Configurazione di un gruppo di indagine - Amazon CloudWatch

Configurazione di un gruppo di indagine

Per configurare CloudWatch Investigations nel tuo account da utilizzare con un'indagine avanzata, crea un gruppo di indagine. La creazione di un gruppo di indagine è un'operazione di configurazione che si effettua una sola volta; una volta creato, viene utilizzato per condurre altre indagini. Le impostazioni nel gruppo di indagine consentono di gestire centralmente le proprietà comuni delle indagini, come le seguenti:

  • Chi può accedere alle indagini

  • Supporto alle indagini tra account per accedere alle risorse in altri account durante l'indagine

  • Se i dati delle indagini sono crittografati con una chiave AWS Key Management Service gestita dal cliente.

  • Per quanto tempo le indagini e i relativi dati vengono conservati per impostazione predefinita.

È possibile avere un solo gruppo di indagine per account. Ogni indagine all'interno del tuo account farà parte di questo gruppo di indagine.

Per creare un gruppo di indagine, è necessario aver effettuato l'accesso a un principale IAM a cui è collegata la policy IAM AIOpsConsoleAdminPolicy o AdministratorAccess o a un account con autorizzazioni simili.

Nota

Per poter scegliere l'opzione consigliata di creare un nuovo ruolo IAM per le indagini operative di CloudWatch Investigations, devi aver effettuato l'accesso a un principale IAM che disponga delle autorizzazioni iam:CreateRole, iam:AttachRolePolicy e iam:PutRolePolicy.

Importante

CloudWatch Investigations utilizza l'inferenza interregionale per distribuire il traffico tra diverse Regioni AWS. Per ulteriori informazioni, consulta Inferenza interregionale.

Per creare un gruppo di indagine nel tuo account

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione a sinistra, scegli Operazioni di IA, Configurazione.

  3. Scegli Configura per questo account.

  4. Facoltativamente, modifica il periodo di conservazione per le indagini. Per ulteriori informazioni sugli elementi soggetti al periodo di conservazione, consulta Conservazione dei dati di CloudWatch Investigations.

  5. (Facoltativo) Per crittografare i dati delle indagini con una chiave gestita dal cliente AWS KMS, scegli Personalizza le impostazioni di crittografia e segui i passaggi per creare o specificare una chiave da utilizzare. Se non specifichi una chiave gestita dal cliente, CloudWatch Investigations utilizza una chiave di proprietà di AWS per la crittografia. Per ulteriori informazioni, consulta Crittografia dei dati di indagine.

  6. Scegli come concedere a CloudWatch Investigations le autorizzazioni per accedere alle risorse. Per poter scegliere una delle prime due opzioni, devi aver effettuato l'accesso a un principale IAM che disponga delle autorizzazioni iam:CreateRole, iam:AttachRolePolicy e iam:PutRolePolicy.

    1. (Consigliato) Seleziona Crea automaticamente un nuovo ruolo con autorizzazioni di indagine predefinite. A questo ruolo verranno concesse le autorizzazioni utilizzando le policy gestite da AWS per Operazioni di IA. Per ulteriori informazioni, consulta Autorizzazioni utente per il gruppo di indagine CloudWatch .

    2. Crea un nuovo ruolo e poi assegna i modelli di policy.

    3. Scegli Assegna un ruolo esistente se disponi già di un ruolo con le autorizzazioni che desideri utilizzare.

      Se scegli questa opzione, devi assicurarti che il ruolo includa una policy di attendibilità che indichi aiops.amazonaws.com come principale del servizio. Per ulteriori informazioni sull'utilizzo dei principali del servizio nelle policy di attendibilità, consulta Principiali dei servizi AWS.

      Ti consigliamo inoltre di includere una sezione Condition con il numero di account per evitare una situazione di “confused deputy”. L'esempio seguente di policy di attendibilità illustra sia il principale del servizio sia la sezione Condition.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Scegli Crea gruppo di indagine: ora puoi creare un'indagine sulla base di un allarme, di una metrica o di un approfondimento sui log.

Facoltativamente, puoi impostare le configurazioni aggiuntive consigliate per migliorare la tua esperienza.

  1. Nel pannello di navigazione a sinistra, scegli Operazioni di IA, Configurazione.

  2. Nella scheda Configurazione facoltativa, scegli le migliorie che desideri aggiungere a CloudWatch Investigations.

  3. In Configura l'accesso multi-account puoi impostare questo account come account di monitoraggio che raccoglie dati da altri account di origine della tua organizzazione. Per ulteriori informazioni, consulta Indagini tra account.

