入門 - Amazon CloudWatch
サンプル調査を表示する運用調査を設定する

入門

CloudWatch 調査を設定するには、調査グループを作成します。また、サンプル調査を表示して、その仕組みについて全体的な考え方を把握することもできます。

サンプル調査を表示する

アカウントに設定する前に CloudWatch 調査機能の実際の動作を確認する場合は、サンプル調査を試すことができます。このサンプル調査では、データは使用されず、アカウントでデータ呼び出しや API オペレーションの開始も行われません。

サンプル調査を表示するには

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. 左のナビゲーションペインで、[AI Operations][Overview] を選択します。

  3. [Try a sample investigation] を選択します。

    コンソールにはサンプル調査が表示され、右側のペインに提案と結果が表示されます。各ポップアップで [Next] を選択して、サンプルウォークスルーの次の部分に進みます。

運用調査を設定する

アカウントで CloudWatch 調査を設定するには、調査グループを作成します。調査グループの作成は 1 回限りの設定タスクです。調査グループの設定は、次のような調査の一般的なプロパティを一元管理するのに役立ちます。

  • 調査にアクセスできるユーザー

  • 調査データがカスタマーマネージド AWS Key Management Service キーで暗号化されているかどうか。

  • 調査とそのデータがデフォルトで保持される期間。

現在、アカウントごとに 1 つの調査グループを持つことができます。アカウント内の各調査は、この調査グループの一部になります。

調査グループを作成して CloudWatch 調査を設定するには、AIOpsConsoleAdminPolicy または AdministratorAccess IAM ポリシーがアタッチされている IAM プリンシパル、あるいは同様のアクセス許可を持つアカウントにサインインする必要があります。

注記

CloudWatch 調査の運用調査用に新しい IAM ロールを作成する推奨オプションを選択できるようにするには、iam:CreateRoleiam:AttachRolePolicy、および iam:PutRolePolicy のアクセス許可を持つ IAM プリンシパルにサインインする必要があります。

重要

CloudWatch 調査では、クロスリージョン推論を使用して、異なる AWS リージョン間でトラフィックを分散します。詳細については、「クロスリージョン推論」を参照してください。

調査グループを作成し、アカウントで CloudWatch 調査を有効にするには

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. 左のナビゲーションペインで、[AI Operations][設定] を選択します。

  3. [Configure for this account] を選択します。

  4. 必要に応じて、調査の保持期間を変更します。保持期間の機能の詳細については、「CloudWatch 調査のデータ保持」を参照してください。

  5. (オプション) カスタマーマネージド AWS KMS キーを使用して調査データを暗号化するには、[Customize encryption settings] を選択し、使用するキーを作成または指定する手順に従います。カスタマーマネージドキーを指定しない場合、CloudWatch 調査では暗号化に AWS 所有キーが使用されます。詳細については、「調査データの暗号化」を参照してください。

  6. まだ行っていない場合は、IAM コンソールを使用して、ユーザーが調査を表示および管理できるようにアクセスをプロビジョニングします。管理者、オペレーター、ビューワーに IAM ロールを付与します。詳細については、「ユーザーアクセス許可」を参照してください。

  7. [Amazon AI Operations Developer の許可] で、次のいずれかのオプションを選択します。これらのパラメータの詳細については「調査中に CloudWatch 調査がアクセスできるデータを制御する方法」を参照してください。

    最初の 2 つのオプションのうちのいずれかを選択するには、iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy のアクセス許可を持つ IAM プリンシパルにサインインする必要があります。

    • 推奨されるオプションは、[Auto-create a new role with default investigation permissions] を選択することです。このオプションを選択すると、アシスタントには [AIOpsAssistantPolicy] IAM ポリシーが付与されます。このポリシーの内容の詳細については、「CloudWatch 調査の IAM ポリシー (AIOpsAssistantPolicy)」を参照してください。

