Indagini su più account - Amazon CloudWatch
PrerequisitiConfigura il tuo account di monitoraggio per l'accesso da più accountConfigura i tuoi account di origine per l'accesso da più accountAnalisi dei problemi relativi a più account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Indagini su più account

CloudWatch Le indagini su più account consentono di esaminare i problemi relativi alle applicazioni che si estendono su più account Account AWS da un account di monitoraggio centralizzato. Questa funzionalità consente di correlare dati di telemetria, metriche e log su un massimo di 25 account, oltre all'account di monitoraggio, per ottenere una visibilità completa sulle applicazioni distribuite e risolvere complessi scenari multi-account.

Prerequisiti

Configura il tuo account di monitoraggio per l'accesso da più account

Configura il tuo account di monitoraggio per l'accesso da più account

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione a sinistra, scegli AI Operations, Configuration.

  3. In Configura l'accesso tra account, seleziona Configura.

  4. Aggiungi l'ID account per un massimo di 25 account nella sezione Elenca account di origine.

  5. Aggiorna il tuo ruolo IAM.

    1. Automaticamente

      • Se scegli Aggiorna automaticamente il ruolo di assistente (consigliato), viene creata una politica gestita dal cliente denominata AIOpsAssistantCrossAccountPolicy-${guid} che include le sts:AssumeRole dichiarazioni necessarie per assumere il ruolo di assistente negli account di origine specificati. La scelta dell'opzione di aggiornamento automatico imposta come impostazione predefinita il nome del ruolo IAM AIOps-CrossAccountInvestigationRole negli account di origine.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
        ]
    }
}

      • Se il proprietario dell'account di monitoraggio rimuove un account di origine dalla configurazione tra account, la policy IAM non si aggiornerà automaticamente. Devi aggiornare manualmente il ruolo e la policy IAM per assicurarti che disponga sempre delle autorizzazioni minime possibili.

      • Potresti raggiungere il limite di policy gestite per ruolo se le autorizzazioni non vengono aggiornate manualmente quando viene rimosso un account di origine. È necessario eliminare tutte le politiche gestite non utilizzate associate al ruolo di indagine.

    2. Manualmente

      • L'esempio seguente mostra la politica di fiducia richiesta per il ruolo di assistente:

        JSON
        
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAIOpsAssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
                }
            }
        }
    ]
}

        È possibile utilizzare il AWS CLI per creare il ruolo personalizzato dell'account di origine e quindi associarlo AIOpsAssistantPolicy al ruolo utilizzando i seguenti comandi, sostituendo i valori segnaposto con i valori appropriati per l'ambiente in uso: 

        aws iam create-role
 --role-name custom-role-name
 --assume-role-policy-document 
    '{ 
       "Version": "2012-10-17", 
       "Statement": [ 
                 { 
                      "Effect": "Allow",
                      "Principal": { "AWS": "investigation-group-role-arn"
                          }, 
                      "Action": "sts:AssumeRole", 
                      "Condition": {
                                 "StringEquals": { 
                                          "sts:ExternalId": "investigation-group-arn"
                                            } } } ] }' 

aws iam attach-role-policy 
 --role-name custom-role-name
 --policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy

      • Per concedere l'accesso a più account, la politica di autorizzazione del ruolo di assistente nell'account di monitoraggio deve contenere quanto segue. Se configuri manualmente l'account di monitoraggio, il nome del ruolo può essere quello che preferisci. Non è l'impostazione predefinitaAIOps-CrossAccountInvestigationRole, assicurati di specificare il nome del ruolo di assistente per ciascuno degli account di origine.

        JSON
        {
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "sts:AssumeRole",
        "Resource": [
            "arn:aws:iam::777777777777:role/custom_source_account_role_name",
            "arn:aws:iam::555555555555:role/custom_source_account_role_name",
            "arn:aws:iam::666666666666:role/custom_source_account_role_name"
        ]
    }
}

      • Usa il AWS CLI per aggiornare il gruppo di indagine dell'account di monitoraggio con il ruolo ARN dell'account di origine personalizzato utilizzando il seguente comando, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente: 

        aws aiops update-investigation-group 
 --identifier investigation-group-id
 --cross-account-configurations sourceRoleArn=sourceRoleArn1  sourceRoleArn=sourceRoleArn2

        Per maggiori dettagli su questo comando, consulta la AWS CLI Command Reference.

Configura i tuoi account di origine per l'accesso da più account

  1. Assegna un nome a un ruolo IAM AIOps-CrossAccountInvestigationRole se hai selezionato l'opzione Aggiorna automaticamente il ruolo di assistente per configurare l'account di monitoraggio. Se hai utilizzato l'opzione di configurazione manuale, fornisci al ruolo IAM il nome di ruolo personalizzato dell'account di origine.

    1. Allega la policy AWS gestita AIOpsAssistantPolicy al ruolo nella console IAM.

    2. La politica di fiducia del ruolo sull'account di origine si presenta così. ExternalIDdeve essere specificata nella politica. Utilizza il gruppo di indagine dell'account di monitoraggio ARN.

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
                }
            }
        }
    ]
}

  2. Questa operazione deve essere eseguita in ciascuno degli account di origine.

  3. Se configuri il ruolo dell'account di monitoraggio tramite la console, il nome del ruolo dell'account di origine è predefinito su. AIOps-CrossAccountInvestionRole

  4. Conferma l'accesso accedendo all'account di monitoraggio, accedendo a Investigation Group, quindi Configurazione e quindi scegliendo Configurazione tra account.

    Assicurati che l'account di origine compaia nella configurazione tra account e che lo stato sia Collegato all'account di monitoraggio.

Analisi dei problemi relativi a più account

Dopo aver configurato la dashboard di osservabilità CloudWatch tra più account, puoi visualizzare e indagare sulla base di una telemetria tra account nel tuo account di monitoraggio. È necessario aggiungere una telemetria tra account dall'account di origine per eseguire un'indagine su tale account di origine.

Per informazioni dettagliate su come creare un'indagine, consulta. Esamina i problemi operativi del tuo ambiente