# 设立调查组 要在账户中设立 CloudWatch 调查功能以用于增强型调查,需要创建一个*调查组*。创建调查组是一次性设置任务,该组创建后可用于执行其他调查。调查组中的设置可帮助您集中管理调查的常见属性,例如: + 谁可以访问调查 + 是否支持跨账户调查,以便在调查期间访问其他账户中的资源 + 调查数据是否使用客户管理型 AWS Key Management Service 密钥加密。 + 默认情况下,调查及其数据会保留多长时间。 每个账户可以有一个调查组。您账户中的每项调查都将成为该调查组的一部分。 要创建调查组,您必须登录附加了 **AIOpsConsoleAdminPolicy** 或 **AdministratorAccess** IAM 策略的 IAM 主体,或者登录具有类似权限的账户。 **注意** 要选择推荐的选项,为 CloudWatch 调查创建新 IAM 角色,您必须登录具有 `iam:CreateRole`、`iam:AttachRolePolicy` 和 `iam:PutRolePolicy` 权限的 IAM 主体。 **重要** CloudWatch 调查使用*跨区域推理*来跨不同 AWS 区域分配流量。有关更多信息,请参阅 [跨区域推理](Investigations-Security.md#cross-region-inference)。 **在账户中创建调查组** 1. 通过 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 打开 CloudWatch 控制台。 1. 在左侧导航窗格中,选择 **AI 操作**、**配置**。 1. 选择**为此账户配置**。 1. 可以选择更改调查的保留期。有关保留期治理的更多信息,请参阅 [CloudWatch 调查数据留存](Investigations-Retention.md)。 1. (可选)要使用客户管理型 AWS KMS 密钥加密您的调查数据,请选择**自定义加密设置**,然后按照步骤创建或指定要使用的密钥。如果未指定客户托管密钥,CloudWatch 调查将使用 AWS 拥有的密钥进行加密。有关更多信息,请参阅 [调查数据加密](Investigations-Security.md#Investigations-KMS)。 1. 选择授予 CloudWatch 调查功能资源访问权限的方式。要选择前两个选项之一,您必须登录具有 `iam:CreateRole`、`iam:AttachRolePolicy` 和 `iam:PutRolePolicy` 权限的 IAM 主体。 1. (推荐)选择**自动创建具有默认调查权限的新角色**。将通过适用于 AI Operations 的 AWS 托管策略,向该角色授予权限。有关更多信息,请参阅[CloudWatch 调查组的用户权限](Investigations-Security.md#Investigations-Security-IAM)。 1. 自行创建新角色,然后分配策略模板。 1. 如果您已经拥有包含要使用的权限的角色,请选择**分配现有角色**。 如果选择此选项,则必须确保该角色包含将 `aiops.amazonaws.com` 命名为服务主体的信任策略。有关在信任策略中使用服务主体的更多信息,请参阅 [AWS 服务主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)。 我们还建议您添加一个带有账号的 `Condition` 部分,以防止出现混淆代理的情况。以下示例信任策略同时演示了服务主体和 `Condition` 部分。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "aiops.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*" } } } ] } ``` ------ 1. 选择**创建调查组**后,您现在可从警报、指标或日志见解中新建调查。 或者,您可设置其他推荐的配置来优化使用体验。 1. 在左侧导航窗格中,选择 **AI 操作、配置**。 1. 在**可选配置**选项卡上,选择要添加到 CloudWatch 调查功能的增强功能。 1. 在**配置跨账户访问**中,您可以将此账户设置为监控账户,用于从组织中的其他源账户收集数据。有关更多信息,请参阅 [跨账户调查](Investigations-cross-account.md)。 1. 对于**增强版集成**,请选择允许 CloudWatch 调查访问您系统中的其他服务,使其能够收集更多数据并提高其实用性。 1. 在**用于应用程序边界检测的标签**部分,输入系统中自定义应用程序的现有自定义标签密钥。当 CloudWatch 调查无法发现资源之间的明确关系时,资源标签可以帮助 Amazon Q 开发者版缩小搜索空间。例如,要发现 Amazon ECS 服务依赖于 Amazon RDS 数据库,CloudWatch 调查可以使用 X-Ray 和 CloudWatch Application Signals 等数据来源发现这种关系。但是,如果您尚未部署这些功能,CloudWatch 调查将尝试确定可能的关系。在这些情况下,可以使用标签边界来缩小 CloudWatch 调查将发现的资源。 您无需输入 myApplications 或 CloudFormation 创建的标签,因为 CloudWatch 调查可以自动检测这些标签。 1. CloudTrail 会记录有关系统变更的事件,包括部署事件。对于 CloudWatch 调查来说,这些事件通常有助于创建关于系统问题根本原因的假设。在**用于更改事件检测的 CloudTrail**部分,您可以通过启用**允许助手通过 CloudTrail 事件历史记录访问 CloudTrail 更改事件**,让 CloudWatch 调查可以访问 AWS CloudTrail 所记录的事件。有关更多信息,请参阅 [Working with CloudTrail Event history](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 1. **用于拓扑映射的 X-Ray** 和**用于运行状况评测的 Application Signals** 部分指出了可以帮助 CloudWatch 调查查找信息的其他 AWS 服务。如果您已部署这些服务并且已将 **AIOpsAssistantPolicy** IAM 策略授予了 CloudWatch 调查,则 CloudWatch 调查将能够访问 X-Ray 和 Application Signals 遥测。 有关这些服务如何支持 CloudWatch 调查功能的更多信息,请参阅 [X-Ray](Investigations-RecommendedServices.md#Investigations-Xray) 和 [CloudWatch Application Signals](Investigations-RecommendedServices.md#Investigations-ApplicationSignals)。 1. 如果您使用 Amazon EKS,则在设置访问条目后,CloudWatch 调查功能调查组就可以直接使用来自 Amazon EKS 集群的信息。有关更多信息,请参阅 [与 Amazon EKS 集成](EKS-Integration.md)。 1. 如果使用 Amazon RDS,请在数据库实例上启用数据库洞察的高级模式。数据库洞察会对数据库负载进行监控并提供详细的性能分析,帮助 CloudWatch 调查功能在调查期间识别与数据库相关的问题。启用高级数据库洞察后,CloudWatch 调查功能可以自动生成性能分析报告,其中包含详细的观察结果、指标异常、根本原因分析以及针对数据库工作负载的建议。有关更多信息,请参阅 [Monitoring Amazon RDS databases with CloudWatch Database Insights](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DatabaseInsights.html)。 1. 您可以将 CloudWatch 调查功能与*聊天频道*集成。这样就可以通过聊天频道接收有关调查的通知。CloudWatch 调查功能为下列应用程序内的聊天频道提供支持: + Slack + Microsoft Teams 若想与聊天频道集成,建议您先完成一些其他步骤,再在调查组中启用此增强功能。有关更多信息,请参阅 [与第三方聊天系统集成](Investigations-Integrations.md#Investigations-Integrations-Chat)。 然后,要执行此处的步骤以与聊天应用程序中 CloudWatch 调查中的聊天频道集成,请执行以下操作: + 在**聊天客户端集成**部分,选择**选择 SNS 主题**。 + 选择用于发送有关您的调查的通知的 SNS 主题。