使用 Amazon CloudWatch Observability Access Manager 集中監控

由 Anand Krishna Varanasi （AWS）、Jimmy Morgan （AWS）、Ashish Kumar （AWS）、Balaji Vedagiri （AWS）、JAGDISHKOMAKULA（AWS）、Sarat Chandra Pothula （AWS） 和 Vivek Thangamuthu （AWS） 建立

程式碼儲存庫：cloudwatch-obervability-access-manager-terraform	環境：生產	技術：基礎設施；管理和治理；多帳戶策略
AWS 服務：Amazon CloudWatch；Amazon CloudWatch Logs

Summary

可觀測性對於監控、了解和疑難排解應用程式至關重要。與 AWS Control Tower 或登陸區域實作一樣，跨越多個帳戶的應用程式會產生大量日誌和追蹤資料。若要快速疑難排解問題或了解使用者分析或業務分析，您需要所有帳戶的共同可觀測性平台。Amazon CloudWatch Observability Access Manager 可讓您從中央位置存取和控制多個帳戶日誌。

您可以使用可觀測性存取管理員來檢視和管理來源帳戶產生的可觀測性資料日誌。來源帳戶是為其資源 AWS 帳戶 產生可觀測性資料的個人。可觀測性資料會在來源帳戶和監控帳戶之間共用。共用的可觀測性資料可包含 Amazon 中的指標 CloudWatch、Amazon CloudWatch Logs 中的日誌，以及 中的追蹤 AWS X-Ray。如需詳細資訊，請參閱 Observability Access Manager 文件 。

此模式適用於應用程式或基礎設施在多個 中執行， AWS 帳戶 且需要共用位置以檢視日誌的使用者。它說明如何使用 Terraform 設定可觀測性存取管理員，以監控這些應用程式或基礎設施的狀態和運作狀態。您可以用多種方式安裝此解決方案：

• 作為您手動設定的獨立 Terraform 模組

• 透過使用持續整合和持續交付 （CI/CD） 管道

• 透過與其他解決方案整合，例如 AWS Control Tower Account Factory for Terraform （AFT）

Epics 區段中的說明涵蓋手動實作。如需AFT安裝步驟，請參閱 GitHub Observability Access Manager 儲存庫README的檔案。

先決條件和限制

先決條件

• 在您的系統或自動化管道中安裝或參考的 Terraform。（我們建議您使用最新版本 。）

• 您可以使用 作為中央監控帳戶的帳戶。其他帳戶會建立中央監控帳戶的連結，以便檢視日誌。

• （選用） 原始程式碼儲存庫，例如 GitHub、 AWS CodeCommit、Atlassian Bitbucket 或類似系統。如果您使用的是自動化 CI/CD 管道，則不需要原始程式碼儲存庫。

• （選用） 在 中建立提取請求 （PRs） 以進行程式碼檢閱和程式碼協同作業的許可 GitHub。

限制

Observability Access Manager 具有下列服務配額，無法變更。部署此功能之前，請考慮這些配額。如需詳細資訊，請參閱 CloudWatch 文件中的CloudWatch 服務配額。

• 來源帳戶連結 ：您可以將每個來源帳戶連結至最多五個監控帳戶。

• Sinks ：您可以為 帳戶建置多個 sink，但每個 僅允許一個 sink AWS 區域 。

除此之外：

• 必須在相同的 中建立接收器和連結 AWS 區域；它們不能是跨區域。

跨區域和跨帳戶監控

對於跨區域、跨帳戶監控，您可以選擇下列其中一個選項：

• 建立警示和指標的跨帳戶和跨區域 CloudWatch 儀表板。此選項不支援日誌和追蹤。

• 使用 Amazon OpenSearch Service 實作集中記錄。

• 從所有租用戶帳戶為每個區域建立一個接收端，將指標推送至集中式監控帳戶 （如此模式所述），然後使用CloudWatch 指標串流將資料傳送至常見的外部目的地或第三方監控產品，例如 Datadog、Dynatrace、Sumo Logic、Splunk 或 New Relic。