    • [AWS ポリシーテンプレートから新しいロールを作成] を選択して、調査中に CloudWatch 調査が持つアクセス許可をカスタマイズします。このオプションを選択した場合は、調査中に CloudWatch 調査に付与するアクセス許可のみにポリシーの範囲を絞り込む必要があります。

    • 使用するアクセス許可を持つロールが既にある場合は、[Assign an existing role] を選択します。

      このオプションを選択した場合は、ロールにサービスプリンシパルとして aiops.amazonaws.com という名前の信頼ポリシーが含まれていることを確認する必要があります。信頼ポリシーでサービスプリンシパルを使用する方法の詳細については、「AWS サービスプリンシパル」を参照してください。

      また、混乱した代理状況を防ぐために、アカウント番号を含む Condition セクションを含めることをお勧めします。次の信頼ポリシーの例は、サービスプリンシパルと Condition セクションの両方を示しています。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  8. [調査グループを作成] を選択すると、アラーム、メトリクス、またはログインサイトから調査を作成できるようになります。

  9. [Complete Setup] を選択します。

必要に応じて、追加の推奨設定をセットアップしてエクスペリエンスを向上させることができます。

  1. 左のナビゲーションペインで、[AI Operations]、[設定] を選択します。

  2. [強化された統合] では、CloudWatch 調査がシステム内の追加のサービスにアクセスできるような選択ができ、その結果、より多くのデータを収集し、より有用にすることができます。

    1. [Tags for application boundary detection] セクションに、システム内のカスタムアプリケーションの既存のカスタムタグキーを入力します。リソースタグは、リソース間の明確な関係を検出できない場合に、CloudWatch 調査が検索領域を絞り込むのに役立ちます。例えば、Amazon ECS サービスが Amazon RDS データベースに依存していることを検出する場合、CloudWatch 調査は X-Ray や CloudWatch Application Signals などのデータソースを使用してこの関係を検出します。ただし、これらの機能をデプロイしていない場合、CloudWatch 調査は可能性のある関係を特定しようとします。このような場合、タグの境界を使用して、CloudWatch 調査が検出するリソースを絞り込むことができます。

      CloudWatch 調査はそれらのタグを自動的に検出できるため、myApplications または AWS CloudFormation によって作成されたタグを入力する必要はありません。

    2. CloudTrail は、デプロイイベントなど、システムの変更に関するイベントを記録します。これらのイベントは、多くの場合、CloudWatch 調査がシステム内の問題の根本原因に関する仮説を作成するのに役立ちます。[変更イベント検出のための CloudTrail] セクションの [CloudTrail イベント履歴を通じてアシスタントに CloudTrail 変更イベントへのアクセスを許可する] を有効にすることで、CloudWatch 調査が AWS CloudTrail によってログに記録されたイベントにアクセスできるようにします。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

    3. [トポロジーマッピング用の X-Ray][健康評価用の Application Signals] のセクションでは、CloudWatch 調査が情報を見つけるのに役立つ他の AWS のサービスについて説明しています。これらをデプロイ済みで AIOpsAssistantPolicy IAM ポリシーを CloudWatch 調査に付与している場合、X-Ray および Application Signals テレメトリにアクセスできます。

      これらのサービスが CloudWatch 調査にどのように役立つかの詳細については、「X-Ray」および「CloudWatch Application Signals」を参照してください。

  3. チャットアプリケーションの AWS Chatbot を使用して、CloudWatch 調査をチャットチャネルと統合できます。これにより、チャットチャネルを通じて調査に関する通知を受信できます。CloudWatch 調査と AWS Chatbot は、次のアプリケーションのチャットチャネルをサポートしています。

    • Slack

    • Microsoft Teams

    チャットチャネルと統合する場合は、続行する前にいくつかの追加手順を完了することをお勧めします。詳細については、「サードパーティーのチャットシステムとの統合」を参照してください。

    続いて、次の手順を実行して、チャットアプリケーション内のチャットチャネルと統合します。

    • [Chat client integration] セクションで、[Select SNS topic] を選択します。

    • 調査に関する通知を送信するために使用する SNS トピックを選択します。