Centralice la supervisión mediante Amazon CloudWatch Observability Access Manager

Creada por Anand Krishna Varanasi (AWS), Jimmy Morgan (), Ashish Kumar (AWS), Balaji Vedagiri (), (AWS), Sarat Chandra Pothula (AWS) y Vivek JAGDISH KOMAKULA Thangamuthu (AWS) AWS AWS

cloudwatch-obervability-access-managerRepositorio de código: -terraform	Entorno: producción	Tecnologías: infraestructura; gestión y gobierno; estrategia multicuenta
AWSservicios: Amazon CloudWatch; Amazon CloudWatch Logs

Resumen

La observabilidad es fundamental para la supervisión, la comprensión y la solución de problemas de las aplicaciones. Las aplicaciones que abarcan varias cuentas, como las AWS Control Tower implementaciones de landing zone, generan una gran cantidad de registros y datos de rastreo. Para solucionar problemas rápidamente o comprender los análisis de usuarios o empresariales, necesita una plataforma de observabilidad común en todas las cuentas. El Amazon CloudWatch Observability Access Manager le permite acceder a varios registros de cuentas y controlarlos desde una ubicación central.

Puede usar Observability Access Manager para ver y administrar los registros de datos de observabilidad generados por las cuentas de origen. Las cuentas de origen son individuales y Cuentas de AWS generan datos de observabilidad para sus recursos. Las cuentas de origen comparten sus datos de observabilidad con la cuenta de monitoreo. Los datos de observabilidad compartidos pueden incluir métricas en Amazon CloudWatch, registros en Amazon CloudWatch Logs y rastreos. AWS X-Ray Para más información, consulte la documentación de Observability Access Manager.

Este patrón es para los usuarios que tienen aplicaciones o infraestructuras que se ejecutan en varias direcciones Cuentas de AWS y necesitan un lugar común para ver los registros. En él se explica cómo puede configurar Observability Access Manager mediante Terraform para supervisar el estado y el estado de estas aplicaciones o infraestructuras. Puede instalar esta solución de varias maneras:

• Como un módulo de Terraform independiente que se configura manualmente

• Mediante una canalización de integración y entrega continuas (CI/CD)

• Al integrarse con otras soluciones, como AWS Control Tower Account Factory for Terraform () AFT

Las instrucciones de la sección Epics tratan sobre la implementación manual. Para ver los pasos de AFT instalación, consulte el README archivo del repositorio de GitHub Observability Access Manager.

Requisitos previos y limitaciones

Requisitos previos 

• Terraform está instalado o referenciado en su sistema o en canalizaciones automatizadas. (Le recomendamos que utilice la última versión.)

• Una cuenta que puede usar como cuenta de monitoreo central. Otras cuentas crean enlaces a la cuenta de monitoreo central para ver los registros.

• (Opcional) Un repositorio de código fuente como GitHub Atlassian Bitbucket o un sistema similar. AWS CodeCommit No es necesario disponer de un repositorio de código fuente si utilizas canalizaciones de CI/CD automatizadas.

• (Opcional) Permisos para crear solicitudes de extracción (PRs) para revisar el código y colaborar en él. GitHub

Limitaciones

Observability Access Manager tiene las siguientes Service quotas, que no se pueden cambiar. Tenga en cuenta estas cuotas antes de implementar esta característica. Para obtener más información, consulta las cuotas de CloudWatch servicio en la CloudWatch documentación.

• Vínculos de cuentas de origen: puede vincular cada cuenta de origen a un máximo de cinco cuentas de supervisión.

• Depósitos: puedes crear varios depósitos para una cuenta, pero solo Región de AWS se permite un depósito por cuenta.

Además:

• Los sumideros y los enlaces deben crearse de la misma manera Región de AWS; no pueden ser de una región a otra.

Supervisión entre regiones y cuentas

Para la supervisión entre regiones y cuentas, puedes elegir una de las siguientes opciones:

• Cree CloudWatch paneles de control entre cuentas y regiones para alarmas y métricas. Esta opción no admite registros ni rastreos.

• Implemente el registro centralizado mediante Amazon OpenSearch Service.

• Cree un colector por región a partir de todas las cuentas de los inquilinos, transfiera las métricas a una cuenta de supervisión centralizada (como se describe en este patrón) y, a continuación, utilice los flujos de CloudWatch métricas para enviar los datos a un destino externo común o a productos de supervisión de terceros, como Datadog, Dynatrace, Sumo Logic, Splunk o New Relic.