架構

元件

CloudWatch 可觀測性 Access Manager 由兩個主要元件組成，可實現跨帳戶可觀測性：

• 接收裝置可讓來源帳戶將可觀測性資料傳送至中央監控帳戶。串流基本上為要連線的來源帳戶提供閘道連接。只能有一個接收器閘道或連線，多個帳戶可以與其連線。

• 每個來源帳戶都具有流入閘道連接的連結，而可觀測性資料會透過此連結傳送。您必須建立接收端，才能從每個來源帳戶建立連結。

架構

下圖說明 Observability Access Manager 及其元件。

工具

AWS 服務

• Amazon CloudWatch 可協助您 AWS 即時監控 AWS 資源的指標，以及您在 上執行的應用程式。

• AWS Organizations 是一項帳戶管理服務，可協助您將多個 合併 AWS 帳戶 到您建立並集中管理的組織。

• AWS Identity and Access Management （IAM） 透過控制誰經過身分驗證並獲授權使用資源，協助您安全地管理對 AWS 資源的存取。

工具

• Terraform 是 的基礎設施作為程式碼 IaC） 工具 HashiCorp ，可協助您建立和管理雲端和內部部署資源。

• AWS Control Tower Account Factory for Terraform （AFT） 會設定 Terraform 管道，以協助您在 中佈建和自訂帳戶 AWS Control Tower。您可以選擇性地使用 AFT 來設定跨多個帳戶的大規模可觀測性存取管理員。

程式碼儲存庫

此模式的程式碼可在 GitHub Observability Access Manager 儲存庫中使用。

最佳實務

• 在 AWS Control Tower 環境中，將記錄帳戶標記為中央監控帳戶 （接收）。

• 如果您在 中有多個具有多個帳戶的組織 AWS Organizations，建議您在組態政策中包含這些組織，而不是個別帳戶。如果您有少量帳戶，或者如果帳戶不在儲存槽組態政策中，您可以決定改為包含個別帳戶。

史詩

設定接收器模組

任務	描述	所需的技能
複製儲存庫。	複製 GitHub 可觀測性 Access Manager 儲存庫： git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform	AWS DevOps、雲端管理員、AWS管理員
指定接收器模組的屬性值。	在 main.tf 檔案 （在儲存庫的deployments/aft-account-customizations/LOGGING/terraform/ 資料夾中） 中，指定下列屬性的值： sink_name： CloudWatch 接收端的名稱。 allowed_oam_resource_types：可觀測性 Access Manager 目前支援 CloudWatch 指標、日誌群組和 AWS X-Ray 追蹤。 allowed_source_accounts：允許將日誌傳送至中央 CloudWatch 儲存槽帳戶的來源帳戶。 allowed_source_organizations：允許將日誌傳送至中央 CloudWatch 儲存槽帳戶的來源 AWS Control Tower 組織。 如需詳細資訊，請參閱 AWS CloudFormation 文件中的 AWS：：Oam：：Sink。	AWS DevOps、雲端管理員、AWS管理員
安裝接收器模組。	匯出 AWS 帳戶 您選取作為監控帳戶的 憑證，並安裝 Observability Access Manager 接收器模組： Terraform Init Terrafom Plan Terraform Apply	AWS DevOps、雲端管理員、AWS管理員

設定連結模組

任務	描述	所需的技能
指定連結模組的屬性值。	在 main.tf 檔案 （在儲存庫的 deployments/aft-account-customizations/LOGGING/terraform/ 資料夾中） 中，指定下列屬性的值： account_label：使用下列其中一個值： $AccountName：帳戶的名稱。 $AccountEmail：全域唯一電子郵件地址，其中包含電子郵件網域 （例如 hello@example.com） $AccountEmailNoDomain：沒有網域名稱的電子郵件地址。 allowed_oam_resource_types：可觀測性 Access Manager 目前支援 CloudWatch 指標、日誌群組和 AWS X-Ray 追蹤。 如需詳細資訊，請參閱 AWS CloudFormation 文件中的 AWS：：Oam：：Link。	AWS DevOps、雲端管理員、雲端架構師
安裝個別帳戶的連結模組。	匯出個別帳戶的憑證，並安裝 Observability Access Manager 連結模組： Terraform Plan Terraform Apply 您可以個別設定每個帳戶的連結模組，或使用 AFT 來自動跨大量帳戶安裝此模組。	AWS DevOps、雲端管理員、雲端架構師

