Ringkasan Prasyarat dan batasan Arsitektur Alat Praktik terbaik Epik Sumber daya terkait

Memusatkan pemantauan dengan menggunakan Amazon CloudWatch Observability Access Manager

Anand Krishna Varanasi, JAGDISH KOMAKALA, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu, dan Balaji Vedagiri, Amazon Web Services

Ringkasan

Observabilitas sangat penting untuk pemantauan, pemahaman, dan pemecahan masalah aplikasi. Aplikasi yang menjangkau beberapa akun, seperti implementasi dengan AWS Control Tower atau landing zone, menghasilkan sejumlah besar log dan data pelacakan. Untuk memecahkan masalah dengan cepat atau memahami analisis pengguna atau analitik bisnis, Anda memerlukan platform pengamatan umum di semua akun. Amazon CloudWatch Observability Access Manager memberi Anda akses ke, dan kontrol atas, beberapa log akun dari lokasi pusat.

Anda dapat menggunakan Pengelola Akses Observabilitas untuk melihat dan mengelola log data observabilitas yang dihasilkan oleh akun sumber. Akun sumber adalah individu Akun AWS yang menghasilkan data observabilitas untuk sumber daya mereka. Data observabilitas dibagi antara akun sumber dan akun pemantauan. Data observabilitas bersama dapat mencakup metrik di Amazon CloudWatch, log di Amazon CloudWatch Logs, dan trace in. AWS X-Ray Untuk informasi selengkapnya, lihat dokumentasi Observability Access Manager.

Pola ini untuk pengguna yang memiliki aplikasi atau infrastruktur yang berjalan di banyak Akun AWS dan membutuhkan tempat umum untuk melihat log. Ini menjelaskan bagaimana Anda dapat mengatur Observability Access Manager dengan menggunakan Terraform, untuk memantau status dan kesehatan aplikasi atau infrastruktur ini. Anda dapat menginstal solusi ini dengan berbagai cara:

Sebagai modul Terraform mandiri yang Anda atur secara manual
Dengan menggunakan pipeline continuous integration dan continuous delivery (CI/CD)
Dengan mengintegrasikan dengan solusi lain seperti AWS Control Tower Account Factory for Terraform (AFT)

Instruksi di bagian Epik mencakup implementasi manual. Untuk langkah-langkah instalasi AFT, lihat file README untuk repositori GitHub Observability Access Manager.

Prasyarat dan batasan

Prasyarat

Terraform diinstal atau direferensikan di sistem Anda atau di saluran pipa otomatis. (Kami menyarankan Anda menggunakan versi terbaru.)
Akun yang dapat Anda gunakan sebagai akun pemantauan pusat. Akun lain membuat tautan ke akun pemantauan pusat untuk melihat log.
(Opsional) Sebuah repositori kode sumber seperti GitHub,, Atlassian Bitbucket AWS CodeCommit, atau sistem serupa. Repositori kode sumber tidak diperlukan jika Anda menggunakan pipeline otomatis CI/CD .
(Opsional) Izin untuk membuat permintaan tarik (PRs) untuk peninjauan kode dan kolaborasi kode di GitHub.

Batasan

Observability Access Manager memiliki kuota layanan berikut, yang tidak dapat diubah. Pertimbangkan kuota ini sebelum Anda menerapkan fitur ini. Untuk informasi selengkapnya, lihat kuota CloudWatch layanan dalam CloudWatch dokumentasi.

Tautan akun sumber: Anda dapat menautkan setiap akun sumber ke maksimal lima akun pemantauan.
Tenggelam: Anda dapat membuat beberapa sink untuk akun, tetapi hanya satu wastafel per yang Wilayah AWS diizinkan.

Selain itu:

Wastafel dan tautan harus dibuat dalam hal yang sama Wilayah AWS; mereka tidak bisa lintas wilayah.

Pemantauan Lintas Wilayah dan lintas akun

Untuk pemantauan lintas wilayah dan lintas akun, Anda dapat memilih salah satu opsi ini:

Buat CloudWatch dasbor lintas akun dan lintas wilayah untuk alarm dan metrik. Opsi ini tidak mendukung log dan jejak.
Menerapkan logging terpusat dengan menggunakan Amazon OpenSearch Service.
Buat satu sink per Wilayah dari semua akun penyewa, dorong metrik ke akun pemantauan terpusat (seperti yang dijelaskan dalam pola ini), lalu gunakan aliran CloudWatch metrik untuk mengirim data ke tujuan eksternal umum atau ke produk pemantauan pihak ketiga seperti Datadog, Dynatrace, Sumo Logic, Splunk, atau New Relic.