Arquitectura

Componentes

CloudWatch Observability Access Manager consta de dos componentes principales que permiten la observabilidad entre cuentas:

• Un receptor permite a las cuentas de origen enviar datos de observabilidad a la cuenta de monitoreo central. Básicamente, un receptor proporciona una puerta de enlace a la que se pueden conectar las cuentas de origen. Solo puede haber una puerta de enlace o conexión receptora y varias cuentas pueden conectarse a ella.

• Cada cuenta de origen tiene un enlace al cruce de la puerta de enlace receptora y los datos de observabilidad se envían a través de este enlace. Debe crear un receptor antes de crear enlaces desde cada cuenta de origen.

Arquitectura

El siguiente diagrama ilustra Observability Access Manager y sus componentes.

Herramientas

Servicios de AWS

• Amazon le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.

• AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada.

• AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.

Herramientas

• Terraform es una herramienta de infraestructura como código (iAC) HashiCorp que le ayuda a crear y administrar recursos locales y en la nube.

• AWS Control Tower Account Factory for Terraform (AFT) configura una canalización de Terraform para ayudarte a aprovisionar y personalizar las cuentas. AWS Control Tower Si lo desea, puede AFT configurarlo para configurar Observability Access Manager de forma escalable en varias cuentas.

Repositorio de código

El código de este patrón está disponible en el repositorio de GitHub Observability Access Manager.

Prácticas recomendadas

• En AWS Control Tower los entornos, marque la cuenta de registro como la cuenta de supervisión central (receptáculo).

• Si tiene varias organizaciones con varias cuentas AWS Organizations, le recomendamos que incluya las organizaciones en lugar de las cuentas individuales en la política de configuración. Si tiene un número reducido de cuentas o si las cuentas no forman parte de una organización en la política de configuración de destino, puede optar por incluir cuentas individuales en su lugar.

Epics

Configure el módulo de receptor

Tarea	Descripción	Habilidades requeridas
Clonar el repositorio.	Clona el repositorio GitHub de Observability Access Manager: git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform	AWS DevOps, administrador de la nube, AWS administrador
Especifique los valores de las propiedades del módulo receptor.	En el archivo main.tf (en la carpeta deployments/aft-account-customizations/LOGGING/terraform/ del repositorio), especifique los valores de las siguientes propiedades: sink_name: El nombre del CloudWatch sumidero. allowed_oam_resource_types: Observability Access Manager admite actualmente CloudWatch métricas, grupos de registros y AWS X-Ray rastreos. allowed_source_accounts: Las cuentas de origen que pueden enviar registros a la cuenta receptora CloudWatch central. allowed_source_organizations: Las AWS Control Tower organizaciones de origen a las que se les permite enviar registros a la cuenta CloudWatch receptora central. Para obtener más información, consulte AWS: :Oam: :Sink en la documentación. AWS CloudFormation	AWS DevOps, administrador de la nube, administrador AWS
Instale el módulo receptor.	Exporte las credenciales de la cuenta Cuenta de AWS que haya seleccionado como cuenta de monitoreo e instale el módulo receptor de Observability Access Manager: Terraform Init Terrafom Plan Terraform Apply	AWS DevOps, administrador de la nube, AWS administrador

Configure el módulo receptor

Tarea	Descripción	Habilidades requeridas
Especifique los valores de las propiedades del módulo de enlace.	En el archivo main.tf (en la carpeta deployments/aft-account-customizations/LOGGING/terraform/ del repositorio), especifique los valores de las siguientes propiedades: account_label: utilice uno de los siguientes valores: $AccountName: el nombre de la cuenta. $AccountEmail: una dirección de correo electrónico única a nivel mundial, que incluye el dominio del correo electrónico (por ejemplo, hello@example.com) $AccountEmailNoDomain: una dirección de correo electrónico sin el nombre de dominio. allowed_oam_resource_types: Observability Access Manager admite actualmente CloudWatch métricas, grupos de registros y AWS X-Ray rastreos. Para obtener más información, consulte AWS: :Oam: :Link en la documentación. AWS CloudFormation	AWS DevOps, administrador de nube, arquitecto de nube
Instale el módulo de enlace para cuentas individuales.	Exporte las credenciales de las cuentas individuales e instale el módulo de enlace Observability Access Manager: Terraform Plan Terraform Apply Puede configurar el módulo de enlace de forma individual para cada cuenta o utilizarlo AFTpara instalar automáticamente este módulo en un gran número de cuentas.	AWS DevOps, administrador de nube, arquitecto de nube

