Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Memusatkan pemantauan dengan menggunakan Amazon CloudWatch Observability Access Manager *Anand Krishna Varanasi, JAGDISH KOMAKALA, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu, dan Balaji Vedagiri, Amazon Web Services* ## Ringkasan Observabilitas sangat penting untuk pemantauan, pemahaman, dan pemecahan masalah aplikasi. Aplikasi yang menjangkau beberapa akun, seperti implementasi dengan AWS Control Tower atau landing zone, menghasilkan sejumlah besar log dan data pelacakan. Untuk memecahkan masalah dengan cepat atau memahami analisis pengguna atau analitik bisnis, Anda memerlukan platform pengamatan umum di semua akun. Amazon CloudWatch Observability Access Manager memberi Anda akses ke, dan kontrol atas, beberapa log akun dari lokasi pusat. Anda dapat menggunakan Pengelola Akses Observabilitas untuk melihat dan mengelola log data observabilitas yang dihasilkan oleh akun sumber. Akun sumber adalah individu Akun AWS yang menghasilkan data observabilitas untuk sumber daya mereka. Data observabilitas dibagi antara akun sumber dan akun pemantauan. Data observabilitas bersama dapat mencakup metrik di Amazon CloudWatch, log di Amazon CloudWatch Logs, dan trace in. AWS X-Ray Untuk informasi selengkapnya, lihat [dokumentasi Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html). Pola ini untuk pengguna yang memiliki aplikasi atau infrastruktur yang berjalan di banyak Akun AWS dan membutuhkan tempat umum untuk melihat log. Ini menjelaskan bagaimana Anda dapat mengatur Observability Access Manager dengan menggunakan Terraform, untuk memantau status dan kesehatan aplikasi atau infrastruktur ini. Anda dapat menginstal solusi ini dengan berbagai cara: + Sebagai modul Terraform mandiri yang Anda atur secara manual + Dengan menggunakan pipeline continuous integration dan continuous delivery (CI/CD) + Dengan mengintegrasikan dengan solusi lain seperti [AWS Control Tower Account Factory for Terraform](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) (AFT) Instruksi di bagian [Epik](#centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager-epics) mencakup implementasi manual. Untuk langkah-langkah instalasi AFT, lihat file README untuk repositori GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform). ## Prasyarat dan batasan **Prasyarat** + [Terraform](https://www.terraform.io/) diinstal atau direferensikan di sistem Anda atau di saluran pipa otomatis. (Kami menyarankan Anda menggunakan [versi terbaru](https://releases.hashicorp.com/terraform/).) + Akun yang dapat Anda gunakan sebagai akun pemantauan pusat. Akun lain membuat tautan ke akun pemantauan pusat untuk melihat log. + (Opsional) Sebuah repositori kode sumber seperti GitHub,, Atlassian Bitbucket AWS CodeCommit, atau sistem serupa. Repositori kode sumber tidak diperlukan jika Anda menggunakan pipeline otomatis CI/CD . + (Opsional) Izin untuk membuat permintaan tarik (PRs) untuk peninjauan kode dan kolaborasi kode di GitHub. **Batasan** Observability Access Manager memiliki kuota layanan berikut, yang tidak dapat diubah. Pertimbangkan kuota ini sebelum Anda menerapkan fitur ini. Untuk informasi selengkapnya, lihat [kuota CloudWatch layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) dalam CloudWatch dokumentasi. + **Tautan akun sumber**: Anda dapat menautkan setiap akun sumber ke maksimal lima akun pemantauan. + **Tenggelam**: Anda dapat membuat beberapa sink untuk akun, tetapi hanya satu wastafel per yang AWS Region diizinkan. Selain itu: + Wastafel dan tautan harus dibuat dalam hal yang sama AWS Region; mereka tidak bisa lintas wilayah. **Pemantauan Lintas Wilayah dan lintas akun** Untuk pemantauan lintas wilayah dan lintas akun, Anda dapat memilih salah satu opsi ini: + Buat [ CloudWatch dasbor lintas akun dan lintas wilayah](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) untuk alarm dan metrik. Opsi ini tidak mendukung log dan jejak. + Menerapkan [logging terpusat](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) dengan menggunakan Amazon OpenSearch Service. + Buat satu sink per Wilayah dari semua akun penyewa, dorong metrik ke akun pemantauan terpusat (seperti yang dijelaskan dalam pola ini), lalu gunakan [aliran CloudWatch metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Metric-Streams.html) untuk mengirim data ke tujuan eksternal umum atau ke produk pemantauan pihak ketiga seperti Datadog, Dynatrace, Sumo Logic, Splunk, atau New Relic. ## Arsitektur **Komponen** CloudWatch Observability Access Manager terdiri dari dua komponen utama yang memungkinkan observabilitas lintas akun: + *Wastafel* menyediakan kemampuan untuk akun sumber untuk mengirim data observabilitas ke akun pemantauan pusat. Wastafel pada dasarnya menyediakan persimpangan gateway untuk akun sumber untuk terhubung. Hanya ada satu gateway atau koneksi sink, dan beberapa akun dapat terhubung dengannya. + Setiap akun sumber memiliki *tautan* ke persimpangan gateway sink, dan data observabilitas dikirim melalui tautan ini. Anda harus membuat wastafel sebelum membuat tautan dari setiap akun sumber. **Arsitektur ** Diagram berikut menggambarkan Observability Access Manager dan komponen-komponennya. ![Arsitektur untuk observabilitas lintas akun dengan sink dan tautan.](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/00603763-4f99-456e-85e7-a80d803b087d/images/5188caf9-348b-4d91-b560-2b3d6ea81191.png) ## Alat **Layanan AWS** + [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time. + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya. **Alat** + [Terraform](https://www.terraform.io/) adalah alat infrastruktur sebagai kode (IAc) HashiCorp yang membantu Anda membuat dan mengelola sumber daya cloud dan lokal. + [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) menyiapkan pipeline Terraform untuk membantu Anda menyediakan dan menyesuaikan akun. AWS Control Tower