Riepilogo Prerequisiti e limitazioni Architettura Strumenti Best practice Epiche Risorse correlate

Centralizza il monitoraggio utilizzando Amazon CloudWatch Observability Access Manager

Creato da Anand Krishna Varanasi (AWS), Jimmy Morgan (), Ashish Kumar (), Balaji Vedagiri (AWS), (), Sarat Chandra Pothula (AWS) e Vivek Thangamuthu () AWS JAGDISH KOMAKULA AWS AWS AWS

cloudwatch-obervability-access-managerArchivio del codice: -terraform	Ambiente: produzione	Tecnologie: infrastruttura; gestione e governance; Strategia multi-account
AWSservizi: Amazon CloudWatch; Amazon CloudWatch Logs

Riepilogo

L'osservabilità è fondamentale per il monitoraggio, la comprensione e la risoluzione dei problemi delle applicazioni. Le applicazioni che si estendono su più account, come nelle AWS Control Tower nostre implementazioni di landing zone, generano un gran numero di log e dati di traccia. Per risolvere rapidamente i problemi o comprendere l'analisi degli utenti o l'analisi aziendale, è necessaria una piattaforma di osservabilità comune per tutti gli account. Amazon CloudWatch Observability Access Manager ti consente di accedere e controllare più log di account da una posizione centrale.

Puoi utilizzare Observability Access Manager per visualizzare e gestire i log dei dati di osservabilità generati dagli account di origine. Gli account di origine sono singoli Account AWS che generano dati di osservabilità per le proprie risorse. I dati di osservabilità sono condivisi tra gli account di origine e gli account di monitoraggio. I dati di osservabilità condivisi possono includere metriche in Amazon CloudWatch, log in Amazon CloudWatch Logs e tracce in. AWS X-Ray Per ulteriori informazioni, consulta la documentazione di Observability Access Manager.

Questo modello è destinato agli utenti che dispongono di applicazioni o infrastrutture eseguite su più sistemi Account AWS e necessitano di un posto comune in cui visualizzare i log. Spiega come configurare Observability Access Manager utilizzando Terraform, per monitorare lo stato e l'integrità di queste applicazioni o infrastrutture. È possibile installare questa soluzione in diversi modi:

Come modulo Terraform autonomo da configurare manualmente
Utilizzando una pipeline di integrazione e distribuzione continua (CI/CD)
Integrandosi con altre soluzioni come AWS Control Tower Account Factory for Terraform () AFT

Le istruzioni nella sezione Epics riguardano l'implementazione manuale. Per i passaggi AFT di installazione, consulta il README file per il repository di GitHub Observability Access Manager.

Prerequisiti e limitazioni

Prerequisiti

Terraform è installato o referenziato nel sistema o in pipeline automatizzate. (Ti consigliamo di utilizzare la versione più recente.)
Un account che puoi utilizzare come account di monitoraggio centralizzato. Altri account creano collegamenti all'account di monitoraggio centrale per visualizzare i registri.
(Facoltativo) Un archivio di codice sorgente come GitHub Atlassian Bitbucket o un sistema simile. AWS CodeCommit Un archivio di codice sorgente non è necessario se si utilizzano pipeline CI/CD automatizzate.
(Facoltativo) Autorizzazioni per creare richieste pull (PRs) per la revisione e la collaborazione del codice in. GitHub

Limitazioni

Observability Access Manager ha le seguenti quote di servizio, che non possono essere modificate. Considerate queste quote prima di implementare questa funzionalità. Per ulteriori informazioni, consulta le quote CloudWatch di servizio nella documentazione. CloudWatch

Collegamenti agli account di origine: puoi collegare ciascun account di origine a un massimo di cinque account di monitoraggio.
Lavandini: puoi creare più sink per un account, ma Regione AWS è consentito un solo sink per account.

Inoltre:

I sink e i link devono essere creati nello stesso ambiente Regione AWS; non possono essere interregionali.

Monitoraggio interregionale e interaccount

Per il monitoraggio interregionale e tra più account, puoi scegliere una di queste opzioni:

Crea CloudWatch dashboard per più account e più regioni per allarmi e metriche. Questa opzione non supporta log e tracce.
Implementa la registrazione centralizzata utilizzando Amazon OpenSearch Service.
Crea un sink per regione da tutti gli account tenant, invia i parametri a un account di monitoraggio centralizzato (come descritto in questo schema), quindi utilizza i flussi di CloudWatch metrici per inviare i dati a una destinazione esterna comune o a prodotti di monitoraggio di terze parti come Datadog, Dynatrace, Sumo Logic, Splunk o New Relic.

