跨帳戶調查 - Amazon CloudWatch
先決條件設定您的監控帳戶以進行跨帳戶存取設定您的來源帳戶 (跨帳戶存取)調查多帳戶問題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶調查

跨帳戶 CloudWatch 調查可讓您調查 AWS 帳戶 從集中監控帳戶跨越多個的應用程式問題。除了監控帳戶之外,此功能還可讓您關聯最多 25 個帳戶的遙測資料、指標和日誌,以全面了解分散式應用程式並疑難排解複雜的多帳戶案例。

先決條件

  • 多帳戶調查需要您已設定跨帳戶可觀測性,才能檢視跨帳戶電話。若要完成先決條件,請設定跨帳戶可觀測性跨帳戶儀表板

  • 設定調查群組。為了實現跨帳戶可觀測性,這應該在監控帳戶中。您也可以在來源帳戶中設定它們,並在該處執行單一帳戶調查。

設定您的監控帳戶以進行跨帳戶存取

設定您的監控帳戶以進行跨帳戶存取

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在左側導覽窗格中,選擇 AI 操作組態

  3. 設定跨帳戶存取下,選取設定

  4. 列出來源帳戶區段下,新增最多 25 個帳戶的帳戶 ID。

  5. 更新您的 IAM 角色。

    1. 自動

      • 如果您選擇自動更新助理角色 (建議),這會建立名為 的客戶受管政策AIOpsAssistantCrossAccountPolicy-${guid},其中包含 sts:AssumeRole陳述式,以擔任提供的來源帳戶角色。選擇自動更新選項會將來源帳戶中AIOps-CrossAccountInvestigationRole的 IAM 角色名稱預設為 。

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
            ]
    }
}

      • 如果監控帳戶擁有者從跨帳戶組態中移除來源帳戶,IAM 政策將不會自動更新。您必須手動更新 IAM 角色和政策,以確保它始終具有可能的最低許可。

      • 如果移除來源帳戶時未手動更新許可,您可以達到每個角色的受管政策限制。您必須刪除連接到調查角色的任何未使用的受管政策。

    2. 手動

      • 以下是助理角色的信任政策應該是什麼樣子的範例。如需詳細資訊,請參閱開始使用

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                }
            }
        }
    ]
}

        若要授予跨帳戶存取權,監控帳戶中調查角色的許可政策必須包含下列項目。如果您要手動設定監控帳戶,角色名稱可以是您選擇的名稱。它不會預設為 AIOps-CrossAccountInvestigationRole

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/source_role_name_1"
            "arn:aws:iam::555555555555:role/source_role_name_2"
            "arn:aws:iam::666666666666:role/source_role_name_3"
            ]
    }
}

設定您的來源帳戶 (跨帳戶存取)

  1. AIOps-CrossAccountInvestigationRole 如果您選取自動更新助理角色選項來設定監控帳戶,請使用 名稱佈建 IAM 角色。如果您使用手動設定選項,請使用自訂來源帳戶角色名稱佈建 IAM 角色。

    1. 將 AWS 受管政策AIOpsAssistantPolicy連接至 IAM 主控台中的 角色。

    2. 來源帳戶上角色的信任政策看起來像這樣。 ExternalID 必須在政策上指定。使用監控帳戶調查群組 arn。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
            }
        }
    }
]

  2. 這必須在每個來源帳戶中完成。

  3. 如果您透過 主控台設定監控帳戶角色,來源帳戶的角色名稱會預設為 AIOps-CrossAccountInvestionRole

  4. 登入監控帳戶、導覽至調查群組,然後選擇組態,然後選擇跨帳戶設定,以確認存取權。

    請確定來源帳戶顯示在跨帳戶組態中,且狀態已連結至監控帳戶

調查多帳戶問題

設定 OAM 或跨帳戶儀表板後,您可以從監控帳戶中的跨帳戶遙測檢視和調查。您必須從來源帳戶新增跨帳戶遙測,才能對該來源帳戶執行調查。

如需如何建立調查的詳細資訊,請參閱 調查您環境中的操作問題