  4. Per Integrazioni avanzate, scegli di consentire a CloudWatch Investigations di accedere a servizi aggiuntivi nel tuo sistema, per consentirgli di raccogliere più dati ed essere più utile.

    1. Nella sezione Tag per il rilevamento dei limiti delle applicazioni, inserisci le chiavi dei tag personalizzate esistenti per le applicazioni personalizzate nel tuo sistema. I tag delle risorse aiutano CloudWatch Investigations a restringere l'ambito della ricerca quando non è possibile scoprire relazioni definite tra le risorse. Ad esempio, per rilevare che un servizio Amazon ECS dipende da un database Amazon RDS, CloudWatch Investigations può scoprire questa relazione utilizzando origini dati come X-Ray e CloudWatch Application Signals. Tuttavia, se non hai implementato queste funzionalità, CloudWatch Investigations cercherà di identificare le possibili relazioni. È possibile utilizzare i limiti dei tag per restringere le risorse che verranno scoperte da CloudWatch Investigations in questi casi.

      Non è necessario inserire i tag creati da myApplications o CloudFormation perché CloudWatch Investigations può rilevarli automaticamente.

    2. CloudTrail registra gli eventi relativi alle modifiche del sistema, inclusi gli eventi di implementazione. Spesso, questi eventi possono risultare utili a CloudWatch Investigations per creare ipotesi sulle cause principali dei problemi del sistema. Nella sezione CloudTrail per il rilevamento degli eventi di modifica, puoi concedere a CloudWatch Investigations un determinato grado di accesso agli eventi registrati da AWS CloudTrail abilitando Consenti all'assistente l'accesso agli eventi di modifica di CloudTrail tramite la cronologia degli eventi di CloudTrail. Per ulteriori informazioni, consulta Working with CloudTrail Event history.

    3. Le sezioni X-Ray per la mappatura della topologia e Application Signals per la valutazione dell'integrità indicano altri servizi AWS che possono aiutare CloudWatch Investigations a trovare informazioni. Se li hai implementati e hai concesso a CloudWatch Investigations la policy IAM AIOpsAssistantPolicy, il servizio sarà in grado di accedere alla telemetria di X-Ray e Application Signals.

      Per ulteriori informazioni su come questi servizi aiutano CloudWatch Investigations, consulta X-Ray e CloudWatch Application Signals.

    4. Se utilizzi Amazon EKS, il tuo gruppo di indagine di CloudWatch Investigations può utilizzare le informazioni direttamente dal tuo cluster Amazon EKS dopo aver impostato le voci di accesso. Per ulteriori informazioni, consulta Integrazione con Amazon EKS.

    5. Se utilizzi Amazon RDS, abilita la modalità avanzata di Database Insights sulle istanze di database. Database Insights monitora il carico del database e fornisce un'analisi dettagliata delle prestazioni che aiuta CloudWatch Investigations a identificare i problemi relativi al database durante le indagini. Quando Database Insights in modalità avanzata è abilitato, CloudWatch Investigations può generare automaticamente report di analisi delle prestazioni che includono osservazioni dettagliate, anomalie delle metriche, analisi delle cause principali e consigli specifici per il carico di lavoro del database. Per ulteriori informazioni su Database Insights e su come abilitare la modalità avanzata, consulta Monitoring Amazon RDS databases with CloudWatch Database Insights.

  5. Puoi integrare CloudWatch Investigations con un canale di chat. In questo modo potrai ricevere le notifiche relative a un'indagine tramite il canale di chat. CloudWatch Investigations supporta i canali di chat nelle seguenti applicazioni:

    • Slack

    • Microsoft Teams

    Se desideri eseguire l'integrazione con un canale di chat, ti consigliamo di completare alcuni passaggi aggiuntivi prima di abilitare questa miglioria nel gruppo di indagine. Per ulteriori informazioni, consulta Integrazione di con sistemi di chat di terze parti.

    Quindi, esegui i seguenti passaggi per l'integrazione con un canale di chat nelle applicazioni di chat:

    • Nella sezione Integrazione del client di chat, scegli Seleziona l'argomento SNS.

    • Seleziona l'argomento SNS da utilizzare per l'invio di notifiche sulle tue indagini.