Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurare le CloudWatch indagini
La configurazione CloudWatch delle indagini crea un gruppo di indagine che le CloudWatch indagini utilizzeranno per accedere alla telemetria e ai dati aggregati relativi all'indagine. Prima di creare il gruppo di indagine, puoi esaminare un'indagine di esempio per avere un'idea generale del suo funzionamento.
**Topics**
+ [Consultazione di un'indagine di esempio](Investigations-sample.md)
+ [Configurazione di un gruppo di indagine](Investigations-GetStarted-Group.md)
+ [Configura gli allarmi per creare indagini](Investigations-configure-alarms.md)
+ [Integrazione con Amazon EKS](EKS-Integration.md)
# Consultazione di un'indagine di esempio
Se desideri vedere come funziona un'indagine prima di configurare un gruppo di indagine per il tuo account, puoi creare un'indagine di esempio con una procedura guidata. L'indagine di esempio non utilizza i tuoi dati e non effettua chiamate dati né avvia operazioni API nel tuo account.
**Per visualizzare l'indagine di esempio**
1. CloudWatch Apri [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)la console all'indirizzo.
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Panoramica**.
1. Scegli **Prova un'indagine di esempio**.
La console mostra l'indagine di esempio, con suggerimenti ed esiti nel pannello a destra. In ciascun popup, scegli **Avanti** per passare alla parte successiva della procedura guidata dell'esempio.
# Configurazione di un gruppo di indagine
Per impostare CloudWatch indagini nel tuo account da utilizzare con un'indagine avanzata, crei un *gruppo investigativo*. La creazione di un gruppo di indagine è un'operazione di configurazione che si effettua una sola volta; una volta creato, viene utilizzato per condurre altre indagini. Le impostazioni nel gruppo di indagine consentono di gestire centralmente le proprietà comuni delle indagini, come le seguenti:
+ Chi può accedere alle indagini
+ Supporto alle indagini tra account per accedere alle risorse in altri account durante l'indagine
+ Se i dati delle indagini sono crittografati con una chiave AWS Key Management Service gestita dal cliente.
+ Per quanto tempo le indagini e i relativi dati vengono conservati per impostazione predefinita.
È possibile avere un solo gruppo di indagine per account. Ogni indagine all'interno del tuo account farà parte di questo gruppo di indagine.
Per creare un gruppo di indagine devi accedere a un responsabile IAM a cui è associata la **AIOpsConsoleAdminPolicy**o la politica **AdministratorAccess**IAM oppure a un account con autorizzazioni simili.
**Nota**
Per poter scegliere l'opzione consigliata di creare un nuovo ruolo IAM per CloudWatch le indagini (indagini operative), devi accedere a un responsabile IAM che disponga delle autorizzazioni `iam:CreateRole``iam:AttachRolePolicy`, e. `iam:PutRolePolicy`
**Importante**
CloudWatch le indagini utilizzano l'*inferenza interregionale* per distribuire il traffico tra diverse regioni. AWS Per ulteriori informazioni, consulta [Inferenza tra Regioni](Investigations-Security.md#cross-region-inference).
**Per creare un gruppo di indagine nel tuo account**
1. Apri la console all' CloudWatch indirizzo. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Configurazione**.
1. Scegli **Configura per questo account**.
1. Facoltativamente, modifica il periodo di conservazione per le indagini. Per ulteriori informazioni sugli elementi soggetti al periodo di conservazione, consulta [CloudWatch conservazione dei dati delle indagini](Investigations-Retention.md).
1. (Facoltativo) Per crittografare i dati delle indagini con una chiave gestita dal cliente AWS KMS , scegli **Personalizza le impostazioni di crittografia** e segui i passaggi per creare o specificare una chiave da utilizzare. Se non specifichi una chiave gestita dal cliente, CloudWatch Investigations utilizza una chiave AWS proprietaria per la crittografia. Per ulteriori informazioni, consulta [Crittografia dei dati di indagine](Investigations-Security.md#Investigations-KMS).
1. Scegli come concedere alle CloudWatch indagini le autorizzazioni per accedere alle risorse. Per poter scegliere una delle prime due opzioni, devi aver effettuato l'accesso a un principale IAM che disponga delle autorizzazioni `iam:CreateRole`, `iam:AttachRolePolicy` e `iam:PutRolePolicy`.
