跨帳戶調查 - Amazon CloudWatch
先決條件針對跨帳戶存取權設定監控帳戶針對跨帳戶存取權設定來源帳戶調查多帳戶問題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶調查

透過跨帳戶 CloudWatch 調查,您可以從集中式監控帳戶調查橫跨多個 AWS 帳戶 的應用程式問題。除監控帳戶之外,此功能還可讓您關聯最多 25 個帳戶的遙測資料、指標和日誌,以全面掌握分散式應用程式的運作狀況,並解決複雜的多帳戶情境問題。

先決條件

  • 多帳戶調查要求您必須先設定跨帳戶可觀測性,才能檢視跨帳戶遙測。若要完成先決條件,請設定跨帳戶可觀測性跨帳戶儀表板

  • 設定調查群組。為實現跨帳戶可觀測性,這應該在監控帳戶中完成。也可以在來源帳戶中設定,並在這裡執行單一帳戶調查。

針對跨帳戶存取權設定監控帳戶

針對跨帳戶存取權設定監控帳戶

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在左側導覽窗格中,選擇 AI 操作組態

  3. 設定跨帳戶存取權下,選取設定

  4. 列出來源帳戶區段,新增最多 25 個帳戶的帳戶 ID。

  5. 更新 IAM 角色。

    1. 自動

      • 如果您選擇自動更新助手角色 (建議),會建立名為 AIOpsAssistantCrossAccountPolicy-${guid} 的客戶管理政策,其中包含在指定來源帳戶中擔任助手角色所需的 sts:AssumeRole 陳述式。選擇自動更新選項時,來源帳戶中的 IAM 角色名稱預設為 AIOps-CrossAccountInvestigationRole

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • 如果監控帳戶擁有者從跨帳戶組態中移除來源帳戶,IAM 政策不會自動更新。您必須手動更新 IAM 角色和政策,確保其始終具有可能的最低許可。

      • 如果移除來源帳戶時未手動更新許可,可能會達到每個角色所能管理的政策數量上限。您必須刪除連結到調查角色的任何未使用管理政策。

    2. 手動

      • 下列範例顯示助手角色所需的信任政策:

        JSON
        
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        您可以使用 AWS CLI 建立自訂來源帳戶角色,然後使用下列命令將 AIOpsAssistantPolicy 連接至角色,將預留位置值取代為您的環境的適當值:

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17",		 	 	  
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • 若要授與跨帳戶存取權,監控帳戶中助手角色的許可政策必須包含下列項目。如果要手動設定監控帳戶,角色名稱可以是您選擇的任意名稱。它不會預設為 AIOps-CrossAccountInvestigationRole,請務必為每個來源帳戶指定助手角色的名稱。

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • 使用 AWS CLI 使用以下命令,以自訂來源帳戶角色 ARN 更新監控帳戶調查群組,將預留位置值取代為您的環境的適當值:

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        如需此命令的詳細資訊,請參閱 AWS CLI 命令參考

針對跨帳戶存取權設定來源帳戶

  1. 如果您選取自動更新助手角色選項來設定監控帳戶,請使用名稱 AIOps-CrossAccountInvestigationRole 佈建 IAM 角色。如果使用手動設定選項,使用自訂的來源帳戶角色名稱佈建 IAM 角色。

    1. 將 AWS 受管政策AIOpsAssistantPolicy連接至 IAM 主控台中的 角色。

    2. 來源帳戶上角色的信任政策看起來如下所示。ExternalID 必須在政策上指定。使用監控帳戶調查群組 ARN。

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. 這必須在每個來源帳戶中完成。

  3. 如果您透過主控台設定監控帳戶角色,來源帳戶的角色名稱將預設為 AIOps-CrossAccountInvestionRole

  4. 登入監控帳戶、導覽至調查群組,然後依序選擇組態跨帳戶設定,以確認存取權。

    請確定來源帳戶顯示在跨帳戶組態中,且狀態為已連結至監控帳戶

調查多帳戶問題

設定 CloudWatch 跨帳戶可觀測性儀表板後,可以從監控帳戶中的跨帳戶遙測檢視和展開調查。必須從來源帳戶新增跨帳戶遙測,才能對該來源帳戶執行調查。

如需如何建立調查的詳細資訊,請參閱調查您環境中的操作問題