Indagini tra account - Amazon CloudWatch
PrerequisitiConfigurazione dell'account di monitoraggio per l'accesso multi-accountConfigurazione dell'account di origine per l'accesso multi-accountIndagini su problemi tra account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Indagini tra account

CloudWatch Le indagini su più account consentono di esaminare i problemi delle applicazioni che si estendono su più account Account AWS da un account di monitoraggio centralizzato. Questa funzionalità consente di correlare dati di telemetria, metriche e log su un massimo di 25 account, oltre all'account di monitoraggio, per ottenere una visibilità completa sulle applicazioni distribuite e risolvere scenari complessi che interessano più account.

Prerequisiti

  • Per le indagini tra account, è necessario che sia già configurata l'osservabilità tra account al fine di visualizzare le telemetrie dei vari account. Per soddisfare il prerequisito, configura l'osservabilità tra account o il pannello di controllo per tutti gli account.

  • Configura un gruppo di indagine. Per l'osservabilità tra account, questo dovrebbe avvenire nell'account di monitoraggio. Puoi anche configurare i gruppi negli account di origine ed eseguire indagini su singoli account all'interno degli stessi.

Configurazione dell'account di monitoraggio per l'accesso multi-account

Configurazione dell'account di monitoraggio per l'accesso multi-account

  1. Apri la console all'indirizzo. CloudWatch https://console.aws.amazon.com/cloudwatch/

  2. Nel pannello di navigazione a sinistra, scegli Operazioni di IA, Configurazione.

  3. In Configura l'accesso multi-account, seleziona Configura.

  4. Aggiungi l'ID account per un massimo di 25 account nella sezione Elenca account di origine.

  5. Aggiorna il ruolo IAM.

    1. Automaticamente

      • Se scegli Aggiorna automaticamente il ruolo di assistente (consigliato), viene creata una policy gestita dal cliente denominata AIOpsAssistantCrossAccountPolicy-${guid} che include le istruzioni sts:AssumeRole necessarie per assumere il ruolo di assistente negli account di origine specificati. La scelta dell'opzione di aggiornamento automatico imposta come valore predefinito il nome del ruolo IAM su AIOps-CrossAccountInvestigationRole negli account di origine.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Se il proprietario dell'account di monitoraggio rimuove un account di origine dalla configurazione tra account, la policy IAM non si aggiornerà automaticamente. Devi aggiornare manualmente il ruolo e la policy IAM per assicurarti che disponga sempre delle autorizzazioni minime possibili.

      • Potresti raggiungere il limite di policy gestite per ruolo se le autorizzazioni non vengono aggiornate manualmente quando viene rimosso un account di origine. È necessario eliminare tutte le policy gestite non utilizzate associate al ruolo di indagine.

    2. Manualmente

      • Nell'esempio seguente viene illustrata la policy di attendibilità richiesta per il ruolo di assistente:

        JSON
        
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        Puoi utilizzare il AWS CLI per creare il ruolo personalizzato dell'account di origine e quindi collegarlo AIOpsAssistantPolicy al ruolo utilizzando i seguenti comandi, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente: 

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17",		 	 	  
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • Per concedere l'accesso multi-account, la policy di autorizzazione del ruolo di assistente nell'account di monitoraggio deve contenere quanto segue. Se configuri manualmente l'account di monitoraggio, puoi assegnare al ruolo il nome che preferisci. AIOps-CrossAccountInvestigationRole non è l'impostazione predefinita: assicurati di specificare il nome del ruolo di assistente per ciascuno degli account di origine.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • Usa il AWS CLI per aggiornare il gruppo di indagine dell'account di monitoraggio con il ruolo ARN dell'account di origine personalizzato utilizzando il seguente comando, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente: 

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        Per ulteriori dettagli su questo comando, consulta la documentazione di riferimento dei comandi di AWS CLI.

Configurazione dell'account di origine per l'accesso multi-account

  1. Assegna il nome AIOps-CrossAccountInvestigationRole a un ruolo IAM se hai selezionato l'opzione Aggiorna automaticamente il ruolo di assistente per configurare l'account di monitoraggio. Se hai utilizzato l'opzione di configurazione manuale, fornisci al ruolo IAM il nome del ruolo personalizzato dell'account di origine.

    1. Collega la policy AWS gestita AIOpsAssistantPolicy al ruolo nella console IAM.

    2. La policy di attendibilità del ruolo sull'account di origine si presenta così. ExternalIDdeve essere specificato nella policy. Utilizza l'ARN del gruppo di indagine dell'account di monitoraggio.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Questa operazione deve essere eseguita in ciascuno degli account di origine.

  3. Se si configura il ruolo dell'account di monitoraggio tramite la console, il nome del ruolo dell'account di origine viene impostato per impostazione predefinita su AIOps-CrossAccountInvestionRole.

  4. Per confermare l'accesso, accedi all'account di monitoraggio, seleziona Gruppo di indagine e quindi Configurazione, poi scegli Configurazione dell'accesso multi-account.

    Assicurati che l'account di origine compaia nella configurazione tra account e che lo stato sia Collegato all'account di monitoraggio.

Indagini su problemi tra account

Dopo aver configurato la dashboard di osservabilità CloudWatch tra account, puoi visualizzare e analizzare i dati di telemetria tra account presenti nel tuo account di monitoraggio. È necessario aggiungere la telemetria tra account dall'account di origine per eseguire un'indagine su tale account di origine.

Per informazioni dettagliate su come creare un'indagine, consulta Esamina i problemi operativi nel tuo ambiente.