1. (Consigliato) Seleziona **Crea automaticamente un nuovo ruolo con autorizzazioni di indagine predefinite**. A questo ruolo verranno concesse le autorizzazioni utilizzando le politiche AWS gestite per le operazioni di intelligenza artificiale. Per ulteriori informazioni, vedere. [Autorizzazioni utente per il tuo gruppo di CloudWatch indagine](Investigations-Security.md#Investigations-Security-IAM)
1. Crea un nuovo ruolo e poi assegna i modelli di policy.
1. Scegli **Assegna un ruolo esistente** se disponi già di un ruolo con le autorizzazioni che desideri utilizzare.
Se scegli questa opzione, devi assicurarti che il ruolo includa una policy di attendibilità che indichi `aiops.amazonaws.com` come principale del servizio. Per ulteriori informazioni sull'utilizzo dei principali del servizio nelle policy di attendibilità, consulta [Principiali dei servizi AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services).
Ti consigliamo inoltre di includere una sezione `Condition` con il numero di account per evitare una situazione di “confused deputy”. L'esempio seguente di policy di attendibilità illustra sia il principale del servizio sia la sezione `Condition`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. Scegli **Crea gruppo di indagine**: ora puoi creare un'indagine sulla base di un allarme, di una metrica o di un approfondimento sui log.
Facoltativamente, puoi impostare le configurazioni aggiuntive consigliate per migliorare la tua esperienza.
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA, Configurazione**.
1. Nella scheda **Configurazione opzionale**, scegli i miglioramenti che desideri aggiungere alle indagini. CloudWatch
1. In **Configura l'accesso multi-account** puoi impostare questo account come account di monitoraggio che raccoglie dati da altri account di origine della tua organizzazione. Per ulteriori informazioni, consulta [Indagini tra account](Investigations-cross-account.md).
1. Per **le integrazioni avanzate**, scegli di consentire alle CloudWatch indagini l'accesso a servizi aggiuntivi del tuo sistema, per consentirgli di raccogliere più dati ed essere più utile.
1. Nella sezione **Tag per il rilevamento dei limiti delle applicazioni**, inserisci le chiavi dei tag personalizzate esistenti per le applicazioni personalizzate nel tuo sistema. I tag delle risorse aiutano CloudWatch le indagini a restringere lo spazio di ricerca quando non sono in grado di scoprire relazioni definite tra le risorse. Ad esempio, per scoprire che un servizio Amazon ECS dipende da un database Amazon RDS, le CloudWatch indagini possono scoprire questa relazione utilizzando fonti di dati come X-Ray e Application Signals. CloudWatch Tuttavia, se non hai implementato queste funzionalità, le CloudWatch indagini cercheranno di identificare possibili relazioni. I limiti dei tag possono essere utilizzati per restringere le risorse che verranno scoperte dalle CloudWatch indagini in questi casi.
Non è necessario inserire i tag creati da myApplications o perché CloudFormation le CloudWatch indagini possono rilevare automaticamente tali tag.
1. CloudTrail registra gli eventi relativi alle modifiche del sistema, inclusi gli eventi di distribuzione. Questi eventi possono spesso essere utili per CloudWatch le indagini volte a creare ipotesi sulle cause principali dei problemi del sistema. Nella sezione **CloudTrailrelativa al rilevamento degli eventi da modificare**, è possibile concedere alle CloudWatch indagini un certo accesso agli eventi registrati AWS CloudTrail abilitando **Consenti all'assistente l'accesso alla CloudTrail modifica degli eventi tramite la cronologia degli eventi**. CloudTrail Per ulteriori informazioni, consulta [Lavorare con la cronologia CloudTrail degli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
1. Le sezioni **X-Ray for topology mapping** e **Application Signals for Health Assessment** indicano altri AWS servizi che possono aiutare CloudWatch le indagini a trovare informazioni. Se li hai implementati e hai concesso la policy **AIOpsAssistantPolicy**IAM alle CloudWatch indagini, sarà in grado di accedere alla telemetria X-Ray e Application Signals.
