Centralizzazione dei log tra account interregionali - CloudWatch Registri Amazon
Concetti di centralizzazione dei datiConfigurazione della centralizzazione dei logMonitoraggio della centralizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Centralizzazione dei log tra account interregionali

La centralizzazione dei dati di Amazon CloudWatch Logs consente di AWS Organizations raccogliere dati di log da più account membri in un unico repository di dati utilizzando regole di centralizzazione tra account e regioni. Sei tu a definire le regole che replicano automaticamente i dati di log da più account in un account centralizzato all' Regioni AWS interno della tua organizzazione. Questa funzionalità semplifica il consolidamento dei log per migliorare il monitoraggio, l'analisi e la conformità centralizzati sull'intera infrastruttura. AWS

CloudWatch La centralizzazione dei dati dei registri offre flessibilità di configurazione per soddisfare i requisiti operativi e di sicurezza, come la possibilità di configurare un'area di backup durante l'impostazione delle regole all'interno dell'account di destinazione per garantire una maggiore resilienza. Inoltre, hai il pieno controllo sul comportamento di crittografia dei gruppi di log copiati dagli account di origine per gestire i dati originariamente crittografati con chiavi KMS gestite dal cliente.

Concetti di centralizzazione dei dati

Prima di iniziare a utilizzare la centralizzazione dei dati di CloudWatch Logs, acquisisci familiarità con i seguenti concetti:

Regola di centralizzazione

Una configurazione che definisce in che modo i dati di registro provenienti dagli account e dalle regioni di origine vengono replicati su un account e una regione di destinazione. Le regole specificano i criteri di origine e le impostazioni di destinazione.

Account di origine

L' AWS account da cui provengono i dati di registro. Gli eventi di registro degli account di origine vengono replicati nell'account di destinazione in base alle regole di centralizzazione definite dall'utente.

Account di destinazione

L' AWS account di destinazione in cui vengono archiviati i dati di registro replicati. Questo account funge da posizione centralizzata per l'analisi e il monitoraggio dei log.

Regione di Backup

Un'area secondaria opzionale all'interno dell'account di destinazione in cui è possibile replicare i dati di registro per una maggiore resilienza e scopi di disaster recovery.

Crittografia nei registri CloudWatch

I dati dei gruppi di log sono sempre crittografati nei CloudWatch registri. Per impostazione predefinita, CloudWatch Logs utilizza la crittografia lato server con la Galois/Counter modalità AES-GCM (Advanced Encryption Standard Mode) a 256 bit per crittografare i dati di registro inattivi. In alternativa, è possibile utilizzare il servizio di gestione delle chiavi per questa crittografia. AWS In tal caso, la crittografia viene eseguita utilizzando una chiave KMS AWS di proprietà o una chiave KMS gestita dal cliente. La crittografia con chiave KMS tramite AWS KMS è abilitata a livello di gruppo di log, associando una chiave KMS a un gruppo di log, al momento della creazione del gruppo di log o dopo che esiste. Dopo aver associato una chiave KMS a un gruppo di log, tutti i nuovi dati importati per il gruppo di log saranno crittografati tramite questa chiave. Questi dati vengono archiviati in formato crittografato per tutto il periodo di conservazione. CloudWatch I registri decrittografano questi dati ogni volta che vengono richiesti. CloudWatch I log devono disporre delle autorizzazioni per la chiave KMS ogni volta che vengono richiesti dati crittografati, ad esempio quando una regola di centralizzazione dei log viene eseguita su un account di origine. Se utilizzi chiavi KMS gestite dal cliente, aggiorna le chiavi KMS associate ai gruppi di log di origine e destinazione con il tag. LogsManaged = true Per ulteriori informazioni, consulta le chiavi AWS KMS nella Guida per gli sviluppatori del servizio di gestione delle AWS chiavi

Configurazione della centralizzazione dei log

Per configurare CloudWatch Logs Centralization, è necessario configurare le regole di centralizzazione che definiscono il modo in cui i dati di log fluiscono dai gruppi di log negli account di origine ai gruppi di log nell'account di destinazione.

Una volta abilitata la regola di centralizzazione e replicati gli eventi di registro sull'account di destinazione, è possibile creare filtri di metriche, sottoscrizioni e account su gruppi di log centralizzati con funzionalità di filtraggio avanzate. Questi filtri possono indirizzare gli eventi di registro provenienti da account e regioni di origine specifici e possono emettere informazioni sull'account di origine e sulla regione come dimensioni metriche. Per ulteriori informazioni, consulta Creazione di parametri da log eventi mediante filtri.

Prerequisiti

  • AWS Organizations devono essere configurati e gli account di origine e di destinazione devono appartenere entrambi all'organizzazione.

