교차 계정 조사 - Amazon CloudWatch
사전 조건교차 계정 액세스를 위한 모니터링 계정 설정교차 계정 액세스를 위한 소스 계정 설정다중 계정 문제 조사

교차 계정 조사

교차 계정 CloudWatch 조사를 사용하면 중앙 집중식 모니터링 계정의 여러 AWS 계정에 걸쳐 있는 애플리케이션 문제를 조사할 수 있습니다. 이 기능을 사용하면 모니터링 계정 외에도 최대 25개의 계정에서 원격 측정 데이터, 지표, 로그를 상호 연관시켜 분산 애플리케이션에 대한 포괄적인 가시성을 확보하고 복잡한 다중 계정 시나리오 문제를 해결할 수 있습니다.

사전 조건

  • 다중 계정 조사를 수행하려면 교차 계정 원격 측정을 보기 위해 교차 계정 관찰성이 이미 설정되어 있어야 합니다. 사전 요구 사항을 완료하려면 교차 계정 관찰성 또는 교차 계정 대시보드를 설정합니다.

  • 조사 그룹을 설정합니다. 교차 계정 관찰성을 위해 조사 그룹이 모니터링 계정에 있어야 합니다. 조사 그룹을 소스 계정에서 설정하고 여기에서 단일 계정 조사를 실행할 수도 있습니다.

교차 계정 액세스를 위한 모니터링 계정 설정

교차 계정 액세스를 위한 모니터링 계정 설정

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 AI Operations, 구성을 선택합니다.

  3. 교차 계정 액세스 구성에서 구성을 선택합니다.

  4. 소스 계정 나열 섹션에서 최대 25개 계정의 계정 ID를 추가합니다.

  5. IAM 역할을 업데이트합니다.

    1. 자동으로

      • 어시스턴트 역할 자동 업데이트(권장)를 선택하면 제공된 소스 계정 역할을 수임하기 위해 sts:AssumeRole 문이 포함된 AIOpsAssistantCrossAccountPolicy-${guid}라는 고객 관리형 정책이 생성됩니다. 자동 업데이트 옵션을 선택하면 소스 계정에서 IAM 역할 이름이 기본적으로 AIOps-CrossAccountInvestigationRole로 설정됩니다.

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
            ]
    }
}

      • 모니터링 계정 소유자가 교차 계정 구성에서 소스 계정을 제거하면 IAM 정책이 자동으로 업데이트되지 않습니다. 항상 가능한 한 최소 권한을 부여하도록 IAM 역할 및 정책을 수동으로 업데이트해야 합니다.

      • 소스 계정을 제거할 때 권한을 수동으로 업데이트하지 않으면 역할당 관리형 정책 한도에 도달할 수 있습니다. 조사 역할에 연결된 미사용 관리형 정책을 모두 삭제해야 합니다.

    2. 직접

      • 다음은 어시스턴트 역할의 신뢰 정책 예입니다. 자세한 내용은 시작 섹션을 참조하세요.

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                }
            }
        }
    ]
}

        교차 계정 액세스 권한을 부여하려면 모니터링 계정에 있는 조사 역할의 권한 정책에 다음이 포함되어야 합니다. 모니터링 계정을 수동으로 구성하는 경우 역할 이름을 임의로 선택할 수 있습니다. 기본적으로 AIOps-CrossAccountInvestigationRole이 설정되지 않습니다.

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/source_role_name_1"
            "arn:aws:iam::555555555555:role/source_role_name_2"
            "arn:aws:iam::666666666666:role/source_role_name_3"
            ]
    }
}

교차 계정 액세스를 위한 소스 계정 설정

  1. 어시스턴트 역할 자동 업데이트 옵션을 선택하여 모니터링 계정을 설정한 경우 AIOps-CrossAccountInvestigationRole 이름으로 IAM 역할을 프로비저닝합니다. 수동 설정 옵션을 사용한 경우 사용자 지정 소스 계정 역할 이름으로 IAM 역할을 프로비저닝합니다.

    1. IAM 콘솔에서 AWS 관리형 정책 AIOpsAssistantPolicy를 IAM 역할에 연결합니다.

    2. 소스 계정에 있는 역할의 신뢰 정책은 다음과 같습니다. ExternalID는 정책에 지정되어야 합니다. 모니터링 계정 조사 그룹 ARN을 사용합니다.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
            }
        }
    }
]

  2. 이 작업은 각 소스 계정에서 수행해야 합니다.

  3. 콘솔을 통해 모니터링 계정 역할을 설정하는 경우 소스 계정의 역할 이름은 기본적으로 AIOps-CrossAccountInvestionRole로 설정됩니다.

  4. 모니터링 계정에 로그인하고 조사 그룹으로 이동한 다음 구성, 교차 계정 설정을 차례로 선택하여 액세스 권한을 확인합니다.

    교차 계정 구성에 소스 계정이 표시되고 상태가 모니터링 계정에 연결됨인지 확인합니다.

다중 계정 문제 조사

OAM 또는 교차 계정 대시보드를 설정한 후 모니터링 계정의 교차 계정 원격 측정에서 보고 조사할 수 있습니다. 소스 계정에 대한 조사를 실행하려면 해당 소스 계정에서 교차 계정 원격 측정을 추가해야 합니다.

조사를 생성하는 방법에 대한 자세한 내용은 환경의 운영 문제 조사 섹션을 참조하세요.