Per ulteriori informazioni su come questi servizi aiutano le indagini, consulta e. CloudWatch [X-Ray](Investigations-RecommendedServices.md#Investigations-Xray) [CloudWatch Segnali applicativi](Investigations-RecommendedServices.md#Investigations-ApplicationSignals)
1. Se utilizzi Amazon EKS, il tuo gruppo CloudWatch investigativo per le indagini può utilizzare le informazioni direttamente dal tuo cluster Amazon EKS dopo aver impostato le voci di accesso. Per ulteriori informazioni, consulta [Integrazione con Amazon EKS](EKS-Integration.md).
1. Se utilizzi Amazon RDS, abilita la modalità avanzata di Database Insights sulle istanze di database. Database Insights monitora il carico del database e fornisce un'analisi dettagliata delle prestazioni che aiuta le indagini a identificare i problemi relativi al database CloudWatch durante le indagini. Quando Advanced Database Insights è abilitato, CloudWatch le indagini possono generare automaticamente report di analisi delle prestazioni che includono osservazioni dettagliate, anomalie metriche, analisi delle cause principali e consigli specifici per il carico di lavoro del database. Per ulteriori informazioni su Database Insights e su come abilitare la modalità Advanced, consulta [Monitoraggio dei database Amazon RDS con CloudWatch Database Insights](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html).
1. Puoi integrare CloudWatch le indagini con un canale di *chat*. In questo modo è possibile ricevere notifiche relative a un'indagine tramite il canale di chat. CloudWatch le indagini supportano i canali di chat nelle seguenti applicazioni:
+ Slack
+ Microsoft Teams
Se desideri eseguire l'integrazione con un canale di chat, ti consigliamo di completare alcuni passaggi aggiuntivi prima di abilitare questa miglioria nel gruppo di indagine. Per ulteriori informazioni, consulta [Integrazione di con sistemi di chat di terze parti](Investigations-Integrations.md#Investigations-Integrations-Chat).
Quindi, esegui i seguenti passaggi per l'integrazione con un canale di chat nelle applicazioni di chat:
+ Nella sezione **Integrazione del client di chat**, scegli **Seleziona l'argomento SNS**.
+ Seleziona l'argomento SNS da utilizzare per l'invio di notifiche sulle tue indagini.
# Configura gli allarmi per creare indagini
È possibile configurare un CloudWatch allarme esistente per creare automaticamente indagini nelle indagini. CloudWatch Quando l'allarme entra nello stato ALARM, crea CloudWatch automaticamente una nuova indagine o si aggiunge a un'indagine esistente in base alla stringa di deduplicazione.
Quando configuri un allarme per creare automaticamente indagini, devi specificare un Amazon Resource Name (ARN) nell'ActionARNS dell'allarme. Questo ARN identifica il gruppo di indagine in cui verranno create le indagini innescate da allarmi. Facoltativamente, puoi includere una stringa di deduplicazione nell'ARN per raggruppare gli allarmi correlati.
## Formato e parametri ARN
Il modello ARN per le azioni di allarme del gruppo di indagine segue questo formato:
```
arn:aws:aiops:region:account-id:investigation-group/investigation-group-identifier#DEDUPE_STRING=value
```
La tabella seguente descrive ogni componente ARN:
| Parametro | Description |
| --- | --- |
| region(richiesto) | La AWS regione in cui ha sede il tuo gruppo investigativo. Ad esempio: us-east-1. |
| account-id(richiesto) | L'ID del tuo AWS account a 12 cifre. Ad esempio: 123456789012. |
| investigation-group-identifier(richiesto) | L'identificatore univoco del tuo gruppo investigativo. Ad esempio, sMwwg1IogXdvL7UZ |
| DEDUPE\$1STRING=value (facoltativo) | Una stringa di deduplicazione che raggruppa gli allarmi correlati nella stessa indagine. Quando più allarmi utilizzano la stessa stringa di deduplicazione, contribuiscono a una singola indagine invece di crearne di separati. |
**Esempio senza stringa di deduplicazione:**
```
arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ
```
**Esempio con stringa di deduplicazione:**
```
arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance
```
### Vantaggi delle stringhe di deduplicazione
Le stringhe di deduplicazione aiutano a organizzare gli allarmi correlati e a ridurre la frammentazione delle indagini. Utilizza le stringhe di deduplicazione quando:
+ **Più allarmi monitorano lo stesso sistema**: gli allarmi di CPU, memoria e disco per la stessa istanza EC2 possono condividere una stringa di deduplicazione per creare un'indagine completa.