Arsitektur

Komponen

CloudWatch Observability Access Manager terdiri dari dua komponen utama yang memungkinkan observabilitas lintas akun:

Wastafel menyediakan kemampuan untuk akun sumber untuk mengirim data observabilitas ke akun pemantauan pusat. Wastafel pada dasarnya menyediakan persimpangan gateway untuk akun sumber untuk terhubung. Hanya ada satu gateway atau koneksi sink, dan beberapa akun dapat terhubung dengannya.
Setiap akun sumber memiliki tautan ke persimpangan gateway sink, dan data observabilitas dikirim melalui tautan ini. Anda harus membuat wastafel sebelum membuat tautan dari setiap akun sumber.

Arsitektur

Diagram berikut menggambarkan Observability Access Manager dan komponen-komponennya.

Alat

Layanan AWS

Amazon CloudWatch membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

Alat

Terraform adalah alat infrastruktur sebagai kode (IAc) HashiCorp yang membantu Anda membuat dan mengelola sumber daya cloud dan lokal.
AWS Control Tower Account Factory for Terraform (AFT) menyiapkan pipeline Terraform untuk membantu Anda menyediakan dan menyesuaikan akun. AWS Control Tower Anda dapat menggunakan AFT secara opsional untuk menyiapkan Observability Access Manager dalam skala besar di beberapa akun.

Repositori kode

Kode untuk pola ini tersedia di repositori GitHub Observability Access Manager.

Praktik terbaik

Di AWS Control Tower lingkungan, tandai akun logging sebagai akun pemantauan pusat (sink).
Jika Anda memiliki beberapa organisasi dengan beberapa akun AWS Organizations, sebaiknya sertakan organisasi, bukan akun individual dalam kebijakan konfigurasi. Jika Anda memiliki sejumlah kecil akun atau jika akun tersebut bukan bagian dari organisasi dalam kebijakan konfigurasi sink, Anda dapat memutuskan untuk menyertakan akun individual sebagai gantinya.

Epik

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Kloning repositori.	Kloning repositori GitHub Observability Access Manager: `git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform`	AWS DevOps, administrator Cloud, administrator AWS
Tentukan nilai properti untuk modul wastafel.	Dalam `main.tf` file (dalam `deployments/aft-account-customizations/LOGGING/terraform/` folder repositori), tentukan nilai untuk properti berikut: `sink_name`: Nama CloudWatch wastafel. `allowed_oam_resource_types`: Pengelola Akses Observabilitas saat ini mendukung CloudWatch metrik, grup log, dan AWS X-Ray jejak. `allowed_source_accounts`: Akun sumber yang diizinkan untuk mengirim log ke akun CloudWatch wastafel pusat. `allowed_source_organizations`: AWS Control Tower Organisasi sumber yang diizinkan mengirim log ke akun CloudWatch wastafel pusat. Untuk informasi lebih lanjut, lihat AWS::Oam::Sinkdi AWS CloudFormation dokumentasi.	AWS DevOps, administrator Cloud, administrator AWS
Pasang modul wastafel.	Ekspor kredensil Akun AWS yang telah Anda pilih sebagai akun pemantauan, dan instal modul sink Observability Access Manager: `Terraform Init Terrafom Plan Terraform Apply`	AWS DevOps, administrator Cloud, administrator AWS

Kloning repositori.

Kloning repositori GitHub Observability Access Manager:


git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform

AWS DevOps, administrator Cloud, administrator AWS

Tentukan nilai properti untuk modul wastafel.

Dalam main.tf file (dalam deployments/aft-account-customizations/LOGGING/terraform/ folder repositori), tentukan nilai untuk properti berikut:

sink_name: Nama CloudWatch wastafel.
allowed_oam_resource_types: Pengelola Akses Observabilitas saat ini mendukung CloudWatch metrik, grup log, dan AWS X-Ray jejak.
allowed_source_accounts: Akun sumber yang diizinkan untuk mengirim log ke akun CloudWatch wastafel pusat.
allowed_source_organizations: AWS Control Tower Organisasi sumber yang diizinkan mengirim log ke akun CloudWatch wastafel pusat.

Untuk informasi lebih lanjut, lihat AWS::Oam::Sinkdi AWS CloudFormation dokumentasi.

AWS DevOps, administrator Cloud, administrator AWS

Pasang modul wastafel.

