入门 - Amazon CloudWatch
查看示例调查设置操作调查
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

入门

注意

Amazon Q 开发者版操作调查功能为预览版,可能会发生变化。目前在以下区域中可用:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(俄勒冈州)

  • 亚太地区(香港)

  • 亚太地区(孟买)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(西班牙)

  • 欧洲地区(斯德哥尔摩)

要设置 Amazon Q 开发者版操作调查,您需要创建一个调查组。您还可以查看示例调查,全面了解其工作原理。

查看示例调查

如果您想在为账户配置 Amazon Q 开发者版操作调查功能之前查看该功能的实际运行情况,可以演练示例调查。示例调查不使用您的数据,也不会在您的账户中进行数据调用或启动 API 操作。

查看示例调查

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在左侧导航窗格中,依次选择 AI 操作概述

  3. 选择尝试示例调查

    控制台显示示例调查,并在右侧窗格中显示建议和调查发现。在每个弹出窗口中,选择下一步进入示例演练的下一部分。

设置操作调查

要在您的账户中设置 Amazon Q 开发者版操作调查,您需要创建一个调查组。创建调查组是一次性设置任务。调查组中的设置可帮助您集中管理调查的常见属性,例如:

  • 谁可以访问调查

  • 调查数据是否使用客户管理型 Amazon Key Management Service 密钥加密。

  • 默认情况下,调查及其数据会保留多长时间。

目前,每个账户可以有一个调查组。您账户中的每项调查都将成为该调查组的一部分。

要创建调查组并设置 Amazon Q 开发者版操作调查,您必须登录附加了 AIOpsConsoleAdminPolicyAdministratorAccess IAM 策略的 IAM 主体,或者登录到具有类似权限的账户。

注意

要选择推荐的选项,为 Amazon Q 开发者版操作调查创建新 IAM 角色,您必须登录具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 权限的 IAM 主体。

重要

Amazon Q 开发者版操作调查使用跨区域推理来跨不同 Amazon 区域分配流量。有关更多信息,请参阅 跨区域推理

创建调查组并在您的账户中启用 Amazon Q 开发者版操作调查

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在左侧导航窗格中,依次选择 AI 操作调查

  3. 选择为此账户配置

  4. 为此调查组输入一个名称。

  5. 可以选择更改调查的保留期。有关保留期治理的更多信息,请参阅 操作调查数据留存

  6. (可选)要使用客户管理型 Amazon KMS 密钥加密您的调查数据,请选择自定义加密设置,然后按照步骤创建或指定要使用的密钥。如果未指定客户托管密钥,Amazon Q 开发者版操作调查将使用 Amazon 拥有的密钥进行加密。有关更多信息,请参阅 调查数据加密

  7. 如果您尚未执行此操作,请使用 IAM 控制台为用户配置访问权限,以便能够查看并管理调查。我们为管理员、操作员和查看者提供 IAM 角色。有关更多信息,请参阅 用户权限

  8. (可选)在美国东部(弗吉尼亚州北部)区域,您可以让调查将调查操作(例如向中添加建议)归因于个人用户。为此,您可以将 Amazon Q 开发者版操作调查与 IAM Identity Center 集成。为此,请验证您是否满足先决条件,然后选择允许创建托管 IAM Identity Center 应用程序,用于 Amazon Q 开发者版操作调查。有关先决条件的更多信息,请参阅 Amazon IAM Identity Center

  9. 对于 Amazon Q 开发者版权限,请选择下列选项之一。有关这些选项的详细信息,请参阅如何控制 Amazon Q 开发者版在调查期间可以访问哪些数据

    要选择前两个选项之一,您必须登录具有 iam:CreateRoleiam:AttachRolePolicyiam:PutRolePolicy 权限的 IAM 主体。

    • 推荐的选项是选择自动创建具有默认调查权限的新角色。选择此选项将会向助手授予 AIOpsAssistantPolicy IAM 策略。有关该策略内容的更多信息,请参阅 Amazon Q 开发者版操作调查的 IAM 策略(AIOpsAssistantPolicy)

    • 选择从 Amazon 策略模板创建新角色,自定义 Amazon Q 开发者版在调查期间将拥有的权限。如果您选择此选项,则必须确保将策略范围缩小到您希望 Amazon Q 开发者版在调查期间拥有的权限。

    • 如果您已经拥有包含要使用的权限的角色,请选择分配现有角色

      如果选择此选项,则必须确保该角色包含将 aiops.amazonaws.com 命名为服务主体的信任策略。有关在信任策略中使用服务主体的更多信息,请参阅 Amazon 服务主体

      我们还建议您添加一个带有账号的 Condition 部分,以防止出现混淆代理的情况。以下示例信任策略同时演示了服务主体和 Condition 部分。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  10. (可选)对于增强版集成,请选择允许 Amazon Q 开发者版访问您系统中的其他服务,使其能够收集更多数据并提高其实用性。

    1. 用于应用程序边界检测的标签部分,输入系统中自定义应用程序的现有自定义标签密钥。当 Amazon Q 开发者版无法发现资源之间的明确关系时,资源标签可以帮助 Amazon Q 开发者版缩小搜索空间。例如,要发现 Amazon ECS 服务依赖于 Amazon RDS 数据库,Amazon Q 开发者版可以使用 X-Ray 和 CloudWatch Application Signals 等数据来源发现这种关系。但是,如果您尚未部署这些功能,Amazon Q 开发者版将尝试确定可能的关系。在这些情况下,可以使用标签边界来缩小 Amazon Q 开发者版将发现的资源。

