# 調査グループを設定する アカウントで CloudWatch 調査を設定して調査を強化するには、*調査グループ*を作成します。調査グループの作成は 1 回限りの設定タスクで、作成後は他の調査の実行に使用されます。調査グループの設定は、次のような調査の一般的なプロパティを一元管理するのに役立ちます。 + 調査にアクセスできるユーザー + 調査中に他のアカウントのリソースにアクセスするためのクロスアカウント調査のサポート + 調査データがカスタマーマネージド AWS Key Management Service キーで暗号化されているかどうか。 + 調査とそのデータがデフォルトで保持される期間。 アカウントごとに 1 つの調査グループを持つことができます。アカウント内の各調査は、この調査グループの一部になります。 調査グループを作成するには、**AIOpsConsoleAdminPolicy** または **AdministratorAccess** IAM ポリシーがアタッチされている IAM プリンシパル、あるいは類似のアクセス許可を持つアカウントにサインインする必要があります。 **注記** CloudWatch 調査の運用調査用に新しい IAM ロールを作成する推奨オプションを選択できるようにするには、`iam:CreateRole`、`iam:AttachRolePolicy`、および `iam:PutRolePolicy` のアクセス許可を持つ IAM プリンシパルにサインインする必要があります。 **重要** CloudWatch 調査では、*クロスリージョン推論*を使用して、異なる AWS リージョン間でトラフィックを分散します。詳細については、「[クロスリージョン推論](Investigations-Security.md#cross-region-inference)」を参照してください。 **アカウントに調査グループを作成するには** 1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。 1. 左のナビゲーションペインで、**[AI Operations]**、**[設定]** を選択します。 1. **[Configure for this account]** を選択します。 1. 必要に応じて、調査の保持期間を変更します。保持期間の機能の詳細については、「[CloudWatch 調査のデータ保持](Investigations-Retention.md)」を参照してください。 1. (オプション) カスタマーマネージド AWS KMS キーを使用して調査データを暗号化するには、**[Customize encryption settings]** を選択し、使用するキーを作成または指定する手順に従います。カスタマーマネージドキーを指定しない場合、CloudWatch 調査では暗号化に AWS 所有キーが使用されます。詳細については、「[調査データの暗号化](Investigations-Security.md#Investigations-KMS)」を参照してください。 1. リソースにアクセスするためのアクセス許可を CloudWatch 調査に付与する方法を選択します。最初の 2 つのオプションのうちのいずれかを選択するには、`iam:CreateRole`、`iam:AttachRolePolicy`、`iam:PutRolePolicy` のアクセス許可を持つ IAM プリンシパルにサインインする必要があります。 1. (推奨) **[デフォルトの調査アクセス許可で新しいロールを自動作成]** を選択します。このロールには、AI オペレーションの AWS マネージドポリシーを使用してアクセス許可が付与されます。詳細については、「[CloudWatch 調査グループのユーザーアクセス許可](Investigations-Security.md#Investigations-Security-IAM)」を参照してください。 1. 新しいロールを自分で作成し、ポリシーテンプレートを割り当てます。 1. 使用するアクセス許可を持つロールが既にある場合は、**[Assign an existing role]** を選択します。 このオプションを選択した場合は、ロールにサービスプリンシパルとして `aiops.amazonaws.com` という名前の信頼ポリシーが含まれていることを確認する必要があります。信頼ポリシーでサービスプリンシパルを使用する方法の詳細については、「[AWS サービスプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)」を参照してください。 また、混乱した代理状況を防ぐために、アカウント番号を含む `Condition` セクションを含めることをお勧めします。次の信頼ポリシーの例は、サービスプリンシパルと `Condition` セクションの両方を示しています。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*" } } } ] } ``` ------ 1. **[調査グループを作成]** を選択すると、アラーム、メトリクス、またはログのインサイトから調査を作成できるようになります。 必要に応じて、追加の推奨設定をセットアップしてエクスペリエンスを向上させることができます。 1. 左のナビゲーションペインで、**[AI Operations]、[設定]** を選択します。 1. **[オプション設定]** タブで、CloudWatch 調査に追加する機能強化を選択します。 1. **[クロスアカウントアクセスを設定]** では、このアカウントを、組織内の他のソースアカウントからデータを収集するモニタリングアカウントとして設定できます。