Ekspor kredensil Akun AWS yang telah Anda pilih sebagai akun pemantauan, dan instal modul sink Observability Access Manager:


Terraform Init
Terrafom Plan
Terraform Apply

AWS DevOps, administrator Cloud, administrator AWS

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Tentukan nilai properti untuk modul tautan.	Dalam `main.tf` file (dalam `deployments/aft-account-customizations/LOGGING/terraform/` folder repositori), tentukan nilai untuk properti berikut: `account_label`: Gunakan salah satu nilai berikut: `$AccountName`: Nama akun. `$AccountEmail`Alamat email yang unik secara global, yang mencakup domain email (misalnya,`hello@example.com`) `$AccountEmailNoDomain`Alamat email tanpa nama domain. `allowed_oam_resource_types`: Pengelola Akses Observabilitas saat ini mendukung CloudWatch metrik, grup log, dan AWS X-Ray jejak. Untuk informasi lebih lanjut, lihat AWS::Oam::Linkdi AWS CloudFormation dokumentasi.	AWS DevOps, Administrator cloud, arsitek Cloud
Instal modul tautan untuk akun individual.	Ekspor kredensil akun individual dan instal modul tautan Observability Access Manager: `Terraform Plan Terraform Apply` Anda dapat mengatur modul tautan satu per satu untuk setiap akun, atau menggunakan AFT untuk menginstal modul ini secara otomatis di sejumlah besar akun.	AWS DevOps, Administrator cloud, arsitek Cloud

Tentukan nilai properti untuk modul tautan.

Dalam main.tf file (dalam deployments/aft-account-customizations/LOGGING/terraform/ folder repositori), tentukan nilai untuk properti berikut:

account_label: Gunakan salah satu nilai berikut:
- $AccountName: Nama akun.
- $AccountEmailAlamat email yang unik secara global, yang mencakup domain email (misalnya,hello@example.com)
- $AccountEmailNoDomainAlamat email tanpa nama domain.
allowed_oam_resource_types: Pengelola Akses Observabilitas saat ini mendukung CloudWatch metrik, grup log, dan AWS X-Ray jejak.

Untuk informasi lebih lanjut, lihat AWS::Oam::Linkdi AWS CloudFormation dokumentasi.

AWS DevOps, Administrator cloud, arsitek Cloud

Instal modul tautan untuk akun individual.

Ekspor kredensil akun individual dan instal modul tautan Observability Access Manager:


Terraform Plan
Terraform Apply

Anda dapat mengatur modul tautan satu per satu untuk setiap akun, atau menggunakan AFT untuk menginstal modul ini secara otomatis di sejumlah besar akun.

AWS DevOps, Administrator cloud, arsitek Cloud

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Periksa pesan status.	Masuk ke akun pemantauan. Buka konsol CloudWatch . Pada panel navigasi kiri, pilih Pengaturan. Di sebelah kanan, Anda akan melihat pesan status Akun pemantauan diaktifkan dengan tanda centang hijau. Ini berarti bahwa akun pemantauan memiliki wastafel Manajer Akses Observabilitas yang akan terhubung ke tautan akun lain.
Menyetujui link-to-sink koneksi.	Pilih opsi Sumber Daya untuk menautkan akun di bawah pesan status. Informasi tersebut mengonfirmasi bahwa ini adalah akun pemantauan, mencantumkan data yang dibagikan dari akun sumber penyewa (Log, Metrik, Jejak), dan menampilkan label akun sebagai $. AccountName Layar ini menyediakan dua opsi untuk menautkan akun penyewa ke akun pemantauan: persetujuan tingkat organisasi atau persetujuan tingkat akun. Untuk setiap opsi, Anda dapat memilih untuk mengunduh AWS CloudFormation templat untuk persetujuan atau menyetujui setiap akun satu per satu. Untuk mempermudah, pilih Akun Apa saja yang akan disetujui di setiap tingkat akun. Opsi ini menyediakan tautan persetujuan untuk akun tersebut. Pilih Salin URL untuk menyalin tautan. Masuk ke setiap akun sumber. Di jendela browser, tempel tautan, dan pilih Setujui tautan sambungkan ke sink. Ulangi untuk akun sumber tambahan. Untuk informasi selengkapnya, lihat Menautkan akun pemantauan dengan akun sumber dalam CloudWatch dokumentasi.	AWS DevOps, Administrator cloud, arsitek Cloud

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Lihat data lintas akun.	Masuk ke akun pemantauan pusat. Buka konsol CloudWatch . Di panel navigasi kiri, pilih opsi untuk melihat log, metrik, dan jejak lintas akun.	AWS DevOps, Administrator cloud, arsitek Cloud

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Lihat metrik, dasbor, log, widget, dan alarm dari akun lain.	Sebagai fitur tambahan, Anda dapat berbagi CloudWatch metrik, dasbor, log, widget, dan alarm dengan akun lain. Setiap akun menggunakan peran IAM yang disebut CloudWatch- CrossAccountSharingRole untuk mendapatkan akses ke data ini. Akun sumber yang memiliki hubungan kepercayaan dengan akun pemantauan pusat dapat mengambil peran ini dan melihat data dari akun pemantauan. CloudWatch menyediakan contoh CloudFormation skrip untuk membuat peran. Pilih Kelola peran di IAM dan jalankan skrip ini di akun tempat Anda ingin melihat data. `{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root" ] }, "Action": "sts:AssumeRole" } ] }` Untuk informasi selengkapnya, lihat Mengaktifkan fungsionalitas lintas akun di CloudWatch dalam dokumentasi. CloudWatch	AWS DevOps, Administrator cloud, arsitek Cloud

Lihat metrik, dasbor, log, widget, dan alarm dari akun lain.