Apruebe sink-to-link las conexiones

Tarea	Descripción	Habilidades requeridas
Verifique el mensaje del estado.	Inicie sesión en la cuenta de supervisión. Abre la CloudWatch consola. En el panel de navegación izquierdo, elija Configuración. A la derecha, debería ver el mensaje de estado Supervisar la cuenta con una cuenta habilitada con una marca de verificación verde. Esto significa que la cuenta de monitoreo tiene un receptor de Observability Access Manager al que se conectarán los enlaces de otras cuentas.
Apruebe las link-to-sink conexiones.	Elija la opción Recursos para vincular cuentas situada debajo del mensaje de estado. La información confirma que se trata de la cuenta de monitoreo, muestra los datos que se comparten desde las cuentas de origen del inquilino (registros, métricas, rastreos) y muestra la etiqueta de la cuenta como $AccountName. Esta pantalla ofrece dos opciones para vincular las cuentas de los inquilinos a la cuenta de monitoreo: aprobación a nivel de organización o aprobación a nivel de cuenta. Para cada opción, puede elegir entre descargar una AWS CloudFormation plantilla para la aprobación o aprobar cada cuenta de forma individual. Para simplificar, elija Cualquier cuenta para aprobarla en cada nivel de cuenta. Esta opción proporciona un enlace de aprobación para la cuenta. Seleccione URLCopiar para copiar el enlace. Inicie sesión en cada cuenta de origen. En una ventana del navegador, pegue el enlace y seleccione Aprobar enlace conectar con el receptor. Repita la operación para todas las demás cuentas de origen. Para obtener más información, consulte Vincular las cuentas de supervisión con las cuentas de origen en la CloudWatch documentación.	AWS DevOps, administrador de nube, arquitecto de nube

Verificar los datos de observabilidad entre cuentas

Tarea	Descripción	Habilidades requeridas
Ver datos entre cuentas.	Inicie sesión en la cuenta central de monitoreo. Abre la CloudWatch consola. En el panel de navegación izquierdo, elija las opciones para ver los registros, las métricas y los seguimientos entre cuentas.	AWS DevOps, administrador de nube, arquitecto de nube

(Opcional) Habilite las cuentas de origen para que confíen en la cuenta de monitoreo

Tarea	Descripción	Habilidades requeridas
Consulte las métricas, los paneles, los registros, los widgets y las alarmas de otras cuentas.	Como función adicional, puede compartir CloudWatch las métricas, los paneles, los registros, los widgets y las alarmas con otras cuentas. Cada cuenta usa un IAM rol llamado CloudWatch- CrossAccountSharingRole para acceder a estos datos. Las cuentas de origen que tienen una relación de confianza con la cuenta de supervisión central pueden asumir esta función y ver los datos de la cuenta de supervisión. CloudWatch proporciona un ejemplo de CloudFormation script para crear el rol. Seleccione Administrar rol y ejecute este script en las cuentas en las que desee ver los datos. IAM { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root" ] }, "Action": "sts:AssumeRole" } ] } Para obtener más información, consulte Habilitar la funcionalidad multicuenta CloudWatch en la CloudWatch documentación.	AWS DevOps, administrador de nube, arquitecto de nube

(Opcional) Ver las cuentas y Regiones cruzadas desde la cuenta de monitoreo

Tarea	Descripción	Habilidades requeridas
Configuración del acceso entre cuentas y regiones.	En la cuenta de supervisión central, si lo desea, puede añadir un selector de cuentas para cambiar fácilmente de una cuenta a otra y ver sus datos sin tener que autenticarse. Inicie sesión en la cuenta central de monitoreo. Abre la CloudWatch consola. En el panel de navegación izquierdo, elija Configuración. En la sección Ver varias cuentas en todas las regiones, seleccione Configure (Configurar). Seleccione Activar y, a continuación, seleccione la casilla Mostrar el selector en la consola. Elija una de estas opciones: Introducir el identificador de cuenta: esta opción le pide que introduzca manualmente el identificador de la cuenta siempre que desee cambiar de cuenta para ver los datos de varias cuentas. AWSSelector de cuentas de la organización: si te has integrado CloudWatch con AWS Organizations, esta opción proporciona un selector desplegable con una lista completa de las cuentas de la organización. Selector de cuentas personalizado: esta opción te permite introducir manualmente una lista de cuentas IDs para completar el selector. Elija Guardar cambios. Para obtener más información, consulte la CloudWatch consola multicuentas y regiones en la documentación. CloudWatch	AWS DevOps, administrador de nube, arquitecto de nube

Recursos relacionados

• CloudWatch observabilidad entre cuentas (documentación de Amazon CloudWatch )

• APIReferencia de Amazon CloudWatch Observability Access Manager ( CloudWatch documentación de Amazon)

• Recurso: aws_oam_sink (documentación de Terraform)

• Origen de datos: aws_oam_link (documentación de Terraform)

• CloudWatchObservabilityAccessManager(documentación de AWS Boto3)