Investigasi lintas akun - Amazon CloudWatch
PrasyaratSiapkan akun pemantauan Anda untuk akses lintas akunSiapkan akun sumber Anda untuk akses lintas akunMenyelidiki masalah multi-akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Investigasi lintas akun

CloudWatch Investigasi lintas akun memungkinkan Anda untuk menyelidiki masalah aplikasi yang mencakup beberapa Akun AWS dari akun pemantauan terpusat. Fitur ini memungkinkan Anda untuk mengkorelasikan data telemetri, metrik, dan log di hingga 25 akun, selain akun pemantauan, untuk mendapatkan visibilitas komprehensif ke dalam aplikasi terdistribusi dan memecahkan masalah skenario multi-akun yang kompleks.

Prasyarat

Siapkan akun pemantauan Anda untuk akses lintas akun

Siapkan akun pemantauan Anda untuk akses lintas akun

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi kiri, pilih Operasi AI, Konfigurasi.

  3. Di bawah Konfigurasi akses Lintas akun, pilih Konfigurasi.

  4. Tambahkan ID Akun hingga 25 akun di bawah bagian Daftar akun sumber.

  5. Perbarui peran IAM Anda.

    1. Secara otomatis

      • Jika Anda memilih Memperbarui peran asisten secara otomatis (disarankan), ini akan membuat kebijakan terkelola pelanggan yang diberi nama AIOpsAssistantCrossAccountPolicy-${guid} dengan sts:AssumeRole pernyataan untuk mengambil peran akun sumber yang disediakan. Memilih opsi pembaruan otomatis secara default nama peran IAM AIOps-CrossAccountInvestigationRole di akun sumber.

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
            ]
    }
}

      • Jika pemilik akun pemantauan menghapus akun sumber dari konfigurasi lintas akun, kebijakan IAM tidak akan diperbarui secara otomatis. Anda harus memperbarui peran dan kebijakan IAM secara manual untuk memastikan selalu memiliki izin seminimal mungkin.

      • Anda dapat mencapai batas kebijakan terkelola per peran jika izin tidak diperbarui secara manual saat akun sumber dihapus. Anda harus menghapus kebijakan terkelola yang tidak terpakai yang dilampirkan pada peran investigasi Anda.

    2. Secara manual

      • Di bawah ini adalah contoh seperti apa kebijakan kepercayaan dari peran asisten. Untuk informasi selengkapnya, lihat Memulai.

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                }
            }
        }
    ]
}

        Untuk memberikan akses lintas akun, kebijakan izin peran investigasi dalam akun pemantauan harus berisi hal-hal berikut. Jika Anda mengonfigurasi akun pemantauan secara manual, nama peran dapat berupa apa pun yang Anda pilih. Itu tidak default ke AIOps-CrossAccountInvestigationRole

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/source_role_name_1"
            "arn:aws:iam::555555555555:role/source_role_name_2"
            "arn:aws:iam::666666666666:role/source_role_name_3"
            ]
    }
}

Siapkan akun sumber Anda untuk akses lintas akun

  1. Menyediakan peran IAM dengan nama AIOps-CrossAccountInvestigationRole jika Anda memilih opsi Perbarui peran asisten secara otomatis untuk menyiapkan akun pemantauan. Jika Anda menggunakan opsi penyiapan manual, berikan peran IAM dengan nama peran akun sumber yang disesuaikan.

    1. Lampirkan kebijakan AWS terkelola AIOpsAssistantPolicy ke peran di konsol IAM.

    2. Kebijakan kepercayaan peran pada akun sumber terlihat seperti ini. ExternalIDharus ditentukan pada kebijakan. Gunakan grup investigasi akun pemantauan arn.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
            }
        }
    }
]

  2. Ini harus dilakukan di setiap akun sumber.

  3. Jika Anda mengatur peran akun pemantauan melalui konsol, nama peran akun sumber akan menjadi default. AIOps-CrossAccountInvestionRole

  4. Konfirmasikan akses dengan masuk ke akun pemantauan, navigasikan ke Grup Investigasi, lalu Konfigurasi, lalu pilih Penyiapan lintas akun.

    Pastikan akun sumber muncul dalam konfigurasi lintas akun, dan statusnya Ditautkan ke akun pemantauan.

Menyelidiki masalah multi-akun

Setelah menyiapkan OAM atau dasbor lintas akun, Anda dapat melihat dan menyelidiki dari telemetri lintas akun di akun pemantauan Anda. Anda harus menambahkan telemetri lintas akun dari akun sumber untuk menjalankan penyelidikan ke akun sumber tersebut.

Untuk informasi rinci tentang cara membuat investigasi, lihatSelidiki masalah operasional di lingkungan Anda.