Sebagai fitur tambahan, Anda dapat berbagi CloudWatch metrik, dasbor, log, widget, dan alarm dengan akun lain. Setiap akun menggunakan peran IAM yang disebut CloudWatch- CrossAccountSharingRole untuk mendapatkan akses ke data ini.

Akun sumber yang memiliki hubungan kepercayaan dengan akun pemantauan pusat dapat mengambil peran ini dan melihat data dari akun pemantauan.

CloudWatch menyediakan contoh CloudFormation skrip untuk membuat peran. Pilih Kelola peran di IAM dan jalankan skrip ini di akun tempat Anda ingin melihat data.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Untuk informasi selengkapnya, lihat Mengaktifkan fungsionalitas lintas akun di CloudWatch dalam dokumentasi. CloudWatch

AWS DevOps, Administrator cloud, arsitek Cloud

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Siapkan akses lintas akun, lintas wilayah.	Di akun pemantauan pusat, Anda dapat menambahkan pemilih akun untuk dengan mudah beralih antar akun dan melihat datanya tanpa harus mengautentikasi. Masuk ke akun pemantauan pusat. Buka konsol CloudWatch . Pada panel navigasi kiri, pilih Pengaturan. Di bagian Lihat lintas wilayah lintas akun, pilih Konfigurasi. Pilih Aktifkan, lalu pilih kotak centang Tampilkan pemilih di konsol. Pilih salah satu opsi ini: Input Id Akun: Opsi ini meminta Anda untuk memasukkan ID akun secara manual kapan pun Anda ingin mengubah akun untuk melihat data lintas akun. Pemilih akun AWS Organization: Jika Anda telah terintegrasi CloudWatch AWS Organizations, opsi ini menyediakan pemilih tarik-turun dengan daftar lengkap akun di organisasi. Pemilih akun khusus: Opsi ini memungkinkan Anda memasukkan daftar akun secara manual IDs untuk mengisi pemilih. Pilih Simpan perubahan. Untuk informasi selengkapnya, lihat CloudWatch Konsol lintas wilayah lintas akun di dokumentasi. CloudWatch	AWS DevOps, Administrator cloud, arsitek Cloud

Tugas

Deskripsi

Keterampilan yang dibutuhkan

Siapkan akses lintas akun, lintas wilayah.

Di akun pemantauan pusat, Anda dapat menambahkan pemilih akun untuk dengan mudah beralih antar akun dan melihat datanya tanpa harus mengautentikasi.

Masuk ke akun pemantauan pusat.
Buka konsol CloudWatch .
Pada panel navigasi kiri, pilih Pengaturan.
Di bagian Lihat lintas wilayah lintas akun, pilih Konfigurasi.
Pilih Aktifkan, lalu pilih kotak centang Tampilkan pemilih di konsol.
Pilih salah satu opsi ini:
- Input Id Akun: Opsi ini meminta Anda untuk memasukkan ID akun secara manual kapan pun Anda ingin mengubah akun untuk melihat data lintas akun.
- Pemilih akun AWS Organization: Jika Anda telah terintegrasi CloudWatch AWS Organizations, opsi ini menyediakan pemilih tarik-turun dengan daftar lengkap akun di organisasi.
- Pemilih akun khusus: Opsi ini memungkinkan Anda memasukkan daftar akun secara manual IDs untuk mengisi pemilih.
Pilih Simpan perubahan.

Untuk informasi selengkapnya, lihat CloudWatch Konsol lintas wilayah lintas akun di dokumentasi. CloudWatch

AWS DevOps, Administrator cloud, arsitek Cloud

Sumber daya terkait

CloudWatch observabilitas lintas akun (dokumentasi Amazon CloudWatch )
Referensi API Manajer Akses CloudWatch Observabilitas Amazon ( CloudWatch dokumentasi Amazon)
Sumber daya: aws_oam_sink (dokumentasi Terraform)
Sumber Data: aws_oam_link (Dokumentasi Terraform)
CloudWatchObservabilityAccessManager(AWS Dokumentasi Boto3)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memusatkan resolusi DNS dengan menggunakan AWS Managed Microsoft AD

Periksa EC2 instance untuk tag wajib saat peluncuran