Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Centralice la supervisión mediante Amazon CloudWatch Observability Access Manager
*Anand Krishna Varanasi, JAGDISH KOMAKULA, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu y Balaji Vedagiri, Amazon Web Services*
## Resumen
La observabilidad es fundamental para la supervisión, la comprensión y la solución de problemas de las aplicaciones. Las aplicaciones que abarcan varias cuentas, como las AWS Control Tower implementaciones de landing zone, generan una gran cantidad de registros y datos de rastreo. Para solucionar problemas rápidamente o comprender los análisis de usuarios o empresariales, necesita una plataforma de observabilidad común en todas las cuentas. El Amazon CloudWatch Observability Access Manager le permite acceder a varios registros de cuentas y controlarlos desde una ubicación central.
Puede usar Observability Access Manager para ver y administrar los registros de datos de observabilidad generados por las cuentas de origen. Las cuentas de origen son individuales y Cuentas de AWS generan datos de observabilidad para sus recursos. Las cuentas de origen comparten sus datos de observabilidad con la cuenta de monitoreo. Los datos de observabilidad compartidos pueden incluir métricas en Amazon CloudWatch, registros en Amazon CloudWatch Logs y rastreos. AWS X-Ray Para más información, consulte [la documentación de Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html).
Este patrón es para los usuarios que tienen aplicaciones o infraestructuras que se ejecutan en varias direcciones Cuentas de AWS y necesitan un lugar común para ver los registros. En él se explica cómo puede configurar Observability Access Manager mediante Terraform para supervisar el estado y el estado de estas aplicaciones o infraestructuras. Puede instalar esta solución de varias maneras:
+ Como un módulo Terraform independiente que puede configurar manualmente
+ Mediante el uso de una canalización de integración y entrega continuas (CI/CD)
+ Mediante la integración con otras soluciones, como [Generador de cuentas para Terraform (AFT) de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html)
Las instrucciones de la sección [Epics](#centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager-epics) tratan sobre la implementación manual. Para ver los pasos de instalación de AFT, consulte el archivo README del repositorio de GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform).
## Requisitos previos y limitaciones
**Requisitos previos **
+ [Terraform](https://www.terraform.io/) está instalado o referenciado en su sistema o en canalizaciones automatizadas. (Le recomendamos que utilice [la última versión](https://releases.hashicorp.com/terraform/).)
+ Una cuenta que puede usar como cuenta de monitoreo central. Otras cuentas crean enlaces a la cuenta de monitoreo central para ver los registros.
+ (Opcional) Un repositorio de código fuente como GitHub Atlassian Bitbucket o un sistema similar. AWS CodeCommit No es necesario disponer de un repositorio de código fuente si utilizas canalizaciones automatizadas. CI/CD
+ (Opcional) Permisos para crear solicitudes de cambios (PRs) para revisar el código y colaborar con él. GitHub
**Limitaciones**
Observability Access Manager tiene las siguientes Service quotas, que no se pueden cambiar. Tenga en cuenta estas cuotas antes de implementar esta característica. Para obtener más información, consulta [las cuotas de CloudWatch servicio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) en la CloudWatch documentación.
+ **Vínculos de cuentas de origen**: puede vincular cada cuenta de origen a un máximo de cinco cuentas de supervisión.
+ **Depósitos**: puedes crear varios depósitos para una cuenta, pero solo Región de AWS se permite un depósito por cuenta.
Además:
+ Los sumideros y los enlaces deben crearse de la misma manera Región de AWS; no pueden ser de una región a otra.
**Supervisión entre cuentas y entre regiones**
Para la supervisión entre regiones y cuentas, puede elegir una de las siguientes opciones:
+ Cree [ CloudWatch paneles de control multicuentas y regiones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) para alarmas y métricas. Esta opción no admite registros ni rastreos.
+ Implemente el [registro centralizado](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) mediante Amazon OpenSearch Service.
+ Cree un colector por región a partir de todas las cuentas de los inquilinos, transfiera las métricas a una cuenta de supervisión centralizada (como se describe en este patrón) y, a continuación, utilice los [flujos de CloudWatch métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Metric-Streams.html) para enviar los datos a un destino externo común o a productos de supervisión de terceros, como Datadog, Dynatrace, Sumo Logic, Splunk o New Relic.
## Arquitectura
**Componentes**
CloudWatch Observability Access Manager consta de dos componentes principales que permiten la observabilidad entre cuentas:
+ Un *receptor* permite a las cuentas de origen enviar datos de observabilidad a la cuenta de monitoreo central. Básicamente, un receptor proporciona una puerta de enlace a la que se pueden conectar las cuentas de origen. Solo puede haber una puerta de enlace o conexión receptora y varias cuentas pueden conectarse a ella.
+ Cada cuenta de origen tiene un *enlace* al cruce de la puerta de enlace receptora y los datos de observabilidad se envían a través de este enlace. Debe crear un receptor antes de crear enlaces desde cada cuenta de origen.
**Arquitectura**
El siguiente diagrama ilustra Observability Access Manager y sus componentes.
![\[Arquitectura para la observabilidad entre cuentas con receptores y enlaces.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/00603763-4f99-456e-85e7-a80d803b087d/images/5188caf9-348b-4d91-b560-2b3d6ea81191.png)
## Tools (Herramientas)
**Servicios de AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)es un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
**Herramientas**
+ [Terraform](https://www.terraform.io/) es una herramienta de infraestructura como código (IaC) HashiCorp que le ayuda a crear y administrar recursos locales y en la nube.
