跨帳戶調查 - Amazon CloudWatch
先決條件設定您的監控帳戶以進行跨帳戶存取設定您的來源帳戶 (跨帳戶存取)調查多帳戶問題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨帳戶調查

跨帳戶 CloudWatch 調查可讓您調查 AWS 帳戶 從集中式監控帳戶跨越多個的應用程式問題。除了監控帳戶之外,此功能還可讓您關聯最多 25 個帳戶的遙測資料、指標和日誌,以全面了解分散式應用程式並疑難排解複雜的多帳戶案例。

先決條件

  • 多帳戶調查需要您已設定跨帳戶可觀測性,才能檢視跨帳戶電話。若要完成先決條件,請設定跨帳戶可觀測性跨帳戶儀表板

  • 設定調查群組。為了實現跨帳戶可觀測性,這應該在監控帳戶中。您也可以在來源帳戶中設定它們,並在那裡執行單一帳戶調查。

設定您的監控帳戶以進行跨帳戶存取

設定您的監控帳戶以進行跨帳戶存取

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在左側導覽窗格中,選擇 AI 操作組態

  3. 設定跨帳戶存取下,選取設定

  4. 列出來源帳戶區段下,新增最多 25 個帳戶的帳戶 ID。

  5. 更新您的 IAM 角色。

    1. 自動

      • 如果您選擇自動更新助理角色 (建議),這會建立名為 的客戶受管政策AIOpsAssistantCrossAccountPolicy-${guid},其中包含在指定來源帳戶中擔任助理角色所需的sts:AssumeRole陳述式。選擇自動更新選項會將來源帳戶中AIOps-CrossAccountInvestigationRole的 IAM 角色名稱預設為 。

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • 如果監控帳戶擁有者從跨帳戶組態中移除來源帳戶,IAM 政策將不會自動更新。您必須手動更新 IAM 角色和政策,以確保它始終具有可能的最低許可。

      • 如果移除來源帳戶時未手動更新許可,您可能會達到每個角色的受管政策限制。您必須刪除連接到調查角色的任何未使用的受管政策。

    2. 手動

      • 下列範例顯示助理角色所需的信任政策:

        JSON
        
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        您可以使用 AWS CLI 建立自訂來源帳戶角色,然後使用下列命令將 AIOpsAssistantPolicy 連接至角色,將預留位置值取代為您的環境的適當值:

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17", 
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • 若要授予跨帳戶存取權,監控帳戶中助理角色的許可政策必須包含下列項目。如果您要手動設定監控帳戶,角色名稱可以是您選擇的名稱。它不會預設為 AIOps-CrossAccountInvestigationRole,請務必為每個來源帳戶指定助理角色的名稱。

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • 使用 AWS CLI 使用以下命令,使用自訂來源帳戶角色 ARN 更新監控帳戶調查群組,將預留位置值取代為您的環境的適當值:

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        如需此命令的詳細資訊,請參閱 AWS CLI 命令參考

設定您的來源帳戶 (跨帳戶存取)

  1. AIOps-CrossAccountInvestigationRole 如果您選取自動更新助理角色選項來設定監控帳戶,請使用 名稱佈建 IAM 角色。如果您使用手動設定選項,請使用自訂來源帳戶角色名稱佈建 IAM 角色。

    1. 將 AWS 受管政策AIOpsAssistantPolicy連接至 IAM 主控台中的 角色。

    2. 來源帳戶上角色的信任政策看起來像這樣。 ExternalID 必須在政策上指定。使用監控帳戶調查群組 ARN。

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. 這必須在每個來源帳戶中完成。

  3. 如果您透過 主控台設定監控帳戶角色,來源帳戶的角色名稱會預設為 AIOps-CrossAccountInvestionRole

  4. 登入監控帳戶、導覽至調查群組,然後選擇組態,然後選擇跨帳戶設定,以確認存取權。

    請確定來源帳戶顯示在跨帳戶組態中,且狀態已連結至監控帳戶

調查多帳戶問題

設定 CloudWatch 跨帳戶可觀測性儀表板後,您可以從監控帳戶中的跨帳戶遙測進行檢視和調查。您必須從來源帳戶新增跨帳戶遙測,才能對該來源帳戶執行調查。

如需如何建立調查的詳細資訊,請參閱 調查您環境中的操作問題