations possibles entre les ressources. Les balises de délimitation peuvent alors être utilisées pour restreindre l’ensemble des ressources prises en compte par les enquêtes CloudWatch dans ces cas.

      Vous n’avez pas besoin de saisir les balises créées par myApplications ou CloudFormation, car les enquêtes CloudWatch peuvent les détecter automatiquement.

    2. CloudTrail enregistre les événements liés aux modifications de votre système, notamment les événements de déploiement. Ces événements peuvent être très utiles aux enquêtes CloudWatch pour formuler des hypothèses sur les causes profondes des problèmes détectés dans votre environnement. Dans la section CloudTrail pour la détection des événements de changement, vous pouvez autoriser les enquêtes CloudWatch à accéder à certains des événements enregistrés par AWS CloudTrail en activant l’option Autoriser l’assistant à accéder aux événements de modification CloudTrail via l’historique des événements CloudTrail. Pour plus d’informations, consultez Travailler avec l’historique des événements CloudTrail.

    3. Les sections X-Ray pour le mappage topologique et Vigie applicative pour l’évaluation de l’état présentent d’autres services AWS qui peuvent aider les enquêtes CloudWatch à obtenir des informations. Si vous avez déployé ces services et attribué la politique IAM AIOpsAssistantPolicy aux enquêtes CloudWatch, celles-ci pourront accéder aux données de télémétrie issues de X-Ray et de la vigie applicative.

      Pour plus d’informations sur la manière dont ces services aident les enquêtes CloudWatch, consultez X-Ray et Vigie applicative CloudWatch.

    4. Si vous utilisez Amazon EKS, votre groupe d’enquête des enquêtes CloudWatch peut exploiter directement les informations de votre cluster Amazon EKS une fois que vous avez configuré les entrées d’accès. Pour de plus amples informations, consultez Intégration à Amazon EKS.

    5. Si vous utilisez Amazon RDS, activez le mode avancé de Database Insights sur vos instances de base de données. Database Insights surveille la charge des bases de données et fournit des analyses de performance détaillées qui aident les enquêtes CloudWatch à identifier les problèmes liés aux bases de données lors des enquêtes. Lorsque le mode avancé de Database Insights est activé, les enquêtes CloudWatch peuvent générer automatiquement des rapports d’analyse de performance contenant des observations détaillées, des anomalies de métriques, une analyse des causes profondes et des recommandations spécifiques à la charge de travail de votre base de données. Pour plus d’informations sur Database Insights et sur l’activation du mode avancé, consultez Surveillance des bases de données Amazon RDS avec CloudWatch Database Insights.

  5. Vous pouvez intégrer les enquêtes CloudWatch à un canal de messagerie. Cela permet de recevoir des notifications concernant une enquête directement dans le canal de messagerie. Les enquêtes CloudWatch prennent en charge les canaux de messagerie dans les applications suivantes :

    • Slack

    • Microsoft Teams

    Si vous souhaitez intégrer à un canal de messagerie, nous vous recommandons d’effectuer quelques étapes supplémentaires avant d’activer cette amélioration dans votre groupe d’enquête. Pour de plus amples informations, consultez Intégration à des systèmes de messagerie tiers.

    Effectuez ensuite les étapes suivantes pour intégrer un canal de messagerie dans les applications de messagerie :

    • Dans la section Intégration du client de messagerie, choisissez Sélectionner une rubrique SNS.

    • Sélectionnez la rubrique SNS à utiliser pour envoyer des notifications relatives à vos enquêtes.