  • L'accesso affidabile deve essere abilitato per CloudWatch l'account di gestione e l'account di destinazione in modo da consentire l'accesso ai dati di registro.

Creazione di una regola di centralizzazione

Utilizzare la procedura seguente per creare una regola di centralizzazione che replica i dati di registro dagli account di origine all'account di destinazione.

Per creare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Configura regola.

  5. Specificate i dettagli della fonte impostando i seguenti campi, quindi scegliete Avanti:

    1. Nome della regola di centralizzazione: inserisci un nome univoco per la regola di centralizzazione.

    2. Account di origine: definisci i criteri di selezione della fonte per scegliere gli account da cui centralizzare i dati di telemetria. I criteri di selezione possono includere:

      • Un elenco degli account dei membri dell'organizzazione

      • Un elenco delle unità organizzative dell'organizzazione

      • L'intera organizzazione

      È possibile fornire i criteri di selezione in due modalità:

      • Builder: un'esperienza basata su un clic per generare i criteri di selezione della fonte

      • Editor: una casella di testo in formato libero per fornire i criteri di selezione della fonte

      Sintassi supportata per i criteri di selezione della fonte:

      • Chiavi supportate: OrganizationId | OrganizationUnitId | AccountId | *

      • Operatori supportati: = | IN | OR

    3. Regioni di origine: seleziona un elenco di regioni per cercare i dati di telemetria da centralizzare.

  6. Specificate i dettagli della destinazione impostando i seguenti campi, quindi scegliete Avanti:

    1. Account di destinazione: seleziona un account nell'organizzazione che funge da destinazione centrale per i dati di telemetria.

    2. Regione di destinazione: seleziona un'area principale che memorizza una copia dei dati di telemetria centralizzati.

    3. Area di backup: seleziona facoltativamente una regione in cui archiviare una seconda copia dei dati di telemetria centralizzati.

  7. Specificate i dati di telemetria impostando i seguenti campi, quindi scegliete Avanti:

    1. Gruppi di log: scegli una delle seguenti opzioni:

      • Tutti i gruppi di log: centralizza i log di tutti i gruppi di log negli account di origine.

      • Filtra gruppo di log: centralizza i log di un sottoinsieme di gruppi di log negli account di origine, in base ai criteri di selezione dei gruppi di log. È possibile fornire i criteri di selezione in due modalità:

        • Builder: un'esperienza basata su clic per generare i criteri di selezione dei gruppi di log

        • Editor: una casella di testo in formato libero per fornire i criteri di selezione dei gruppi di log

        Sintassi supportata per i criteri di selezione dei gruppi di log:

        • Chiavi supportate: LogGroupName | *

        • Operatori supportati: = |! = | IN | NON IN | E | O | MI PIACE | NON MI PIACE

    2. Gruppo di log crittografato KMS

      Importante

      CloudWatch le regole di centralizzazione non riusciranno a consegnare i log dall'account di origine ai gruppi di log di destinazione se la chiave KMS fornita nella regola di centralizzazione non consente CloudWatch a Logs di utilizzarla. Per ulteriori informazioni, consulta Fase 2: Impostazione delle autorizzazioni sulla chiave KMS.

      Selezionare una delle seguenti opzioni:

      • Non centralizzate i gruppi di log crittografati con chiavi KMS gestite dal cliente: ignorate la centralizzazione degli eventi di registro dai gruppi di log di origine crittografati con le chiavi KMS gestite dal cliente.

      • Centralizza i gruppi di registro crittografati con chiavi KMS gestite dal cliente nell'account di destinazione con una chiave KMS AWS gestita: centralizza gli eventi di registro dai gruppi di registro di origine crittografati con chiavi KMS gestite dal cliente nei gruppi di registro di destinazione che non sono associati alle chiavi KMS gestite dal cliente, ma utilizza invece una chiave KMS gestita dal cliente. AWS

        Quando questa impostazione è selezionata, è necessario impostare anche quanto segue:

        • Chiave di crittografia della destinazione ARN: ARN della chiave KMS appartenente all'account di destinazione e alla regione di destinazione principale, da associare ai gruppi di log di destinazione appena creati.

        • Chiave di crittografia della destinazione di backup ARN (opzionale): ARN della chiave KMS appartenente all'account di destinazione e alla regione di destinazione del backup, da associare ai gruppi di log di destinazione appena creati.

        Nota

        Tieni presente che questa impostazione si applica solo quando il gruppo di log di origine è crittografato utilizzando le chiavi KMS gestite dal cliente e si applica solo ai gruppi di log appena creati nell'account di destinazione.