Architettura

Componenti

CloudWatch Observability Access Manager è costituito da due componenti principali che consentono l'osservabilità tra account:

Un sink offre agli account di origine la possibilità di inviare dati di osservabilità all'account di monitoraggio centrale. Un sink fornisce fondamentalmente una giunzione gateway a cui gli account di origine possono connettersi. Può esserci solo un gateway o una connessione sink e più account possono connettersi ad esso.
Ogni account di origine ha un collegamento alla giunzione del sink gateway e i dati di osservabilità vengono inviati tramite questo collegamento. È necessario creare un sink prima di creare collegamenti da ciascun account di origine.

Architettura

Il diagramma seguente illustra Observability Access Manager e i suoi componenti.

Strumenti

Servizi AWS

Amazon ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
AWS Organizationsè un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
AWS Identity and Access Management (IAM) consente di gestire in modo sicuro l'accesso alle AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.

Strumenti

Terraform è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.
AWS Control Tower Account Factory for Terraform (AFT) imposta una pipeline Terraform per aiutarti a fornire e personalizzare gli account. AWS Control TowerÈ possibile utilizzare facoltativamente AFT per configurare Observability Access Manager su larga scala su più account.

Deposito di codici

Il codice per questo modello è disponibile nel repository di GitHub Observability Access Manager.

Best practice

Negli AWS Control Tower ambienti, contrassegna l'account di registrazione come account di monitoraggio centrale (sink).
Se hai più organizzazioni con più account AWS Organizations, ti consigliamo di includere le organizzazioni anziché i singoli account nella politica di configurazione. Se disponi di un numero limitato di account o se gli account non fanno parte di un'organizzazione nella politica di configurazione del sink, potresti decidere di includere invece account individuali.

Epiche

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Clonare il repository.	Clonare il repository di GitHub Observability Access Manager: `git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform`	AWS DevOps, Amministratore cloud, amministratore AWS
Specificare i valori delle proprietà per il modulo sink.	Nel `main.tf` file (nella `deployments/aft-account-customizations/LOGGING/terraform/` cartella del repository), specificate i valori per le seguenti proprietà: `sink_name`: Il nome del CloudWatch lavello. `allowed_oam_resource_types`: Observability Access Manager attualmente supporta CloudWatch metriche, gruppi di log e AWS X-Ray tracce. `allowed_source_accounts`: Gli account di origine a cui è consentito inviare i log all'account Central CloudWatch Sink. `allowed_source_organizations`: le AWS Control Tower organizzazioni di origine a cui è consentito inviare registri all'account Central CloudWatch Sink. Per ulteriori informazioni, vedere AWS: :Oam: :Sink nella documentazione. AWS CloudFormation	AWS DevOps, Amministratore cloud, amministratore AWS
Installa il modulo sink.	Esporta le credenziali dell'account Account AWS che hai selezionato come account di monitoraggio e installa il modulo sink di Observability Access Manager: `Terraform Init Terrafom Plan Terraform Apply`	AWS DevOps, Amministratore del cloud, amministratore AWS

Clonare il repository.

Clonare il repository di GitHub Observability Access Manager:


git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform

AWS DevOps, Amministratore cloud, amministratore AWS

Specificare i valori delle proprietà per il modulo sink.

Nel main.tf file (nella deployments/aft-account-customizations/LOGGING/terraform/ cartella del repository), specificate i valori per le seguenti proprietà:

sink_name: Il nome del CloudWatch lavello.
allowed_oam_resource_types: Observability Access Manager attualmente supporta CloudWatch metriche, gruppi di log e AWS X-Ray tracce.
allowed_source_accounts: Gli account di origine a cui è consentito inviare i log all'account Central CloudWatch Sink.
allowed_source_organizations: le AWS Control Tower organizzazioni di origine a cui è consentito inviare registri all'account Central CloudWatch Sink.

Per ulteriori informazioni, vedere AWS: :Oam: :Sink nella documentazione. AWS CloudFormation

AWS DevOps, Amministratore cloud, amministratore AWS

Installa il modulo sink.