核准 sink-to-link連線

任務	描述	所需的技能
檢查狀態訊息。	登入至監控帳戶。 開啟CloudWatch 主控台 。 在左側的導覽窗格中，選擇設定。 在右側，您應該會看到狀態訊息 監控帳戶已啟用綠色核取記號。這表示監控帳戶具有可觀測性 Access Manager 接收端，其他帳戶的連結將連接至該接收端。
核准 link-to-sink連線。	選擇狀態訊息下方的 資源以連結帳戶選項。資訊會確認這是監控帳戶，列出從租戶來源帳戶 （日誌 、指標、追蹤 ） 共用的資料，並將帳戶標籤顯示為 $AccountName。 此畫面提供將租戶帳戶連結至監控帳戶的兩個選項：組織層級核准或帳戶層級核准。對於每個選項，您可以選擇下載 AWS CloudFormation 範本以進行核准，或個別核准每個帳戶。 為了簡單起見，請選擇每個帳戶層級上要核准的任何帳戶。此選項提供帳戶的核准連結。 選擇複製URL以複製連結。 登入每個來源帳戶。 在瀏覽器視窗中，貼上連結，然後選擇核准連結連線至 sink 。 針對其他來源帳戶重複上述動作。 如需詳細資訊，請參閱 CloudWatch 文件中的將監控帳戶與來源帳戶連結。	AWS DevOps、雲端管理員、雲端架構師

驗證跨帳戶可觀測性資料

任務	描述	所需的技能
檢視跨帳戶資料。	登入中央監控帳戶。 開啟CloudWatch 主控台 。 在左側導覽窗格中，選擇選項以檢視跨帳戶日誌、指標和追蹤。	AWS DevOps、雲端管理員、雲端架構師

（選用） 啟用來源帳戶以信任監控帳戶

任務	描述	所需的技能
檢視來自其他帳戶的指標、儀表板、日誌、小工具和警示。	作為其他功能， 您可以與其他 帳戶共用 CloudWatch 指標、儀表板、日誌、小工具和警示。每個帳戶都使用名為 IAM的角色CloudWatchCrossAccountSharingRole 來存取此資料。 與中央監控帳戶具有信任關係的來源帳戶可以擔任此角色，並檢視來自監控帳戶的資料。 CloudWatch 提供建立角色的範例 CloudFormation 指令碼。在您要檢視資料的帳戶中IAM，選擇在 d 中管理角色執行此指令碼。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root", "arn:aws:iam::XXXXXXXXX:root" ] }, "Action": "sts:AssumeRole" } ] } 如需詳細資訊，請參閱 CloudWatch 文件中的在 中啟用跨帳戶功能 CloudWatch。	AWS DevOps、雲端管理員、雲端架構師

（選用） 從監控帳戶檢視跨帳戶跨區域

任務	描述	所需的技能
設定跨帳戶、跨區域存取。	在中央監控帳戶中，您可以選擇性地新增帳戶選取器，以便在帳戶之間輕鬆切換，並檢視其資料，而不必進行身分驗證。 登入中央監控帳戶。 開啟CloudWatch 主控台 。 在左側的導覽窗格中，選擇設定。 在檢視跨帳戶跨區域區段中，選擇設定 。 選擇啟用 ，然後選擇主控台中的顯示選取器核取方塊。 選擇這些選項的其中之一： 帳戶 ID 輸入：每當您想要變更帳戶以檢視跨帳戶資料時，此選項會提示您手動輸入帳戶 ID。 AWS 組織帳戶選擇器：如果您已 CloudWatch 與 整合 AWS Organizations，此選項會提供下拉式清單選擇器，其中包含組織中帳戶的完整清單。 自訂帳戶選取器：此選項可讓您手動輸入帳戶清單IDs以填入選取器。 選擇 Save changes (儲存變更)。 如需詳細資訊，請參閱 CloudWatch 文件中的跨帳戶跨區域 CloudWatch 主控台。	AWS DevOps、雲端管理員、雲端架構師

相關資源

• CloudWatch 跨帳戶可觀測性 （Amazon CloudWatch 文件）

• Amazon CloudWatch Observability Access Manager API參考 （Amazon CloudWatch 文件）

• 資源：aws_oam_sink （Terraform 文件）

• 資料來源：aws_oam_link （Terraform 文件）

• CloudWatchObservabilityAccessManager （AWS Boto3 文件）