Configurar um grupo de investigações - Amazon CloudWatch

Configurar um grupo de investigações

Para configurar as investigações do CloudWatch em sua conta e usar uma investigação avançada, crie um grupo de investigações. A configuração para criar um grupo de investigações é realizada apenas uma vez; depois de criado, ele é usado para conduzir outras investigações. As configurações no grupo de investigação ajudam a gerenciar de forma centralizada as propriedades comuns das investigações, como as seguintes:

  • Quem pode acessar as investigações

  • Compatibilidade com investigação entre contas para acessar recursos em outras contas durante a investigação

  • Se os dados da investigação estão criptografados com uma chave do AWS Key Management Service gerenciada pelo cliente.

  • Por quanto tempo as investigações e seus dados são retidos por padrão.

Você pode ter um grupo de investigação por conta. Cada investigação na conta fará parte desse grupo de investigação.

Para criar um grupo de investigações, é necessário fazer login em uma entidade principal do IAM que tenha a política do IAM AIOpsConsoleAdminPolicy ou AdministratorAccess anexada, ou em uma conta que tenha permissões similares.

nota

Para poder escolher a opção recomendada de criar um perfil do IAM para as investigações do CloudWatch, é necessário estar conectado a uma entidade principal do IAM que tenha as permissões iam:CreateRole, iam:AttachRolePolicy e iam:PutRolePolicy.

Importante

As investigações do CloudWatch usam inferência entre regiões para distribuir o tráfego em diferentes regiões da AWS. Para saber mais, consulte Inferência entre regiões.

Para criar um grupo de investigações em sua conta

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação esquerdo, escolha Operações de IA, Configuração.

  3. Escolha Configurar para esta conta.

  4. Opcionalmente, altere o período de retenção para as investigações. Para obter mais informações sobre o que o período de retenção controla, consulte Retenção de dados das investigações do CloudWatch.

  5. (Opcional) Para criptografar os dados da investigação com uma chave do AWS KMS gerenciada pelo cliente, escolha Personalizar configurações de criptografia e siga as etapas para criar ou especificar uma chave a ser usada. Se você não especificar uma chave gerenciada pelo cliente, as investigações do CloudWatch usarão uma chave pertencente à AWS para criptografia. Para saber mais, consulte Criptografia de dados de investigação.

  6. Escolha como conceder às investigações do CloudWatch permissões para acessar recursos. Para poder escolher uma das duas primeiras opções, você deverá estar conectado a uma entidade principal do IAM que tenha as permissões iam:CreateRole, iam:AttachRolePolicy e iam:PutRolePolicy.

    1. (Recomendável) Selecione Criar automaticamente um novo perfil com as permissões de investigação padrão. As permissões serão concedidas a esse perfil por meio de políticas gerenciadas da AWS para operações de IA. Para saber mais, consulte Permissões de usuário para o grupo de investigações do CloudWatch.

    2. Crie você mesmo um novo perfil e depois atribua os modelos de política.

    3. Escolha Atribuir um perfil existente caso já tenha um perfil com as permissões que deseja usar.

      Caso escolha esta opção, você deverá garantir que o perfil inclua uma política de confiança que nomeie aiops.amazonaws.com como a entidade principal do serviço. Para obter mais informações sobre o uso de entidades principais de serviço em políticas de confiança, consulte Entidades principais de serviço da AWS.

      Também recomendamos que você inclua uma seção de Condition com o número da conta para evitar uma situação de confused deputy. O exemplo de política de confiança a seguir ilustra tanto a entidade principal do serviço quanto a seção de Condition.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Escolha Criar grupo de investigações. Agora é possível criar uma investigação a partir de um alarme, métrica ou insight de log.

Opcionalmente, você pode configurar configurações adicionais recomendadas para aprimorar sua experiência.

  1. No painel de navegação esquerdo, escolha Operações de IA, Configuração.

  2. Na guia Configuração opcional, escolha os aprimoramentos que deseja adicionar às investigações do CloudWatch.

  3. Em Configurar acesso entre contas, é possível definir essa conta como uma conta de monitoramento que coleta dados de outras contas em sua organização. Para saber mais, consulte Investigações entre contas.