+ **Si verificano errori a cascata**: quando un problema attiva più allarmi correlati, la stessa stringa di deduplicazione impedisce la creazione di indagini separate per ogni sintomo.
+ **Vuoi classificare per tipo di problema**: utilizza stringhe descrittive come «prestazioni», «connettività» o «sicurezza» per raggruppare gli allarmi per categoria di problema.
Esempi efficaci di stringhe di deduplicazione:
+ `DEDUPE_STRING=webserver-performance`- Raggruppa gli allarmi relativi alle prestazioni per i server Web
+ `DEDUPE_STRING=database-connectivity`- Problemi di connessione al database dei gruppi
+ `DEDUPE_STRING=instance-i-1234567890abcdef0`- Raggruppa tutti gli allarmi per una specifica istanza EC2
**Nota**
Se non viene specificata alcuna stringa di deduplicazione, il sistema utilizza una combinazione predefinita di nome dell'allarme, ID account e regione per raggruppare le indagini.
Per ulteriori informazioni sui gruppi di indagine, vedere. [Configurazione di un gruppo di indagine](Investigations-GetStarted-Group.md)
# Configurare un allarme per creare indagini
Dopo aver impostato un gruppo investigativo nel tuo account, puoi configurare gli CloudWatch allarmi esistenti in modo che creino automaticamente le indagini quando entrano nello stato ALARM. Ciò elimina la necessità di avviare manualmente le indagini e garantisce una risposta coerente ai problemi operativi. È possibile configurare gli allarmi utilizzando la Console AWS di gestione, AWS CLI CloudFormation, o. AWS SDKs
------
#### [ Console ]
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, scegli **Allarmi** e seleziona una sveglia esistente.
1. Scegli **Actions (Operazioni)**, **Edit (Modifica)**.
1. Nella sezione **Azioni di allarme**, scegli **Aggiungi azione di allarme**.
1. Nella sezione **Configura azioni**, **Azione investigativa**, scegli l'ARN del gruppo investigativo.
1. (Facoltativo) Aggiungi una stringa di deduplicazione per raggruppare gli allarmi correlati.
1. Seleziona **Update Alarm (Aggiorna allarme)**.
------
#### [ CLI ]
Questo comando richiede di specificare un ARN per il parametro `alarm-actions`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
**Per configurare un CloudWatch allarme con InvestigationGroup action ()AWS CLI**
1. Installa e configura il AWS CLI, se non l'hai già fatto. Per informazioni, consulta la pagina [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
1. Eseguire il seguente comando per raccogliere informazioni sull'allarme da configurare.
```
aws cloudwatch describe-alarms --alarm-names "alarm name"
```
1. Esegui il seguente comando per aggiornare un allarme. Sostituisci ogni *example resource placeholder* con le tue informazioni.