Anda dapat menggunakan AFT secara opsional untuk menyiapkan Observability Access Manager dalam skala besar di beberapa akun. **Repositori kode** Kode untuk pola ini tersedia di repositori GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform). ## Praktik terbaik + Di AWS Control Tower lingkungan, tandai akun logging sebagai akun pemantauan pusat (sink). + Jika Anda memiliki beberapa organisasi dengan beberapa akun AWS Organizations, sebaiknya sertakan organisasi, bukan akun individual dalam kebijakan konfigurasi. Jika Anda memiliki sejumlah kecil akun atau jika akun tersebut bukan bagian dari organisasi dalam kebijakan konfigurasi sink, Anda dapat memutuskan untuk menyertakan akun individual sebagai gantinya. ## Epik ### Siapkan modul wastafel | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Kloning repositori. | Kloning repositori GitHub Observability Access Manager:
git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform
| AWS DevOps, administrator Cloud, administrator AWS | | Tentukan nilai properti untuk modul wastafel. | Dalam `main.tf` file (dalam `deployments/aft-account-customizations/LOGGING/terraform/`**** folder repositori), tentukan nilai untuk properti berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Untuk informasi lebih lanjut, lihat [AWS::Oam::Sink](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-sink.html)di CloudFormation dokumentasi. | AWS DevOps, administrator Cloud, administrator AWS | | Pasang modul wastafel. | Ekspor kredensil Akun AWS yang telah Anda pilih sebagai akun pemantauan, dan instal modul sink Observability Access Manager:
Terraform Init
Terrafom Plan
Terraform Apply
| AWS DevOps, administrator Cloud, administrator AWS | ### Siapkan modul tautan | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Tentukan nilai properti untuk modul tautan. | Dalam `main.tf ` file (dalam `deployments/aft-account-customizations/LOGGING/terraform/`**** folder repositori), tentukan nilai untuk properti berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Untuk informasi lebih lanjut, lihat [AWS::Oam::Link](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-link.html)di CloudFormation dokumentasi. | AWS DevOps, Administrator cloud, arsitek Cloud | | Instal modul tautan untuk akun individual. | Ekspor kredensil akun individual dan instal modul tautan Observability Access Manager:
Terraform Plan
Terraform Apply

Anda dapat mengatur modul tautan satu per satu untuk setiap akun, atau menggunakan [AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) untuk menginstal modul ini secara otomatis di sejumlah besar akun. | AWS DevOps, Administrator cloud, arsitek Cloud | ### Menyetujui koneksi sink-to-link | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Periksa pesan status. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Di sebelah kanan, Anda akan melihat pesan status **Akun pemantauan diaktifkan** dengan tanda centang hijau. Ini berarti bahwa akun pemantauan memiliki wastafel Manajer Akses Observabilitas yang akan terhubung ke tautan akun lain. | | | Menyetujui link-to-sink koneksi. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Untuk informasi selengkapnya, lihat [Menautkan akun pemantauan dengan akun sumber](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account-Setup.html) dalam CloudWatch dokumentasi. | AWS DevOps, Administrator cloud, arsitek Cloud | ### Verifikasi data observabilitas lintas akun | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Lihat data lintas akun. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) | AWS DevOps, Administrator cloud, arsitek Cloud | ### (Opsional) Aktifkan akun sumber untuk mempercayai akun pemantauan | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Lihat metrik, dasbor, log, widget, dan alarm dari akun lain. | Sebagai fitur tambahan,**** Anda dapat berbagi CloudWatch metrik, dasbor, log, widget, dan alarm dengan akun lain. Setiap akun menggunakan peran IAM yang disebut **CloudWatch- CrossAccountSharingRole ** untuk mendapatkan akses ke data ini.
Akun sumber yang memiliki hubungan kepercayaan dengan akun pemantauan pusat dapat mengambil peran ini dan melihat data dari akun pemantauan.
CloudWatch menyediakan contoh CloudFormation skrip untuk membuat peran. Pilih **Kelola peran di IAM** dan jalankan skrip ini di akun tempat Anda ingin melihat data.
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Untuk informasi selengkapnya, lihat [Mengaktifkan fungsionalitas lintas akun CloudWatch dalam](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html#enable-cross-account-cross-Region) dokumentasi. CloudWatch | AWS DevOps, Administrator cloud, arsitek Cloud | ### (Opsional) Lihat lintas akun Lintas wilayah dari akun pemantauan | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Siapkan akses lintas akun, lintas wilayah. | Di akun pemantauan pusat, Anda dapat menambahkan pemilih akun untuk dengan mudah beralih antar akun dan melihat datanya tanpa harus mengautentikasi.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Untuk informasi selengkapnya, lihat [ CloudWatch Konsol lintas wilayah lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) di dokumentasi. CloudWatch | AWS DevOps, Administrator cloud, arsitek Cloud | ## Sumber daya terkait + [CloudWatch observabilitas lintas akun (dokumentasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Amazon CloudWatch ) + [Referensi API Manajer Akses CloudWatch Observabilitas](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) Amazon ( CloudWatch dokumentasi Amazon) + [Sumber daya: aws\_oam\_sink](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/oam_sink) (dokumentasi Terraform) + [Sumber Data: aws\_oam\_link](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/oam_link) (Dokumentasi Terraform) + [CloudWatchObservabilityAccessManager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/oam.html)(AWS Dokumentasi Boto3)