詳細については、「[クロスアカウント調査](Investigations-cross-account.md)」を参照してください。 1. **[強化された統合]** では、CloudWatch 調査がシステム内の追加のサービスにアクセスできるような選択ができ、その結果、より多くのデータを収集し、より有用にすることができます。 1. **[Tags for application boundary detection]** セクションに、システム内のカスタムアプリケーションの既存のカスタムタグキーを入力します。リソースタグは、リソース間の明確な関係を検出できない場合に、CloudWatch 調査が検索領域を絞り込むのに役立ちます。例えば、Amazon ECS サービスが Amazon RDS データベースに依存していることを検出する場合、CloudWatch 調査は X-Ray や CloudWatch Application Signals などのデータソースを使用してこの関係を検出します。ただし、これらの機能をデプロイしていない場合、CloudWatch 調査は可能性のある関係を特定しようとします。このような場合、タグの境界を使用して、CloudWatch 調査が検出するリソースを絞り込むことができます。 CloudWatch 調査はそれらのタグを自動的に検出できるため、myApplications または CloudFormation によって作成されたタグを入力する必要はありません。 1. CloudTrail は、デプロイイベントなど、システムの変更に関するイベントを記録します。これらのイベントは、多くの場合、CloudWatch 調査がシステム内の問題の根本原因に関する仮説を作成するのに役立ちます。**[変更イベント検出のための CloudTrail]** セクションの **[CloudTrail イベント履歴を通じてアシスタントに CloudTrail 変更イベントへのアクセスを許可する]** を有効にすることで、CloudWatch 調査が AWS CloudTrail によってログに記録されたイベントにアクセスできるようにします。詳細については、「[CloudTrail イベント履歴の操作](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。 1. **[トポロジーマッピング用の X-Ray]** と **[健康評価用の Application Signals]** のセクションでは、CloudWatch 調査が情報を見つけるのに役立つ他の AWS のサービスについて説明しています。これらをデプロイ済みで **AIOpsAssistantPolicy** IAM ポリシーを CloudWatch 調査に付与している場合、X-Ray および Application Signals テレメトリにアクセスできます。 これらのサービスが CloudWatch 調査にどのように役立つかの詳細については、「[X-Ray](Investigations-RecommendedServices.md#Investigations-Xray)」および「[CloudWatch Application Signals](Investigations-RecommendedServices.md#Investigations-ApplicationSignals)」を参照してください。 1. Amazon EKS を使用する場合、アクセスエントリを設定すると、CloudWatch 調査の調査グループは Amazon EKS クラスターから直接情報を利用できるようになります。詳細については、「[Amazon EKS との統合](EKS-Integration.md)」を参照してください。 1. Amazon RDS を使用する場合は、データベースインスタンスで Database Insights のアドバンストモードを有効にします。Database Insights は、データベースの負荷をモニタリングして、CloudWatch 調査が調査中にデータベース関連の問題を特定するのに役立つ詳細なパフォーマンス分析を提供します。CloudWatch 調査は、Advanced Database Insights を有効にすると、詳細な観測、メトリクスの異常、根本原因分析、データベースワークロードに固有の推奨事項を含むパフォーマンス分析レポートを自動的に生成できます。Database Insights の詳細およびアドバンスモードを有効にする方法の詳細については、「[CloudWatch Database Insights による Amazon RDS データベースのモニタリング](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html)」を参照してください。 1. CloudWatch 調査を*チャットチャネル*と統合できます。これにより、チャットチャネルを通じて調査に関する通知を受信できます。CloudWatch 調査は、次のアプリケーションのチャットチャネルをサポートしています。 + Slack + Microsoft Teams チャットチャネルと統合する場合は、調査グループでこの機能強化を有効にする前にいくつかの追加手順を完了することをお勧めします。詳細については、「[サードパーティーのチャットシステムとの統合](Investigations-Integrations.md#Investigations-Integrations-Chat)」を参照してください。 続いて、次の手順を実行して、チャットアプリケーション内のチャットチャネルと統合します。 + **[Chat client integration]** セクションで、**[Select SNS topic]** を選択します。 + 調査に関する通知を送信するために使用する SNS トピックを選択します。