Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Indagini su più account
CloudWatch Le indagini su più account consentono di esaminare i problemi relativi alle applicazioni che si estendono su più account Account AWS da un account di monitoraggio centralizzato. Questa funzionalità consente di correlare i dati di telemetria, le metriche e i log su un massimo di 25 account, oltre all'account di monitoraggio, per ottenere una visibilità completa sulle applicazioni distribuite e risolvere complessi scenari multi-account.
Argomenti
Prerequisiti
-
L'indagine su più account richiede che sia già configurata l'osservabilità tra account per visualizzare le telemetrie tra account. Per completare il prerequisito, configura l'osservabilità tra account o la dashboard tra account.
-
Crea un gruppo di indagine. Per l'osservabilità tra più account, questo dovrebbe essere nell'account di monitoraggio. Puoi anche configurarli negli account di origine ed eseguire indagini su singoli account.
Configura il tuo account di monitoraggio per l'accesso da più account
Configura il tuo account di monitoraggio per l'accesso da più account
Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/
. -
Nel riquadro di navigazione a sinistra, scegli AI Operations, Configuration.
-
In Configura l'accesso tra account, seleziona Configura.
-
Aggiungi l'ID account per un massimo di 25 account nella sezione Elenca account di origine.
-
Aggiorna il tuo ruolo IAM.
-
Automaticamente
-
Se scegli Aggiorna automaticamente il ruolo di assistente (consigliato), viene creata una politica gestita dal cliente denominata
AIOpsAssistantCrossAccountPolicy-${guid}con lests:AssumeRoleistruzioni per assumere i ruoli dell'account di origine forniti. La scelta dell'opzione di aggiornamento automatico imposta come impostazione predefinita il nome del ruolo IAMAIOps-CrossAccountInvestigationRolenegli account di origine.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } } -
Se il proprietario dell'account di monitoraggio rimuove un account di origine dalla configurazione tra account, la policy IAM non si aggiornerà automaticamente. Devi aggiornare manualmente il ruolo e la policy IAM per assicurarti che disponga sempre delle autorizzazioni minime possibili.
-
Puoi raggiungere il limite di policy gestite per ruolo se le autorizzazioni non vengono aggiornate manualmente quando viene rimosso un account di origine. È necessario eliminare tutte le politiche gestite non utilizzate associate al ruolo di indagine.
-
-
Manualmente
-
Di seguito è riportato un esempio di come dovrebbe essere la politica di fiducia del ruolo di assistente. Per ulteriori informazioni, consulta Nozioni di base.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*" } } } ] }Per concedere l'accesso su più account, la politica di autorizzazione del ruolo investigativo nell'account di monitoraggio deve contenere quanto segue. Se configuri manualmente l'account di monitoraggio, il nome del ruolo può essere quello che preferisci. L'impostazione predefinita non è
AIOps-CrossAccountInvestigationRole{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/source_role_name_1" "arn:aws:iam::555555555555:role/source_role_name_2" "arn:aws:iam::666666666666:role/source_role_name_3" ] } }
-
-
Configura i tuoi account di origine per l'accesso da più account
-
Assegna un nome a un ruolo IAM
AIOps-CrossAccountInvestigationRolese hai selezionato l'opzione Aggiorna automaticamente il ruolo di assistente per configurare l'account di monitoraggio. Se hai utilizzato l'opzione di configurazione manuale, fornisci al ruolo IAM il nome di ruolo personalizzato dell'account di origine.-
Allega la policy AWS gestita
AIOpsAssistantPolicyal ruolo nella console IAM. -
La politica di fiducia del ruolo sull'account di origine si presenta così.
ExternalIDdeve essere specificata nella politica. Utilizza il gruppo di indagine dell'account di monitoraggio arn.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ]
-
-
Questa operazione deve essere eseguita in ciascuno degli account di origine.
-
Se configuri il ruolo dell'account di monitoraggio tramite la console, il nome del ruolo dell'account di origine è predefinito su.
AIOps-CrossAccountInvestionRole -
Conferma l'accesso accedendo all'account di monitoraggio, accedendo a Investigation Group, quindi Configurazione e quindi scegliendo Configurazione tra account.
Assicurati che l'account di origine compaia nella configurazione tra account e che lo stato sia Collegato all'account di monitoraggio.
Analisi dei problemi relativi a più account
Dopo aver configurato OAM o la dashboard per più account, puoi visualizzare ed esaminare i dati di telemetria tra account nel tuo account di monitoraggio. È necessario aggiungere una telemetria tra account dall'account di origine per eseguire un'indagine su tale account di origine.
Per informazioni dettagliate su come creare un'indagine, consulta. Esamina i problemi operativi del tuo ambiente
