Requisitos previos Configurar su cuenta de supervisión para el acceso entre cuentas Configurar su cuenta de origen para el acceso entre cuentas Investigar problemas entre varias cuentas

Investigaciones entre cuentas

Las investigaciones entre cuentas de CloudWatch le permiten investigar problemas de aplicaciones que abarcan varias Cuentas de AWS desde una cuenta de supervisión centralizada. Esta característica le permite correlacionar datos de telemetría, métricas y registros de hasta 25 cuentas, además de la cuenta de supervisión, para obtener una visibilidad completa de las aplicaciones distribuidas y solucionar problemas complejos en escenarios con varias cuentas.

Temas

Requisitos previos
Configurar su cuenta de supervisión para el acceso entre cuentas
Configurar su cuenta de origen para el acceso entre cuentas
Investigar problemas entre varias cuentas

Requisitos previos

La investigación entre varias cuentas requiere que ya tenga configurada la observabilidad entre cuentas para poder ver las telemetrías entre cuentas. Para completar el requisito previo, configure la observabilidad entre cuentas o el panel de control entre cuentas.
Configure un grupo de investigación. Para la observabilidad entre cuentas, debe estar en la cuenta de supervisión. También puede configurarlo en las cuentas de origen y realizar allí investigaciones de una sola cuenta.

Configurar su cuenta de supervisión para el acceso entre cuentas

Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación izquierdo, elija Operaciones de IA, Configuración.
En Configurar el acceso entre cuentas, seleccione Configurar.
Agregue el ID de cuenta de hasta 25 cuentas en la sección Enumerar las cuentas de origen.

Actualice su rol de IAM.

Automáticamente
- Si elige Actualizar automáticamente el rol de asistente (recomendado), se crea una política administrada por el cliente llamada AIOpsAssistantCrossAccountPolicy-${guid} que incluye las instrucciones de sts:AssumeRole para asumir los roles de la cuenta de origen especificados. Al elegir la opción de actualización automática, el nombre del rol de IAM se establece de manera predeterminada como AIOps-CrossAccountInvestigationRole en las cuentas de origen.
  JSON
  
  { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole", "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole" ] } }
- Si el propietario de la cuenta de supervisión elimina una cuenta de origen de la configuración entre cuentas, la política de IAM no se actualizará automáticamente. Debe actualizar manualmente la política y el rol de IAM para garantizar que siempre tengan los permisos mínimos posibles.
- Puede alcanzar el límite de políticas administradas por rol si los permisos no se actualizan manualmente cuando se elimina una cuenta de origen. Debe eliminar todas las políticas administradas no utilizadas asociadas a su rol de investigación.

Manualmente

En el siguiente ejemplo se muestra la política de confianza necesaria para el rol de asistente:

Puede utilizar la AWS CLI para crear el rol de cuenta de origen personalizado y, a continuación, asociar AIOpsAssistantPolicy al rol mediante los siguientes comandos. Para ello, sustituya los valores de los marcadores de posición por los valores adecuados para su entorno:


aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17", 
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

Para conceder el acceso entre cuentas, la política de permisos del rol de asistente en la cuenta de supervisión debe incluir lo siguiente. Si configura la cuenta de supervisión manualmente, puede elegir el nombre de rol que desee. No se establece AIOps-CrossAccountInvestigationRole como predeterminado, asegúrese de especificar el nombre del rol de asistente para cada una de las cuentas de origen.
JSON
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::777777777777:role/custom_source_account_role_name", "arn:aws:iam::555555555555:role/custom_source_account_role_name", "arn:aws:iam::666666666666:role/custom_source_account_role_name" ] } }
Utilice la AWS CLI para actualizar el grupo de investigación de la cuenta de supervisión con el ARN del rol de la cuenta de origen personalizado mediante el siguiente comando. Para ello, sustituya los valores de los marcadores de posición por los valores adecuados para su entorno:
```
aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2
```
Para obtener más información sobre este comando, consulte la Referencia de comandos de la AWS CLI.

Configurar su cuenta de origen para el acceso entre cuentas

Aprovisione un rol de IAM con el nombre AIOps-CrossAccountInvestigationRole si seleccionó la opción Actualizar automáticamente el rol de asistente para configurar la cuenta de supervisión. Si utilizó la opción de configuración manual, aprovisione el rol de IAM con el nombre de rol personalizado de la cuenta de origen.
1. En la consola de IAM, asocie la política administrada AIOpsAssistantPolicy de AWS a su rol de IAM.
2. La política de confianza del rol en la cuenta de origen tiene el siguiente aspecto. ExternalID debe especificarse en la política. Utilice el ARN del grupo de investigación de la cuenta de supervisión.
  JSON
  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/investigation-role-name" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "investigation-group-arn" } } } ] }
Debe hacerlo en cada una de las cuentas de origen.
Si configura el rol de la cuenta de supervisión a través de la consola, el nombre del rol de la cuenta de origen será AIOps-CrossAccountInvestionRole de forma predeterminada.
Confirme el acceso; para ello, inicie sesión en la cuenta de supervisión, vaya a Grupo de investigación, luego a Configuración y, por último, seleccione Configuración entre cuentas.

Asegúrese de que la cuenta de origen aparezca en la configuración entre cuentas y que el estado sea Vinculada a la cuenta de supervisión.

Investigar problemas entre varias cuentas

Después de configurar el panel de observabilidad entre cuentas de CloudWatch, puede ver e investigar desde una telemetría entre cuentas en su cuenta de supervisión. Debe agregar una telemetría entre cuentas desde la cuenta de origen para poder realizar una investigación en esa cuenta de origen.

Para obtener información detallada sobre cómo crear una investigación, consulte Investigación de los problemas operativos de su entorno.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de investigaciones actuales

Seguridad en las investigaciones de CloudWatch