      您无需输入 myApplications 或 Amazon CloudFormation 创建的标签,因为 Amazon Q 开发者版可以自动检测这些标签。

    2. CloudTrail 会记录有关系统变更的事件,包括部署事件。对于 Amazon Q 开发者版来说,这些事件通常有助于创建关于系统问题根本原因的假设。在用于更改事件检测的 CloudTrail 部分,您可以执行以下一项或两项操作。

      • 启用允许助手通过 CloudTrail 事件历史记录访问 CloudTrail 更改事件,让 Amazon Q 开发者版可以访问 Amazon CloudTrail 所记录的事件。有关更多信息,请参阅 Working with CloudTrail Event history

      • 通过输入一个或多个 CloudTrail 跟踪(这是您 Amazon 账户中的活动记录),让 Amazon Q 开发者版访问其他 CloudTrail 数据。只有发送到 CloudWatch Logs 中日志组的跟踪才支持此功能。有关跟踪的更多信息,请参阅使用 CloudTrail 跟踪

    3. 用于拓扑映射的 X-Ray用于运行状况评测的 Application Signals 部分指出了可以帮助 Amazon Q 开发者版查找信息的其他 Amazon 服务。如果您已部署这些服务并且已将 AIOpsAssistantPolicy IAM 策略授予了 Amazon Q 开发者版,则 Amazon Q 开发者版将能够访问 X-Ray 和 Application Signals 遥测。

      有关这些服务如何帮助 Amazon Q 开发者版的更多信息,请参阅 X-RayCloudWatch Application Signals

  11. (可选)如果您在美国东部(弗吉尼亚州北部)区域,则可以将 Amazon Q 开发者版操作调查与第三方工单系统集成。通过与工单工具集成,Amazon Q 开发者版可以向该工单工具发送有关调查的信息。此功能仅在美国东部(弗吉尼亚州北部)区域可用。

    重要

    当您创建与第三方工单系统的集成时,系统会在 Amazon Secrets Manager 中创建密钥。此密钥包含您使用第三方工具的基本身份验证凭证,用于将您的 Amazon Web Services 账户连接到该工具。如果您删除集成,则包含您的身份验证凭证的密钥也会被删除。

    要将 Amazon Q 开发者版操作调查与第三方工单工具集成,请在第三方集成区域执行以下操作:

    1. 选择添加集成

    2. 添加集成对话框中,执行以下操作:

      1. 对于名称,输入用于在调查中标识此集成的名称。

      2. 对于实例类型,请从可用的第三方工具中进行选择,例如 Jira 或 ServiceNow。

        注意

        只有 Jira Cloud 支持与 Jira 集成。

      3. 提供与所选工具集成所需的其他信息:

        Jira

        • 用户名 – 有效的电子邮件地址,可以访问正在加入的项目。

        • 密码 – 来自 Atlassian 的 API 令牌值。有关更多信息,请参阅 Atlassian 网站上的 Manage API tokens for your Atlassian account

        • Jira 站点名称 – 您的 Jira 项目的应用程序名称。这通常是您在 Atlassian 中项目 URL 的第一个组成部分。例如,在 URL https://AnyCompany.atlassian.net 中,应用程序名称为 AnyCompany。如果您不确定,请联系您的 Jira 项目经理验证此信息。

        • 项目密钥 – 您的 Jira 项目的项目密钥。

          要检索此项目密钥,请登录您的 Jira 项目,依次选择管理、项目、查看所有项目,然后从相应的项目中复制密钥值。

        重要

        确保您的 Jira 账户和电子邮件地址均有权访问该项目。如果您不确定,请联系您的 Jira 项目经理验证此信息。

        ServiceNow

        • 用户名 – 您的 ServiceNow 用户名。

        • 密码 – 您的 ServiceNow 实例密码。

        • 实例 ID – 您的 ServiceNow 实例 ID。

        您可以通过登录您的 ServiceNow 账户来查看这些信息。如果您不确定,请联系您的 ServiceNow 管理员验证此信息。

    3. 选择连接

    重要

    完成此配置过程后,我们建议您先创建测试调查并试用集成,然后再将其用于主动调查。

  12. (可选)您可以使用聊天应用程序中的 Amazon Q 开发者版,将 Amazon Q 开发者版操作调查与聊天频道集成。这样就可以通过聊天频道接收有关调查的通知。Amazon Q 开发者版操作调查和聊天应用程序中的 Amazon Q 开发者版支持以下应用程序中的聊天频道:

    • Slack

    • Microsoft Teams

    如果您想与聊天频道集成,我们建议您在创建调查组流程中执行此步骤之前,先完成一些其他步骤。有关更多信息,请参阅 与第三方聊天系统集成

    然后,要执行此处的步骤以与聊天应用程序中 Amazon Q 开发者版中的聊天频道集成,请执行以下操作:

    1. 聊天客户端集成部分,选择选择 SNS 主题

    2. 选择用于发送有关您的调查的通知的 SNS 主题。

  13. 选择完成设置