Esporta le credenziali dell'account Account AWS che hai selezionato come account di monitoraggio e installa il modulo sink di Observability Access Manager:


Terraform Init
Terrafom Plan
Terraform Apply

AWS DevOps, Amministratore del cloud, amministratore AWS

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Specificate i valori delle proprietà per il modulo di collegamento.	Nel `main.tf` file (nella `deployments/aft-account-customizations/LOGGING/terraform/` cartella del repository), specificate i valori per le seguenti proprietà: `account_label`: Utilizzate uno dei seguenti valori: `$AccountName`: il nome dell'account. `$AccountEmail`: un indirizzo e-mail unico a livello globale, che include il dominio e-mail (ad esempio,`hello@example.com`) `$AccountEmailNoDomain`: un indirizzo e-mail senza il nome di dominio. `allowed_oam_resource_types`: Observability Access Manager attualmente supporta CloudWatch metriche, gruppi di log e AWS X-Ray tracce. Per ulteriori informazioni, vedere AWS: :Oam: :Link nella documentazione. AWS CloudFormation	AWS DevOps, Amministratore cloud, architetto cloud
Installa il modulo di collegamento per i singoli account.	Esporta le credenziali dei singoli account e installa il modulo di collegamento Observability Access Manager: `Terraform Plan Terraform Apply` È possibile configurare il modulo di collegamento individualmente per ciascun account o utilizzarlo AFTper installare automaticamente questo modulo su un gran numero di account.	AWS DevOps, Amministratore del cloud, architetto del cloud

Specificate i valori delle proprietà per il modulo di collegamento.

Nel main.tf file (nella deployments/aft-account-customizations/LOGGING/terraform/ cartella del repository), specificate i valori per le seguenti proprietà:

account_label: Utilizzate uno dei seguenti valori:
- $AccountName: il nome dell'account.
- $AccountEmail: un indirizzo e-mail unico a livello globale, che include il dominio e-mail (ad esempio,hello@example.com)
- $AccountEmailNoDomain: un indirizzo e-mail senza il nome di dominio.
allowed_oam_resource_types: Observability Access Manager attualmente supporta CloudWatch metriche, gruppi di log e AWS X-Ray tracce.

Per ulteriori informazioni, vedere AWS: :Oam: :Link nella documentazione. AWS CloudFormation

AWS DevOps, Amministratore cloud, architetto cloud

Installa il modulo di collegamento per i singoli account.

Esporta le credenziali dei singoli account e installa il modulo di collegamento Observability Access Manager:


Terraform Plan
Terraform Apply

È possibile configurare il modulo di collegamento individualmente per ciascun account o utilizzarlo AFTper installare automaticamente questo modulo su un gran numero di account.

AWS DevOps, Amministratore del cloud, architetto del cloud

Attività	Descrizione	Competenze richieste
Controlla il messaggio di stato.	Accedi all'account di monitoraggio. Apri la CloudWatch console. Nel riquadro di navigazione a sinistra scegliere Impostazioni. Sulla destra, dovresti vedere il messaggio di stato «Account di monitoraggio abilitato» con un segno di spunta verde. Ciò significa che l'account di monitoraggio dispone di un sink di Observability Access Manager a cui si collegheranno i collegamenti di altri account.
Approva le connessioni. link-to-sink	Scegli l'opzione Risorse per collegare gli account sotto il messaggio di stato. Le informazioni confermano che si tratta dell'account di monitoraggio, elencano i dati condivisi dagli account di origine del tenant (Logs, Metrics, Traces) e mostrano l'etichetta dell'account come $. AccountName Questa schermata offre due opzioni per collegare gli account tenant all'account di monitoraggio: approvazione a livello di organizzazione o approvazione a livello di account. Per ogni opzione, puoi scegliere di scaricare un AWS CloudFormation modello per l'approvazione o approvare ogni account singolarmente. Per semplicità, scegli Qualsiasi account da approvare a ogni livello di account. Questa opzione fornisce un link di approvazione per l'account. Scegli Copia URL per copiare il link. Accedi a ciascun account di origine. In una finestra del browser, incolla il link e scegli Approva link connect to sink. Ripeti l'operazione per altri account di origine. Per ulteriori informazioni, consulta Collegare gli account di monitoraggio agli account di origine nella CloudWatch documentazione.	AWS DevOps, Amministratore cloud, architetto cloud

Attività	Descrizione	Competenze richieste
Visualizza i dati relativi a più account.	Accedi all'account di monitoraggio centralizzato. Apri la CloudWatch console. Nel riquadro di navigazione a sinistra, scegli le opzioni per visualizzare i log, le metriche e le tracce di più account.	AWS DevOps, Amministratore cloud, architetto cloud

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Visualizza metriche, dashboard, registri, widget e allarmi di altri account.	Come funzionalità aggiuntiva, puoi condividere CloudWatch metriche, dashboard, registri, widget e allarmi con altri account. Ogni account utilizza un IAM ruolo chiamato CloudWatch- CrossAccountSharingRole per accedere a questi dati. Gli account di origine che hanno un rapporto di fiducia con l'account di monitoraggio centrale possono assumere questo ruolo e visualizzare i dati dell'account di monitoraggio. CloudWatch fornisce uno CloudFormation script di esempio per creare il ruolo. Scegli Gestisci ruolo ed esegui questo script negli account in cui desideri visualizzare i dati. IAM `{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root" ] }, "Action": "sts:AssumeRole" } ] }` Per ulteriori informazioni, consulta Attivazione della funzionalità tra account CloudWatch nella CloudWatch documentazione.	AWS DevOps, Amministratore del cloud, architetto del cloud

Visualizza metriche, dashboard, registri, widget e allarmi di altri account.

