Investigações entre contas
As investigações do CloudWatch entre contas permitem investigar problemas de aplicações que abrangem várias Contas da AWS a partir de uma conta de monitoramento centralizada. Esse recurso permite correlacionar dados de telemetria, métricas e logs em até 25 contas, além da conta de monitoramento, para obter visibilidade abrangente de aplicações distribuídas e solucionar cenários complexos de várias contas.
Tópicos
Pré-requisitos
-
A investigação em várias contas exige que você já tenha configurado a observabilidade entre contas para visualizar as telemetrias entre contas. Para concluir os pré-requisitos, configure a observabilidade entre contas ou o painel entre contas.
-
Configure um grupo de investigação. Para observabilidade entre contas, ele deverá estar na conta de monitoramento. Também é possível configurá-los nas contas de origem e executar investigações de conta única nelas.
Configurar sua conta de monitoramento para acesso entre contas
Configurar sua conta de monitoramento para acesso entre contas
Abra o console do CloudWatch, em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação esquerdo, escolha Operações de IA, Configuração.
-
Em Configurar acesso entre contas, selecione Configurar.
-
Adicione o ID da conta para até 25 contas na seção Listar contas de origem.
-
Atualize o perfil do IAM.
-
Automaticamente
-
Se você escolher Atualizar automaticamente o perfil do assistente (recomendado), isso criará uma política gerenciada pelo cliente chamada
AIOpsAssistantCrossAccountPolicy-${guid}com as declaraçõessts:AssumeRolepara assumir os perfis da conta de origem fornecida. Escolher a opção de atualização automática define como padrão o nome do perfil do IAM comoAIOps-CrossAccountInvestigationRolenas contas de origem.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole" "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } } -
Se o proprietário da conta de monitoramento remover uma conta de origem da configuração entre contas, a política do IAM não será atualizada automaticamente. É necessário atualizar manualmente o perfil e a política do IAM para garantir que ambos sempre tenham o mínimo de permissões possível.
-
O limite de políticas gerenciadas por perfil poderá ser atingido se as permissões não forem atualizadas manualmente quando uma conta de origem for removida. Você deve excluir todas as políticas gerenciadas não utilizadas anexadas ao seu perfil de investigação.
-
-
Manualmente
-
Abaixo está um exemplo de como deve ser a política de confiança do perfil de assistente. Para obter mais informações, consulte Conceitos básicos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*" } } } ] }Para conceder acesso entre contas, a política de permissão do perfil de investigação na conta de monitoramento deve conter o seguinte. Se você estiver configurando a conta de monitoramento manualmente, o nome do perfil poderá ser o que você escolher. Ele não tem
AIOps-CrossAccountInvestigationRolecomo padrão{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/source_role_name_1" "arn:aws:iam::555555555555:role/source_role_name_2" "arn:aws:iam::666666666666:role/source_role_name_3" ] } }
-
-
Configurar suas contas de monitoramento para acesso entre contas
-
Provisione um perfil do IAM com o nome
AIOps-CrossAccountInvestigationRolese você selecionou a opção Atualizar automaticamente o perfil de assistente para configurar a conta de monitoramento. Se você usou a opção de configuração manual, provisione o perfil do IAM com o nome personalizado do perfil da conta de origem.-
Anexe a política gerenciada pela AWS
AIOpsAssistantPolicyao perfil no console do IAM. -
A política de confiança do perfil na conta de origem é semelhante a isto. É necessário especificar
ExternalIDna política. Use o ARN do grupo de investigação da conta de monitoramento.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ]
-
-
Isso deve ser feito em cada uma das contas de origem.
-
Se você configurar o perfil da conta de monitoramento via console, o nome do perfil da conta de origem será padronizado como
AIOps-CrossAccountInvestionRole. -
Confirme o acesso fazendo login na conta de monitoramento, navegando até Grupo de investigação e, em seguida, até Configuração. Escolha Configuração entre contas.
Certifique-se de que a conta de origem apareça na configuração entre contas e que o status seja Vinculado à conta de monitoramento.
Investigar problemas de várias contas
Depois de configurar o OAM ou o painel entre contas, você poderá visualizar e investigar a partir de uma telemetria entre contas em sua conta de monitoramento. Você deve adicionar uma telemetria entre contas da conta de origem para realizar uma investigação sobre essa conta de origem.
Para obter informações detalhadas sobre como criar uma investigação, consulte Investigar problemas operacionais no ambiente.