  4. Em Integrações aprimoradas, permita que as investigações do CloudWatch acessem serviços adicionais no sistema para permitir que elas coletem mais dados e sejam mais úteis.

    1. Na seção Tags para detecção de limites de aplicações, insira as chaves de tags personalizadas existentes para aplicações personalizadas no sistema. As tags de recursos ajudam as investigações do CloudWatch a restringir a área de pesquisa quando não conseguem descobrir relações definidas entre os recursos. Por exemplo, para descobrir que um serviço do Amazon ECS depende de um banco de dados do Amazon RDS, as investigações do CloudWatch podem descobrir essa relação usando fontes de dados como o X-Ray e o CloudWatch Application Signals. No entanto, caso esses recursos não tenham sido implementados, as investigações do CloudWatch tentarão identificar possíveis relações. Os limites das tags podem ser usados para restringir os recursos que serão descobertos pelas investigações do CloudWatch nesses casos.

      Não é necessário inserir tags criadas pelo myApplications ou pelo CloudFormation porque as investigações do CloudWatch podem detectá-las automaticamente.

    2. O CloudTrail registra eventos sobre alterações no sistema, incluindo eventos de implantação. Esses eventos muitas vezes podem ser úteis para as investigações do CloudWatch criarem hipóteses sobre as causas raiz dos problemas no sistema. Na seção CloudTrail para detecção de eventos de alteração, é possível conceder às investigações do CloudWatch algum acesso aos eventos registrados pelo AWS CloudTrail habilitando Permitir que o assistente acesse os eventos de alterações do CloudTrail por meio do histórico de eventos do CloudTrail. Para ter mais informações, consulte Working with CloudTrail Event history.

    3. As seções X-Ray para mapeamento de topologia e Application Signals para avaliação de integridade destacam outros serviços da AWS que podem ajudar as investigações do CloudWatch a encontrar informações. Caso os tenha implantado e tenha concedido a política do IAM AIOpsAssistantPolicy às investigações do CloudWatch, elas poderão acessar a telemetria do X-Ray e do Application Signals.

      Para saber mais sobre como esses serviços auxiliam as investigações do CloudWatch, consulte X-Ray e CloudWatch Application Signals.

    4. Se você usar o Amazon EKS, o grupo de investigações do recurso de investigações do CloudWatch poderá utilizar informações diretamente do cluster do Amazon EKS assim que as entradas de acesso forem configuradas. Para saber mais, consulte Integração com o Amazon EKS.

    5. Se você usa o Amazon RDS, habilite o modo Avançado do Database Insights em suas instâncias de banco de dados. O Database Insights monitora a carga do banco de dados e fornece uma análise detalhada da performance que ajuda as investigações do CloudWatch a identificar problemas relacionados ao banco de dados durante as investigações. Quando o Advanced Database Insights está habilitado, as investigações do CloudWatch podem gerar automaticamente relatórios de análise de performance que incluem observações detalhadas, anomalias de métricas, análise de causa raiz e recomendações específicas para a workload do seu banco de dados. Para obter mais informações sobre o Database Insights e como habilitar o modo Avançado, consulte Monitoramento de bancos de dados do Amazon RDS com o CloudWatch Database Insights.

  5. É possível integrar as investigações do CloudWatch a um canal de chat. Essa integração possibilita receber notificações sobre uma investigação por meio do canal de chat. As investigações do CloudWatch são compatíveis com canais de chat nas seguintes aplicações:

    • Slack

    • Microsoft Teams

    Caso deseje integrar com um canal de chat, recomendamos concluir algumas etapas adicionais antes de habilitar esse aprimoramento no grupo de investigações. Para saber mais, consulte Integração com sistemas de chat de terceiros.

    Em seguida, execute as seguintes etapas para integrar com um canal de chat em aplicações de chat:

    • Na seção Integração do cliente Chat, escolha Selecionar tópico do SNS.

    • Selecione o tópico do SNS a ser usado para enviar notificações sobre as investigações.