跨账户调查 - Amazon CloudWatch
先决条件设置监控账户,以进行跨账户访问设置源账户,以进行跨账户访问跨账户问题调查
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

跨账户调查

跨账户 CloudWatch 调查功能使您能够从一个集中式监控账户,调查跨多个 Amazon Web Services 账户 的应用程序问题。该功能支持您在监控账户的基础上,关联多达 25 个其他账户的遥测数据、指标和日志,从而全面掌握分布式应用运行状态,并高效排查跨多账户的复杂问题场景。

先决条件

  • 多账户调查要求您已设置好跨账户可观测性,以便查看跨账户遥测数据。要完成前置条件配置,请选择设置跨账户可观测性功能或跨账户仪表盘

  • 设立调查组。对于跨账户可观测性,相关配置应在监控账户中完成。您也可在源账户中对其进行设置,并在那里开展单账户调查。

设置监控账户,以进行跨账户访问

设置监控账户,以进行跨账户访问

  1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

  2. 在左侧导航窗格中,选择 AI 操作配置

  3. 配置跨账户访问下,选择配置

  4. 源账户列表部分下,添加最多 25 个账户的账户 ID。

  5. 更新 IAM 角色。

    1. 自动

      • 若选择自动更新助理角色(推荐),系统会创建一个名为 AIOpsAssistantCrossAccountPolicy-${guid} 的客户管理型策略,其中包含用于承担所提供的源账户角色的 sts:AssumeRole 声明。选择自动更新选项时,源账户中的 IAM 角色名称默认为 AIOps-CrossAccountInvestigationRole

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole"
            "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
            ]
    }
}

      • 若监控账户所有者从跨账户配置中移除某个源账户,系统不会自动更新关联的 IAM 策略。您必须手动更新 IAM 角色和策略,确保其始终遵循最小权限原则。

      • 若在移除源账户后未手动更新权限,可能会导致该角色达到托管策略数量上限。您必须删除调查角色相关的全部未使用托管策略。

    2. 手动方式

      • 以下是助手角色信任策略的示例。有关更多信息,请参阅 入门

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Resource": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                }
            }
        }
    ]
}

        要实现跨账户访问,监控账户中的调查角色权限策略必须包含以下内容。若您手动配置监控账户,角色名称可按需自定义。它不会默认为 AIOps-CrossAccountInvestigationRole

        {
    "Version": "2012-10-17",
    "Statement": {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
            "arn:aws:iam::777777777777:role/source_role_name_1"
            "arn:aws:iam::555555555555:role/source_role_name_2"
            "arn:aws:iam::666666666666:role/source_role_name_3"
            ]
    }
}

设置源账户,以进行跨账户访问

  1. 若您选择了自动更新助手角色选项来配置监控账户,则需预置一个名为 AIOps-CrossAccountInvestigationRole 的 IAM 角色。若您选择手动设置选项,则需按自定义的源账户角色名称来配置 IAM 角色。

    1. 在 IAM 控制台中,将 Amazon 托管策略 AIOpsAssistantPolicy 附加到您的 IAM 角色。

    2. 源账户中该角色的信任策略需包含如下配置,​必须在策略中明确指定 ExternalID。请使用监控账户中调查组的 ARN。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:ExternalId": "investigation-group-arn"
            }
        }
    }
]

  2. 必须在每个源账户中分别完成此操作。

  3. 若您通过控制台配置监控账户角色,则源账户中的角色名称将默认设置为 AIOps-CrossAccountInvestionRole

  4. 通过以下步骤确认访问权限:登录监控账户,导航至调查组,然后进入配置,再选择跨账户设置

    确认源账户已在跨账户配置列表中显示,且其状态为已关联至监控账户

跨账户问题调查

在完成 OAM 或跨账户仪表盘的配置后,即可在监控账户中集中查看并分析跨账户遥测数据。必须从源账户添加跨账户遥测数据,才能对该源账户开展调查分析。

要详细了解如何创建调查,请参阅 调查您环境中的操作问题