Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enquêtes entre comptes
CloudWatch Les enquêtes entre comptes vous permettent d'étudier des problèmes d'application multiples à Comptes AWS partir d'un compte de surveillance centralisé. Cette fonctionnalité vous permet de corréler les données de télémétrie, les métriques et les journaux de 25 comptes au maximum, en plus du compte de surveillance, afin d'obtenir une visibilité complète sur les applications distribuées et de résoudre des scénarios complexes impliquant plusieurs comptes.
Rubriques
Prérequis
-
L'investigation multicompte nécessite que vous ayez déjà configuré l'observabilité entre comptes afin de visualiser les télémétries entre comptes. Pour remplir le prérequis, configurez l'observabilité entre comptes ou le tableau de bord entre comptes.
-
Configurez un groupe d'enquête. Pour l'observabilité entre comptes, cela doit figurer dans le compte de surveillance. Vous pouvez également les configurer dans les comptes sources et y effectuer des enquêtes sur un seul compte.
Configurez votre compte de surveillance pour un accès entre comptes
Configurez votre compte de surveillance pour un accès entre comptes
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le volet de navigation de gauche, choisissez AI Operations, Configuration.
-
Sous Configurer l'accès entre comptes, sélectionnez Configurer.
-
Ajoutez l'ID de compte pour un maximum de 25 comptes dans la section Liste des comptes sources.
-
Mettez à jour votre rôle IAM.
-
Automatiquement
-
Si vous choisissez Mettre à jour automatiquement le rôle d'assistant (recommandé), cela crée une politique gérée par le client
AIOpsAssistantCrossAccountPolicy-${guid}avec lessts:AssumeRoleinstructions pour assumer les rôles de compte source fournis. Le choix de l'option de mise à jour automatique place par défaut le nom du rôle IAMAIOps-CrossAccountInvestigationRoledans les comptes sources.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } } -
Si le propriétaire du compte de surveillance supprime un compte source de la configuration entre comptes, la politique IAM ne sera pas mise à jour automatiquement. Vous devez mettre à jour manuellement le rôle et la politique IAM pour vous assurer qu'ils disposent toujours du minimum d'autorisations possible.
-
Vous pouvez atteindre la limite de politiques gérées par rôle si les autorisations ne sont pas mises à jour manuellement lors de la suppression d'un compte source. Vous devez supprimer toutes les politiques gérées inutilisées associées à votre rôle d'investigation.
-
-
Manuellement
-
Vous trouverez ci-dessous un exemple de ce à quoi devrait ressembler la politique de confiance du rôle d'assistant. Pour de plus amples informations, veuillez consulter Premiers pas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*" } } } ] }Pour accorder un accès entre comptes, la politique d'autorisation du rôle d'investigation dans le compte de surveillance doit contenir les éléments suivants. Si vous configurez le compte de surveillance manuellement, le nom du rôle peut être celui que vous choisissez. Il n'est pas défini par défaut sur
AIOps-CrossAccountInvestigationRole{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/source_role_name_1" "arn:aws:iam::555555555555:role/source_role_name_2" "arn:aws:iam::666666666666:role/source_role_name_3" ] } }
-
-
Configurez votre ou vos comptes source pour un accès entre comptes
-
Donnez ce nom à un rôle IAM
AIOps-CrossAccountInvestigationRolesi vous avez sélectionné l'option Mettre à jour automatiquement le rôle d'assistant pour configurer le compte de surveillance. Si vous avez utilisé l'option de configuration manuelle, attribuez au rôle IAM le nom de rôle de votre compte source personnalisé.-
Associez la politique AWS gérée
AIOpsAssistantPolicyau rôle dans la console IAM. -
La politique de confiance du rôle sur le compte source ressemble à ceci.
ExternalIDdoit être spécifié dans la politique. Utilisez l'arn du groupe d'investigation du compte de surveillance.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ]
-
-
Cela doit être fait dans chacun des comptes sources.
-
Si vous configurez le rôle du compte de surveillance via la console, le nom du rôle du compte source est par défaut.
AIOps-CrossAccountInvestionRole -
Confirmez l'accès en vous connectant au compte de surveillance, en accédant à Investigation Group, puis à Configuration, puis en choisissant Configuration entre comptes.
Assurez-vous que le compte source apparaît dans la configuration multi-comptes et que le statut est Lié au compte de surveillance.
Étude des problèmes liés à plusieurs comptes
Après avoir configuré l'OAM ou le tableau de bord multi-comptes, vous pouvez consulter et étudier à partir d'une télémétrie entre comptes dans votre compte de surveillance. Vous devez ajouter une télémétrie entre comptes à partir du compte source afin de lancer une enquête sur ce compte source.
Pour obtenir des informations détaillées sur la création d'une enquête, consultezÉtudiez les problèmes opérationnels dans votre environnement.
