Investigações entre contas - Amazon CloudWatch
Pré-requisitosConfigurar sua conta de monitoramento para acesso entre contasConfigurar suas contas de monitoramento para acesso entre contasInvestigar problemas de várias contas

Investigações entre contas

As investigações do CloudWatch entre contas permitem investigar problemas de aplicações que abrangem várias Contas da AWS a partir de uma conta de monitoramento centralizada. Esse recurso permite correlacionar dados de telemetria, métricas e logs em até 25 contas, além da conta de monitoramento, para obter visibilidade abrangente de aplicações distribuídas e solucionar cenários complexos de várias contas.

Pré-requisitos

  • A investigação em várias contas exige que você já tenha configurado a observabilidade entre contas para visualizar as telemetrias entre contas. Para concluir os pré-requisitos, configure a observabilidade entre contas ou o painel entre contas.

  • Configure um grupo de investigação. Para observabilidade entre contas, ele deverá estar na conta de monitoramento. Também é possível configurá-los nas contas de origem e executar investigações de conta única nelas.

Configurar sua conta de monitoramento para acesso entre contas

Configurar sua conta de monitoramento para acesso entre contas

  1. Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação esquerdo, escolha Operações de IA, Configuração.

  3. Em Configurar acesso entre contas, selecione Configurar.

  4. Adicione o ID da conta para até 25 contas na seção Listar contas de origem.

  5. Atualize o perfil do IAM.

    1. Automaticamente

      • Se você escolher Atualizar automaticamente o perfil do assistente (recomendado), isso criará uma política gerenciada pelo cliente chamada AIOpsAssistantCrossAccountPolicy-${guid} que inclui as instruções sts:AssumeRole necessárias para assumir o perfil de assistente nas contas de origem específicas. Escolher a opção de atualização automática define como padrão o nome do perfil do IAM como AIOps-CrossAccountInvestigationRole nas contas de origem.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Se o proprietário da conta de monitoramento remover uma conta de origem da configuração entre contas, a política do IAM não será atualizada automaticamente. É necessário atualizar manualmente o perfil e a política do IAM para garantir que ambos sempre tenham o mínimo de permissões possível.

      • Você poderá atingir o limite de políticas gerenciadas por perfil se as permissões não forem atualizadas manualmente quando uma conta de origem for removida. Você deve excluir todas as políticas gerenciadas não utilizadas anexadas ao seu perfil de investigação.

    2. Manualmente

      • O exemplo a seguir mostra a política de confiança necessária para o perfil de assistente:

        JSON
        
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        Você pode usar a AWS CLI para criar o perfil personalizado da conta de origem e, em seguida, anexar a política AIOpsAssistantPolicy ao perfil usando os seguintes comandos, substituindo os valores do espaço reservado pelos valores apropriados do seu ambiente: 

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17", 
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • Para conceder acesso entre contas, a política de permissão do perfil de assistente na conta de monitoramento deve conter o seguinte: Se você estiver configurando a conta de monitoramento manualmente, o nome do perfil poderá ser o que você escolher. O padrão não é AIOps-CrossAccountInvestigationRole, certifique-se de especificar o nome do perfil do assistente para cada uma das contas de origem.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • Use a AWS CLI para atualizar o grupo de investigação da conta de monitoramento com o ARN do perfil da conta de origem personalizada usando o comando abaixo, substituindo os valores do espaço reservado pelos valores apropriados do seu ambiente: 

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        Para obter mais detalhes sobre esse comando, consulte a seção de referência de comandos da AWS CLI.

Configurar suas contas de monitoramento para acesso entre contas

  1. Provisione um perfil do IAM com o nome AIOps-CrossAccountInvestigationRole se você selecionou a opção Atualizar automaticamente o perfil de assistente para configurar a conta de monitoramento. Se você usou a opção de configuração manual, provisione o perfil do IAM com o nome personalizado do perfil da conta de origem.

    1. Anexe a política gerenciada pela AWS AIOpsAssistantPolicy ao perfil no console do IAM.

    2. A política de confiança do perfil na conta de origem é semelhante a isto. É necessário especificar ExternalID na política. Use o ARN do grupo de investigação da conta de monitoramento.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Isso deve ser feito em cada uma das contas de origem.

  3. Se você configurar o perfil da conta de monitoramento via console, o nome do perfil da conta de origem será padronizado como AIOps-CrossAccountInvestionRole.

  4. Confirme o acesso fazendo login na conta de monitoramento, navegando até Grupo de investigação e, em seguida, até Configuração. Escolha Configuração entre contas.

    Certifique-se de que a conta de origem apareça na configuração entre contas e que o status seja Vinculado à conta de monitoramento.

Investigar problemas de várias contas

Depois de configurar o painel de observabilidade entre contas do Cloudwatch, você poderá visualizar e investigar de uma telemetria entre contas em sua conta de monitoramento. Você deve adicionar uma telemetria entre contas da conta de origem para realizar uma investigação sobre essa conta de origem.

Para obter informações detalhadas sobre como criar uma investigação, consulte Investigar problemas operacionais no ambiente.