Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Investigasi lintas akun
CloudWatch Investigasi lintas akun memungkinkan Anda untuk menyelidiki masalah aplikasi yang mencakup beberapa Akun AWS dari akun pemantauan terpusat. Fitur ini memungkinkan Anda untuk mengkorelasikan data telemetri, metrik, dan log di hingga 25 akun, selain akun pemantauan, untuk mendapatkan visibilitas komprehensif ke dalam aplikasi terdistribusi dan memecahkan masalah skenario multi-akun yang kompleks.
**Topics**
+ [Prasyarat](#Investigations-cross-account-prereq)
+ [Siapkan akun pemantauan Anda untuk akses lintas akun](#Investigations-cross-account-monitoring-account)
+ [Siapkan akun sumber Anda untuk akses lintas akun](#Investigations-cross-account-source-account)
+ [Menyelidiki masalah multi-akun](#Investigations-cross-account-investigation)
## Prasyarat
+ Investigasi multi-akun mengharuskan Anda untuk sudah menyiapkan observabilitas lintas akun untuk melihat telemetri lintas akun. [Untuk melengkapi prasyarat, siapkan [observabilitas lintas akun atau dasbor lintas akun](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html).](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html)
+ Siapkan grup investigasi. Untuk observabilitas lintas akun, ini harus ada di akun pemantauan. Anda juga dapat mengaturnya di akun sumber dan menjalankan penyelidikan akun tunggal di sana.
## Siapkan akun pemantauan Anda untuk akses lintas akun
**Siapkan akun pemantauan Anda untuk akses lintas akun**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi kiri, pilih **Operasi AI**, **Konfigurasi**.
1. Di bawah **Konfigurasi akses Lintas akun**, pilih **Konfigurasi**.
1. Tambahkan ID Akun hingga 25 akun di bawah bagian **Daftar akun sumber**.
1. Perbarui peran IAM Anda.
1. Secara otomatis
+ Jika Anda memilih **Memperbarui peran asisten secara otomatis (disarankan)**, ini akan membuat kebijakan terkelola pelanggan bernama `AIOpsAssistantCrossAccountPolicy-${guid}` yang menyertakan `sts:AssumeRole` pernyataan yang diperlukan untuk mengambil peran asisten di akun sumber yang ditentukan. Memilih opsi pembaruan otomatis secara default nama peran IAM `AIOps-CrossAccountInvestigationRole` di akun sumber.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
]
}
}
```
------
+ Jika pemilik akun pemantauan menghapus akun sumber dari konfigurasi lintas akun, kebijakan IAM tidak akan diperbarui secara otomatis. Anda harus memperbarui peran dan kebijakan IAM secara manual untuk memastikan selalu memiliki izin seminimal mungkin.
+ Anda dapat mencapai batas kebijakan terkelola per peran jika izin tidak diperbarui secara manual saat akun sumber dihapus. Anda harus menghapus kebijakan terkelola yang tidak terpakai yang dilampirkan pada peran investigasi Anda.
1. Secara manual
+ Contoh berikut menunjukkan kebijakan kepercayaan yang diperlukan untuk peran asisten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAIOpsAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
}
}
}
]
}
```
------
Anda dapat menggunakan AWS CLI untuk membuat peran akun sumber kustom dan kemudian melampirkan `AIOpsAssistantPolicy` ke peran menggunakan perintah berikut, menggantikan nilai placeholder dengan nilai yang sesuai untuk lingkungan Anda:
```
aws iam create-role
--role-name custom-role-name
--assume-role-policy-document
'{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "AWS": "investigation-group-role-arn"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
} } } ] }'
aws iam attach-role-policy
--role-name custom-role-name
--policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy
```
+ Untuk memberikan akses lintas akun, kebijakan izin peran asisten dalam akun pemantauan harus berisi hal-hal berikut. Jika Anda mengonfigurasi akun pemantauan secara manual, nama peran dapat berupa apa pun yang Anda pilih. Itu tidak default ke`AIOps-CrossAccountInvestigationRole`, pastikan untuk menentukan nama peran asisten untuk masing-masing akun sumber.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/custom_source_account_role_name",
"arn:aws:iam::555555555555:role/custom_source_account_role_name",
"arn:aws:iam::666666666666:role/custom_source_account_role_name"
]
}
}
```
------
+ Gunakan AWS CLI untuk memperbarui grup investigasi akun pemantauan dengan ARN peran akun sumber kustom menggunakan perintah berikut, menggantikan nilai placeholder dengan nilai yang sesuai untuk lingkungan Anda:
```
aws aiops update-investigation-group
--identifier investigation-group-id
--cross-account-configurations sourceRoleArn=sourceRoleArn1 sourceRoleArn=sourceRoleArn2
```
Untuk detail lebih lanjut tentang perintah ini, lihat Referensi [Perintah AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/aiops/update-investigation-group.html).
## Siapkan akun sumber Anda untuk akses lintas akun
1. Menyediakan peran IAM dengan nama `AIOps-CrossAccountInvestigationRole` jika Anda memilih opsi **Perbarui peran asisten secara otomatis** untuk menyiapkan akun pemantauan. Jika Anda menggunakan opsi penyiapan manual, berikan peran IAM dengan nama peran akun sumber yang disesuaikan.
1. Lampirkan kebijakan AWS terkelola `AIOpsAssistantPolicy` ke peran di konsol IAM.
1. Kebijakan kepercayaan peran pada akun sumber terlihat seperti ini. `ExternalID`harus ditentukan pada kebijakan. Gunakan kelompok investigasi akun pemantauan ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
}
]
}
```
------
1. Ini harus dilakukan di setiap akun sumber.
1. Jika Anda mengatur peran akun pemantauan melalui konsol, nama peran akun sumber akan menjadi default. `AIOps-CrossAccountInvestionRole`
1. Konfirmasikan akses dengan masuk ke akun pemantauan, navigasikan ke **Grup Investigasi**, lalu **Konfigurasi**, lalu pilih Penyiapan **lintas** akun.
Pastikan akun sumber muncul dalam konfigurasi lintas akun, dan statusnya **Ditautkan ke akun pemantauan**.
## Menyelidiki masalah multi-akun
Setelah menyiapkan dasbor observabilitas CloudWatch lintas akun, Anda dapat melihat dan menyelidiki dari telemetri lintas akun di akun pemantauan Anda. Anda harus menambahkan telemetri lintas akun dari akun sumber untuk menjalankan penyelidikan ke akun sumber tersebut.
Untuk informasi rinci tentang cara membuat investigasi, lihat[Selidiki masalah operasional di lingkungan Anda](Investigations-Investigate.md).