```
aws cloudwatch put-metric-alarm --alarm-name name \
--alarm-description "description" \
--metric-name name --namespace namespace \
--statistic statistic --period value --threshold value \
--comparison-operator value \
--dimensions "dimensions" --evaluation-periods value \
--alarm-actions "arn:aws:aiops:region:{account-id}:investigation-group/{investigationGroupIdentifier}#DEDUPE_STRING={my-dedupe-string}"
```
Ecco un esempio:
```
//Without deduplication string
aws cloudwatch put-metric-alarm --alarm-name cpu-mon \
--alarm-description "Alarm when CPU exceeds 70 percent" \
--metric-name CPUUtilization --namespace AWS/EC2 \
--statistic Average --period 300 --threshold 70 \
--comparison-operator GreaterThanThreshold \
--dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \
--alarm-actions arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ \
--unit Percent
//With deduplication string
aws cloudwatch put-metric-alarm --alarm-name cpu-mon \
--alarm-description "Alarm when CPU exceeds 70 percent" \
--metric-name CPUUtilization --namespace AWS/EC2 \
--statistic Average --period 300 --threshold 70 \
--comparison-operator GreaterThanThreshold \
--dimensions "Name=InstanceId,Value=i-12345678" --evaluation-periods 2 \
--alarm-actions arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance \
--unit Percent
```
------
#### [ CloudFormation ]
Questa sezione include CloudFormation modelli che puoi utilizzare per configurare gli CloudWatch allarmi per creare o aggiornare automaticamente le indagini. Ogni modello richiede di specificare un ARN per il parametro `AlarmActions`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
```
//Without deduplication string
Resources:
MyAlarm:
Type: AWS::CloudWatch::Alarm
Properties:
AlarmActions:
- !Sub "arn:aws:aiops:${AWS::Region}:${AWS::AccountId}:investigation-group/{investigationGroupIdentifier}"
//With deduplication string
Resources:
MyAlarm:
Type: AWS::CloudWatch::Alarm
Properties:
AlarmActions:
- !Sub "arn:aws:aiops:${AWS::Region}:${AWS::AccountId}:investigation-group/{investigationGroupIdentifier}#DEDUPE_STRING={my-dedupe-string}"
```
------
#### [ SDK ]
Questa sezione include frammenti di codice Java che è possibile utilizzare per configurare gli CloudWatch allarmi per creare o aggiornare automaticamente le indagini. Ogni frammento richiede di specificare un ARN per il parametro `investigationGroupArn`. Per informazioni su come creare l'ARN, consulta [Formato e parametri ARN](Investigations-configure-alarms.md#Investigations-arn-format).
```
import com.amazonaws.services.cloudwatch.AmazonCloudWatch;
import com.amazonaws.services.cloudwatch.AmazonCloudWatchClientBuilder;
import com.amazonaws.services.cloudwatch.model.ComparisonOperator;
import com.amazonaws.services.cloudwatch.model.Dimension;
import com.amazonaws.services.cloudwatch.model.PutMetricAlarmRequest;
import com.amazonaws.services.cloudwatch.model.PutMetricAlarmResult;
import com.amazonaws.services.cloudwatch.model.StandardUnit;
import com.amazonaws.services.cloudwatch.model.Statistic;
//Without deduplication string
private void putMetricAlarmWithCloudWatchInvestigationAction() {
final AmazonCloudWatch cloudWatchClient =
AmazonCloudWatchClientBuilder.defaultClient();
Dimension dimension = new Dimension()
.withName("InstanceId")
.withValue("i-12345678");
String investigationGroupArn = "arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ";
PutMetricAlarmRequest request = new PutMetricAlarmRequest()
.withAlarmName("cpu-mon")
.withComparisonOperator(
ComparisonOperator.GreaterThanThreshold)
.withEvaluationPeriods(2)
.withMetricName("CPUUtilization")
.withNamespace("AWS/EC2")
.withPeriod(300)
.withStatistic(Statistic.Average)
.withThreshold(70.0)
.withActionsEnabled(true)
.withAlarmDescription("Alarm when CPU exceeds 70 percent")
.withUnit(StandardUnit.Percent)
.withDimensions(dimension)
.withAlarmActions(investigationGroupArn);
PutMetricAlarmResult response = cloudWatchClient.putMetricAlarm(request);
}
//With deduplication string
private void putMetricAlarmWithCloudWatchInvestigationActionWithDedupeString() {
final AmazonCloudWatch cloudWatchClient =
AmazonCloudWatchClientBuilder.defaultClient();
Dimension dimension = new Dimension()
.withName("InstanceId")
.withValue("i-12345678");
String investigationGroupArn = "arn:aws:aiops:us-east-1:123456789012:investigation-group/sMwwg1IogXdvL7UZ#DEDUPE_STRING=performance";
PutMetricAlarmRequest request = new PutMetricAlarmRequest()
.withAlarmName("cpu-mon")
.withComparisonOperator(
ComparisonOperator.GreaterThanThreshold)
.withEvaluationPeriods(2)
.withMetricName("CPUUtilization")
.withNamespace("AWS/EC2")
.withPeriod(300)
.withStatistic(Statistic.Average)
.withThreshold(70.0)
.withActionsEnabled(true)
.withAlarmDescription("Alarm when CPU exceeds 70 percent")
.withUnit(StandardUnit.Percent)
.withDimensions(dimension)
.withAlarmActions(investigationGroupArn);
PutMetricAlarmResult response = cloudWatchClient.putMetricAlarm(request);
}
```
------
# Integrazione con Amazon EKS
CloudWatch i gruppi investigativi possono utilizzare le informazioni direttamente dal tuo cluster Amazon EKS. Per iniziare, concedi innanzitutto l'accesso al ruolo IAM `Investigation Group`. Consigliamo di utilizzare la *politica di accesso AWS * gestito predefinita `AmazonAIOpsAssistantPolicy` che consente ai gruppi CloudWatch investigativi di accedere alle risorse del cluster. Utilizzando questa policy, riceverai automaticamente gli aggiornamenti delle policy in base alle necessità.