  8. Rivedi la regola di centralizzazione, opzionalmente apporta eventuali modifiche dell'ultimo minuto e scegli Crea politica di centralizzazione.

Modifica di una regola di centralizzazione

Utilizzare la procedura seguente per modificare una regola di centralizzazione esistente.

Per modificare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Seleziona la regola da aggiornare e scegli Modifica.

  6. Aggiorna la configurazione della regola secondo necessità, scegliendo Avanti per procedere con ogni passaggio.

  7. Nel passaggio 4, Revisione e configurazione, scegli Aggiorna politica di centralizzazione.

Visualizzazione di una regola di centralizzazione

Utilizzare la procedura seguente per visualizzare i dettagli di una regola di centralizzazione esistente.

Per visualizzare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Visualizza un elenco di tutte le regole di centralizzazione esistenti e scegli un nome di regola specifico per visualizzarne i dettagli.

Eliminazione di una regola di centralizzazione

Utilizzare la procedura seguente per eliminare una regola di centralizzazione esistente.

Per eliminare una regola di centralizzazione

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Seleziona la regola da eliminare e scegli Elimina.

  6. Per confermare l'eliminazione, scegliere Delete (Elimina).

Monitoraggio della centralizzazione

È possibile monitorare lo stato e le prestazioni delle regole di centralizzazione utilizzando le CloudWatch metriche, la console CloudWatch Logs e i registri. AWS CloudTrail Ciò consente di garantire che i dati di registro vengano replicati correttamente e di identificare eventuali problemi relativi alla configurazione di centralizzazione.

Monitoraggio della centralizzazione nella console

Usa la console CloudWatch Logs per visualizzare lo stato e l'attività delle tue regole di centralizzazione.

Per monitorare le regole di centralizzazione nella console

  1. Accedi alla CloudWatch console nell'account di gestione o amministratore delegato dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Vai alla scheda Organizzazione.

  4. Scegli Gestisci regole.

  5. Consulta l'elenco delle regole di centralizzazione, che mostra:

    • Nome della regola: il nome di ogni regola di centralizzazione

    • Stato della regola: stato operativo attuale (attivo, inattivo, errore)

    • Data di creazione: quando è stata creata la regola

    • ID dell'account di destinazione: l'ID dell'account di destinazione

    • Regione di destinazione: la regione dell'account di destinazione

  6. Scegli un nome di regola specifico per visualizzare i dettagli di configurazione della regola

Monitoraggio della centralizzazione

È possibile monitorare le regole di centralizzazione utilizzando l'interfaccia della console e le operazioni API.

Le attuali funzionalità di monitoraggio includono:

  • Stato di integrità delle regole: monitora lo stato generale delle regole di centralizzazione tramite la console o GetCentralizationRuleForOrganization l'API

  • Configurazione delle regole: rivedi le impostazioni delle regole e i timestamp dell'ultimo aggiornamento

  • Motivi dell'errore: visualizza informazioni dettagliate sull'errore quando le regole sono contrassegnate come NON SANE

  • Attività dell'API: monitora le chiamate API di centralizzazione tramite i log CloudTrail

Monitoraggio dello stato delle regole

Ogni regola di centralizzazione ha uno stato di integrità che indica se funziona correttamente. Puoi controllare lo stato delle regole tramite la console o a livello di codice utilizzando l'API.

Gli stati di integrità delle regole includono:

  • HEALTHY: la regola funziona normalmente e replica i dati di registro come configurato

  • UNHEALTHY: La regola ha riscontrato problemi e potrebbe non replicare correttamente i dati

  • PROVISIONING: La centralizzazione per l'organizzazione è in fase di configurazione.

Quando una regola è contrassegnata come NON SALUTARE, il FailureReason campo fornisce dettagli sul problema specifico che deve essere risolto.

Monitoraggio delle chiamate API di centralizzazione con AWS CloudTrail

AWS CloudTrail registra le chiamate API effettuate al servizio di centralizzazione, consentendoti di tenere traccia delle modifiche alla configurazione e risolvere i problemi relativi agli account che sono membri del tuo. AWS Organizations

CloudTrail Gli eventi chiave per la centralizzazione includono:

  • CreateCentralizationRuleForOrganization: quando viene creata una nuova regola di centralizzazione

  • UpdateCentralizationRuleForOrganization: quando viene modificata una regola esistente

  • DeleteCentralizationRuleForOrganization: quando una regola viene eliminata

  • GetCentralizationRuleForOrganization: quando vengono recuperati i dettagli della regola

  • ListCentralizationRulesForOrganization: Quando sono elencate le regole

È possibile utilizzare CloudTrail i log per controllare le modifiche alla configurazione della centralizzazione e correlarle a problemi di prestazioni o errori di replica.