Investigasi lintas akun - Amazon CloudWatch
PrasyaratSiapkan akun pemantauan Anda untuk akses lintas akunSiapkan akun sumber Anda untuk akses lintas akunMenyelidiki masalah multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Investigasi lintas akun

CloudWatch Investigasi lintas akun memungkinkan Anda untuk menyelidiki masalah aplikasi yang mencakup beberapa Akun AWS dari akun pemantauan terpusat. Fitur ini memungkinkan Anda untuk mengkorelasikan data telemetri, metrik, dan log di hingga 25 akun, selain akun pemantauan, untuk mendapatkan visibilitas komprehensif ke dalam aplikasi terdistribusi dan memecahkan masalah skenario multi-akun yang kompleks.

Prasyarat

Siapkan akun pemantauan Anda untuk akses lintas akun

Siapkan akun pemantauan Anda untuk akses lintas akun

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi kiri, pilih Operasi AI, Konfigurasi.

  3. Di bawah Konfigurasi akses Lintas akun, pilih Konfigurasi.

  4. Tambahkan ID Akun hingga 25 akun di bawah bagian Daftar akun sumber.

  5. Perbarui peran IAM Anda.

    1. Secara otomatis

      • Jika Anda memilih Memperbarui peran asisten secara otomatis (disarankan), ini akan membuat kebijakan terkelola pelanggan bernama AIOpsAssistantCrossAccountPolicy-${guid} yang menyertakan sts:AssumeRole pernyataan yang diperlukan untuk mengambil peran asisten di akun sumber yang ditentukan. Memilih opsi pembaruan otomatis secara default nama peran IAM AIOps-CrossAccountInvestigationRole di akun sumber.

        JSON
        {
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Jika pemilik akun pemantauan menghapus akun sumber dari konfigurasi lintas akun, kebijakan IAM tidak akan diperbarui secara otomatis. Anda harus memperbarui peran dan kebijakan IAM secara manual untuk memastikan selalu memiliki izin seminimal mungkin.

      • Anda dapat mencapai batas kebijakan terkelola per peran jika izin tidak diperbarui secara manual saat akun sumber dihapus. Anda harus menghapus kebijakan terkelola yang tidak terpakai yang melekat pada peran investigasi Anda.

    2. Secara manual

      • Contoh berikut menunjukkan kebijakan kepercayaan yang diperlukan untuk peran asisten:

        JSON
        
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        Anda dapat menggunakan AWS CLI untuk membuat peran akun sumber kustom dan kemudian melampirkan AIOpsAssistantPolicy ke peran menggunakan perintah berikut, menggantikan nilai placeholder dengan nilai yang sesuai untuk lingkungan Anda: 

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17",		 	 	  
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • Untuk memberikan akses lintas akun, kebijakan izin peran asisten dalam akun pemantauan harus berisi hal-hal berikut. Jika Anda mengonfigurasi akun pemantauan secara manual, nama peran dapat berupa apa pun yang Anda pilih. Itu tidak default keAIOps-CrossAccountInvestigationRole, pastikan untuk menentukan nama peran asisten untuk masing-masing akun sumber.

        JSON
        {
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • Gunakan AWS CLI untuk memperbarui grup investigasi akun pemantauan dengan ARN peran akun sumber kustom menggunakan perintah berikut, menggantikan nilai placeholder dengan nilai yang sesuai untuk lingkungan Anda: 

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        Untuk detail lebih lanjut tentang perintah ini, lihat Referensi Perintah AWS CLI.

Siapkan akun sumber Anda untuk akses lintas akun

  1. Menyediakan peran IAM dengan nama AIOps-CrossAccountInvestigationRole jika Anda memilih opsi Perbarui peran asisten secara otomatis untuk menyiapkan akun pemantauan. Jika Anda menggunakan opsi penyiapan manual, berikan peran IAM dengan nama peran akun sumber yang disesuaikan.

    1. Lampirkan kebijakan AWS terkelola AIOpsAssistantPolicy ke peran di konsol IAM.

    2. Kebijakan kepercayaan peran pada akun sumber terlihat seperti ini. ExternalIDharus ditentukan pada kebijakan. Gunakan kelompok investigasi akun pemantauan ARN.

      JSON
      {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Ini harus dilakukan di setiap akun sumber.

  3. Jika Anda mengatur peran akun pemantauan melalui konsol, nama peran akun sumber akan menjadi default. AIOps-CrossAccountInvestionRole

  4. Konfirmasikan akses dengan masuk ke akun pemantauan, navigasikan ke Grup Investigasi, lalu Konfigurasi, lalu pilih Pengaturan lintas akun.

    Pastikan akun sumber muncul dalam konfigurasi lintas akun, dan statusnya Ditautkan ke akun pemantauan.

Menyelidiki masalah multi-akun

Setelah menyiapkan dasbor observabilitas CloudWatch lintas akun, Anda dapat melihat dan menyelidiki dari telemetri lintas akun di akun pemantauan Anda. Anda harus menambahkan telemetri lintas akun dari akun sumber untuk menjalankan penyelidikan ke akun sumber tersebut.

Untuk informasi rinci tentang cara membuat investigasi, lihatSelidiki masalah operasional di lingkungan Anda.