**Nota**
`AmazonAIOpsAssistantPolicy` è una policy di accesso. La politica di identità AWS gestita che autorizza l'accesso associato alle CloudWatch indagini sui gruppi di indagine è. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)
Utilizza l'opzione **Configurazione avanzata** per limitare l'accesso fornito dalla policy di accesso a un set di namespace o all'intero cluster. In alternativa, puoi limitare ulteriormente l'accesso associando la voce di accesso a un'autorizzazione RBAC del gruppo Kubernetes. Per ulteriori informazioni, consulta [Creating access entries](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html).
## Configurazione della voce di accesso di Amazon EKS (console)
Per associarlo `AmazonAIOpsAssistantPolicy` al ruolo di indagine utilizzando la console di AWS gestione, segui questi passaggi:
1. Apri la CloudWatch console e vai alla pagina di configurazione delle indagini.
1. Nella sezione Amazon EKS Access, seleziona l'opzione per associare `AmazonAIOpsAssistantPolicy` al tuo ruolo di indagine.
1. Rivedi i dettagli della policy e conferma l'associazione.
Per personalizzare ulteriormente l'ambito di accesso:
1. Fai clic su **Configurazione avanzata** nella sezione Accesso ad Amazon EKS.
1. Avverrà il reindirizzamento alla console Amazon EKS.
1. Nella console Amazon EKS, puoi:
1. Limitazione della policy in base a namespace specifici
1. Configurazione della funzionalità di gruppo per un controllo degli accessi più granulare
## Configurazione delle voci di accesso di Amazon EKS (CDK)
Per configurare Amazon EKS Access Entries utilizzando il AWS CDK, utilizza il seguente esempio di codice:
```
const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
cluster: eksCluster,
principal: investigationsIamRole.roleArn,
accessPolicies: [
AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
accessScopeType: AccessScopeType.CLUSTER
}),
],
});
```
## Amazon AIOps AssistantPolicy
La policy di accesso di Amazon EKS `AmazonAIOpsAssistantPolicy` fornisce un accesso completo in sola lettura alle risorse del cluster. Le informazioni di ciascuna risorsa potrebbero non essere attualmente utilizzate dalle CloudWatch indagini.
```
- apiGroups: [""]
resources:
- pods
- pods/log
- services
- nodes
- namespaces
- events
- persistentvolumes
- persistentvolumeclaims
- configmaps
verbs:
- get
- list
- apiGroups: ["apps"]
resources:
- deployments
- replicasets
- statefulsets
- daemonsets
verbs:
- get
- list
- apiGroups: ["batch"]
resources:
- jobs
- cronjobs
verbs:
- get
- list
- apiGroups: ["events.k8s.io"]
resources:
- events
verbs:
- get
- list
- apiGroups: ["networking.k8s.io"]
resources:
- ingresses
- ingressclasses
verbs:
- get
- list
- apiGroups: ["storage.k8s.io"]
resources:
- storageclasses
verbs:
- get
- list
- apiGroups: ["metrics.k8s.io"]
resources:
- pods
- nodes
verbs:
- get
- list
```
## Aggiornamenti ad Amazon AIOps AssistantPolicy
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Aggiungi una politica per le CloudWatch indagini | Versione iniziale di AmazonAIOpsAssistantPolicy | 9 agosto 2025 |