Conditions préalables Configuration de votre compte de surveillance pour l’accès intercompte Configuration de vos comptes sources pour l’accès intercompte Enquête sur les problèmes liés aux comptes multiples

Enquêtes intercomptes

CloudWatch Les enquêtes entre comptes vous permettent d'étudier des problèmes d'application multiples à Comptes AWS partir d'un compte de surveillance centralisé. Cette fonctionnalité vous permet de corréler les données de télémétrie, les métriques et les journaux provenant de jusqu’à 25 comptes, en plus du compte de surveillance, afin d’obtenir une visibilité complète sur vos applications distribuées et de résoudre des scénarios complexes impliquant plusieurs comptes.

Rubriques

Conditions préalables
Configuration de votre compte de surveillance pour l’accès intercompte
Configuration de vos comptes sources pour l’accès intercompte
Enquête sur les problèmes liés aux comptes multiples

Conditions préalables

L’enquête multicompte nécessite que vous ayez déjà configuré l’observabilité intercomptes afin de visualiser les télémétries intercomptes. Pour remplir ce prérequis, configurez l’observabilité intercomptes ou le tableau de bord intercomptes.
Configurez un groupe d’enquête. Pour l’observabilité intercomptes, le groupe d’enquête doit être créé dans le compte de surveillance. Vous pouvez également configurer des groupes d’enquête dans les comptes sources et y exécuter des enquêtes individuelles.

Configuration de votre compte de surveillance pour l’accès intercompte

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le volet de navigation de gauche, sélectionnez AI Operations, Configuration.
Sous Configurer l’accès intercompte, sélectionnez Configurer.
Ajoutez l’ID de compte pour un maximum de 25 comptes dans la section Liste des comptes sources.

Mettez à jour votre rôle IAM.

Automatiquement
- Si vous choisissez Mettre à jour automatiquement le rôle d’assistant (recommandé), cela crée une politique gérée par le client nommée AIOpsAssistantCrossAccountPolicy-${guid} qui inclut les instructions sts:AssumeRole nécessaires pour assumer le rôle d’assistant dans les comptes source spécifiés. Le fait de choisir l’option de mise à jour automatique place par défaut le nom du rôle IAM à AIOps-CrossAccountInvestigationRole dans les comptes sources.
  JSON
  
  { "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } }
- Si le propriétaire du compte de surveillance supprime un compte source de la configuration intercomptes, la politique IAM ne sera pas mise à jour automatiquement. Vous devrez alors mettre à jour manuellement le rôle IAM et la stratégie afin de garantir qu’ils ne conservent que les autorisations minimales nécessaires.
- Si les autorisations ne sont pas mises à jour après la suppression d’un compte source, vous risquez d’atteindre la limite du nombre de politiques gérées par rôle. Vous devez supprimer toutes les politiques gérées inutilisées attachées à votre rôle d’enquête.

Manuellement

L’exemple suivant présente la politique d’approbation requise pour le rôle d’assistant :

Vous pouvez utiliser le AWS CLI pour créer le rôle de compte source personnalisé, puis l'associer au rôle AIOpsAssistantPolicy à l'aide des commandes suivantes, en remplaçant les valeurs d'espace réservé par les valeurs appropriées pour votre environnement :


aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17",		 	 	  
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

Pour accorder l’accès intercompte, la politique d’autorisation du rôle de l’assistant dans le compte de surveillance doit contenir les instructions ci-dessous. Si vous configurez manuellement le compte de surveillance, le nom du rôle peut être celui de votre choix. Il n’est pas défini automatiquement par défaut sur AIOps-CrossAccountInvestigationRole. Assurez-vous de spécifier le nom exact du rôle de l’assistant pour chacun des comptes sources.
JSON
{ "Version":"2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/custom_source_account_role_name", "arn:aws:iam::555555555555:role/custom_source_account_role_name", "arn:aws:iam::666666666666:role/custom_source_account_role_name" ] } }
Utilisez le AWS CLI pour mettre à jour le groupe d'investigation du compte de surveillance avec l'ARN du rôle de compte source personnalisé à l'aide de la commande suivante, en remplaçant les valeurs d'espace réservé par les valeurs appropriées pour votre environnement :
```
aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2
```
Pour plus d’informations sur cette commande, consultez la Référence de commande CLI AWS.

Configuration de vos comptes sources pour l’accès intercompte

Créez un rôle IAM portant le nom AIOps-CrossAccountInvestigationRole, si vous avez sélectionné l’option Mettre à jour automatiquement le rôle d’assistant lors de la configuration du compte de surveillance. Si vous avez choisi la configuration manuelle, créez le rôle IAM avec le nom personnalisé du rôle du compte source.
1. Associez la politique AWS gérée AIOpsAssistantPolicy au rôle dans la console IAM.
2. La politique d’approbation du rôle sur le compte source ressemble à ceci. ExternalIDdoit être spécifié dans la politique. Utilisez l’ARN du groupe d’enquête du compte de surveillance.
  JSON
  { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ] }
Cela doit être fait dans chacun des comptes sources.
Si vous avez configuré le rôle du compte de surveillance à partir de la console, le nom du rôle du compte source sera défini par défaut sur AIOps-CrossAccountInvestionRole.
Confirmez l’accès en vous connectant au compte de surveillance, en accédant à Groupe d’enquête, puis à Configuration, puis en sélectionnant Configuration intercompte.

Assurez-vous que le compte source apparaît bien dans la configuration intercompte et que son état est Lié au compte de surveillance.

Enquête sur les problèmes liés aux comptes multiples

Après avoir configuré le tableau de bord d'observabilité CloudWatch entre comptes, vous pouvez consulter et étudier à partir d'une télémétrie entre comptes dans votre compte de surveillance. Pour exécuter une enquête sur un compte source, vous devez ajouter une télémétrie intercompte provenant de ce compte source.

Pour plus de détails sur la création d’une enquête, consultez Étudiez les problèmes opérationnels dans votre environnement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Redémarrage d’une enquête archivée

Générez des rapports d'incidents