Come funzionalità aggiuntiva, puoi condividere CloudWatch metriche, dashboard, registri, widget e allarmi con altri account. Ogni account utilizza un IAM ruolo chiamato CloudWatch- CrossAccountSharingRole per accedere a questi dati.

Gli account di origine che hanno un rapporto di fiducia con l'account di monitoraggio centrale possono assumere questo ruolo e visualizzare i dati dell'account di monitoraggio.

CloudWatch fornisce uno CloudFormation script di esempio per creare il ruolo. Scegli Gestisci ruolo ed esegui questo script negli account in cui desideri visualizzare i dati. IAM


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Per ulteriori informazioni, consulta Attivazione della funzionalità tra account CloudWatch nella CloudWatch documentazione.

AWS DevOps, Amministratore del cloud, architetto del cloud

Attività	Descrizione	Competenze richieste
Configura l'accesso su più account e più regioni.	Nell'account di monitoraggio centralizzato, puoi aggiungere facoltativamente un selettore di account per passare facilmente da un account all'altro e visualizzarne i dati senza dover autenticarti. Accedi all'account di monitoraggio centralizzato. Apri la CloudWatch console. Nel riquadro di navigazione a sinistra scegliere Impostazioni. Nella sezione Visualizza più account interregionali, scegli Configura. Scegli Abilita, quindi seleziona la casella di controllo Mostra il selettore nella console. Scegli una di queste opzioni: Inserimento dell'ID dell'account: questa opzione richiede di inserire manualmente l'ID dell'account ogni volta che desideri modificare gli account per visualizzare i dati dei diversi account. AWSSelettore di account dell'organizzazione: se hai integrato CloudWatch con AWS Organizations, questa opzione fornisce un selettore a discesa con un elenco completo degli account dell'organizzazione. Selettore di account personalizzato: questa opzione consente di inserire manualmente un elenco di account IDs per compilare il selettore. Scegli Save changes (Salva modifiche). Per ulteriori informazioni, consulta Console interregionale CloudWatch tra account nella documentazione. CloudWatch	AWS DevOps, Amministratore cloud, architetto cloud

Attività

Descrizione

Competenze richieste

Configura l'accesso su più account e più regioni.

Nell'account di monitoraggio centralizzato, puoi aggiungere facoltativamente un selettore di account per passare facilmente da un account all'altro e visualizzarne i dati senza dover autenticarti.

Accedi all'account di monitoraggio centralizzato.
Apri la CloudWatch console.
Nel riquadro di navigazione a sinistra scegliere Impostazioni.
Nella sezione Visualizza più account interregionali, scegli Configura.
Scegli Abilita, quindi seleziona la casella di controllo Mostra il selettore nella console.
Scegli una di queste opzioni:
- Inserimento dell'ID dell'account: questa opzione richiede di inserire manualmente l'ID dell'account ogni volta che desideri modificare gli account per visualizzare i dati dei diversi account.
- AWSSelettore di account dell'organizzazione: se hai integrato CloudWatch con AWS Organizations, questa opzione fornisce un selettore a discesa con un elenco completo degli account dell'organizzazione.
- Selettore di account personalizzato: questa opzione consente di inserire manualmente un elenco di account IDs per compilare il selettore.
Scegli Save changes (Salva modifiche).

Per ulteriori informazioni, consulta Console interregionale CloudWatch tra account nella documentazione. CloudWatch

AWS DevOps, Amministratore cloud, architetto cloud

Risorse correlate

CloudWatch osservabilità tra account (documentazione Amazon CloudWatch )
APIRiferimento ad Amazon CloudWatch Observability Access Manager ( CloudWatch documentazione Amazon)
Risorsa: aws_oam_sink (documentazione Terraform)
Fonte dati: aws_oam_link (documentazione Terraform)
CloudWatchObservabilityAccessManagerAWS (Documentazione Boto3)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD

Verifica la presenza di tag obbligatori EC2 nelle istanze al momento del lancio