+ [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) configura una canalización de Terraform para ayudarte a aprovisionar y personalizar las cuentas. AWS Control Tower Si lo desea, puede utilizar AFT para configurar Observability Access Manager de forma escalable en varias cuentas.
**Repositorio de código**
El código de este patrón está disponible en el repositorio de GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform).
## Prácticas recomendadas
+ En AWS Control Tower los entornos, marque la cuenta de registro como la cuenta de supervisión central (receptáculo).
+ Si tiene varias organizaciones con varias cuentas AWS Organizations, le recomendamos que incluya las organizaciones en lugar de las cuentas individuales en la política de configuración. Si tiene un número reducido de cuentas o si las cuentas no forman parte de una organización en la política de configuración de destino, puede optar por incluir cuentas individuales en su lugar.
## Epics
### Configure el módulo de receptor
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Clonar el repositorio. | Clona el repositorio GitHub de Observability Access Manager:git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform
| AWS DevOps, administrador de la nube, administrador de AWS |
| Especifique los valores de las propiedades del módulo receptor. | En el archivo `main.tf` (en la ****carpeta `deployments/aft-account-customizations/LOGGING/terraform/` del repositorio), especifique los valores de las siguientes propiedades:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obtener más información, consulte [AWS::Oam::Sink](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-sink.html)la CloudFormation documentación. | AWS DevOps, administrador de la nube, administrador de AWS |
| Instale el módulo receptor. | Exporte las credenciales de la cuenta Cuenta de AWS que haya seleccionado como cuenta de monitoreo e instale el módulo receptor Observability Access Manager:Terraform Init
Terrafom Plan
Terraform Apply
| AWS DevOps, administrador de la nube, administrador de AWS |
### Configure el módulo receptor
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Especifique los valores de las propiedades del módulo de enlace. | En el archivo `main.tf ` (en la ****carpeta `deployments/aft-account-customizations/LOGGING/terraform/` del repositorio), especifique los valores de las siguientes propiedades:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obtener más información, consulte [AWS::Oam::Link](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-link.html)la CloudFormation documentación. | AWS DevOps, administrador de nube, arquitecto de nube |
| Instale el módulo de enlace para cuentas individuales. | Exporte las credenciales de las cuentas individuales e instale el módulo de enlace Observability Access Manager:Terraform Plan
Terraform Apply
Puede configurar el módulo de enlace de forma individual para cada cuenta o usar [AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) para instalar automáticamente este módulo en una gran cantidad de cuentas. | AWS DevOps, administrador de nube, arquitecto de nube |
### Apruebe sink-to-link las conexiones
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Verifique el mensaje del estado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)A la derecha, debería ver el mensaje de estado **Supervisar la cuenta con una cuenta habilitada** con una marca de verificación verde. Esto significa que la cuenta de monitoreo tiene un receptor de Observability Access Manager al que se conectarán los enlaces de otras cuentas. | |
| Apruebe las link-to-sink conexiones. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obtener más información, consulte [Vincular las cuentas de supervisión con las cuentas de origen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account-Setup.html) en la CloudWatch documentación. | AWS DevOps, administrador de nube, arquitecto de nube |
### Verificar los datos de observabilidad entre cuentas
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Ver datos entre cuentas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) | AWS DevOps, administrador de nube, arquitecto de nube |
### (Opcional) Habilite las cuentas de origen para que confíen en la cuenta de monitoreo
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Consulte las métricas, los paneles, los registros, los widgets y las alarmas de otras cuentas. | Como función adicional,**** puede compartir CloudWatch las métricas, los paneles, los registros, los widgets y las alarmas con otras cuentas. Cada cuenta utiliza un rol de IAM denominado **CloudWatch: CrossAccountSharingRole ** para acceder a estos datos.Las cuentas de origen que tienen una relación de confianza con la cuenta de supervisión central pueden asumir esta función y ver los datos de la cuenta de supervisión.CloudWatch proporciona un ejemplo de CloudFormation script para crear el rol. Elija **Administrar el rol en IAM** y ejecute este script en las cuentas en las que desee ver los datos.{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root"
]
},
"Action": "sts:AssumeRole"
}
]
}Para obtener más información, consulte [Habilitar la funcionalidad multicuenta CloudWatch en](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html#enable-cross-account-cross-Region) la CloudWatch documentación. | AWS DevOps, administrador de nube, arquitecto de nube |
### (Opcional) Ver las cuentas y Regiones cruzadas desde la cuenta de monitoreo
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Configuración del acceso entre cuentas y regiones. | En la cuenta de supervisión central, si lo desea, puede añadir un selector de cuentas para cambiar fácilmente de una cuenta a otra y ver sus datos sin tener que autenticarse.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obtener más información, consulte la [ CloudWatch consola multicuentas y regiones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) en la documentación. CloudWatch | AWS DevOps, administrador de nube, arquitecto de nube |
## Recursos relacionados
+ [CloudWatch observabilidad entre cuentas (documentación de](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Amazon CloudWatch )
+ [Referencia de la API de Amazon CloudWatch Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) ( CloudWatch documentación de Amazon)
+ [Recurso: aws\$1oam\$1sink](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/oam_sink) (documentación de Terraform)
+ [Origen de datos: aws\$1oam\$1link](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/oam_link) (documentación de Terraform)
+ [CloudWatchObservabilityAccessManager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/oam.html)(documentación de AWS Boto3)