Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Indagini tra account
CloudWatch Le indagini su più account consentono di esaminare i problemi delle applicazioni che si estendono su più account Account AWS da un account di monitoraggio centralizzato. Questa funzionalità consente di correlare dati di telemetria, metriche e log su un massimo di 25 account, oltre all'account di monitoraggio, per ottenere una visibilità completa sulle applicazioni distribuite e risolvere scenari complessi che interessano più account.
**Topics**
+ [Prerequisiti](#Investigations-cross-account-prereq)
+ [Configurazione dell'account di monitoraggio per l'accesso multi-account](#Investigations-cross-account-monitoring-account)
+ [Configurazione dell'account di origine per l'accesso multi-account](#Investigations-cross-account-source-account)
+ [Indagini su problemi tra account](#Investigations-cross-account-investigation)
## Prerequisiti
+ Per le indagini tra account, è necessario che sia già configurata l'osservabilità tra account al fine di visualizzare le telemetrie dei vari account. Per soddisfare il prerequisito, configura l'[osservabilità tra account](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) o il [pannello di controllo per tutti gli account](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html).
+ Configura un gruppo di indagine. Per l'osservabilità tra account, questo dovrebbe avvenire nell'account di monitoraggio. Puoi anche configurare i gruppi negli account di origine ed eseguire indagini su singoli account all'interno degli stessi.
## Configurazione dell'account di monitoraggio per l'accesso multi-account
**Configurazione dell'account di monitoraggio per l'accesso multi-account**
1. Apri la console all'indirizzo. CloudWatch [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)
1. Nel pannello di navigazione a sinistra, scegli **Operazioni di IA**, **Configurazione**.
1. In **Configura l'accesso multi-account**, seleziona **Configura**.
1. Aggiungi l'ID account per un massimo di 25 account nella sezione **Elenca account di origine**.
1. Aggiorna il ruolo IAM.
1. Automaticamente
+ Se scegli **Aggiorna automaticamente il ruolo di assistente (consigliato)**, viene creata una policy gestita dal cliente denominata `AIOpsAssistantCrossAccountPolicy-${guid}` che include le istruzioni `sts:AssumeRole` necessarie per assumere il ruolo di assistente negli account di origine specificati. La scelta dell'opzione di aggiornamento automatico imposta come valore predefinito il nome del ruolo IAM su `AIOps-CrossAccountInvestigationRole` negli account di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
]
}
}
```
------
+ Se il proprietario dell'account di monitoraggio rimuove un account di origine dalla configurazione tra account, la policy IAM non si aggiornerà automaticamente. Devi aggiornare manualmente il ruolo e la policy IAM per assicurarti che disponga sempre delle autorizzazioni minime possibili.
+ Potresti raggiungere il limite di policy gestite per ruolo se le autorizzazioni non vengono aggiornate manualmente quando viene rimosso un account di origine. È necessario eliminare tutte le policy gestite non utilizzate associate al ruolo di indagine.
1. Manualmente
+ Nell'esempio seguente viene illustrata la policy di attendibilità richiesta per il ruolo di assistente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAIOpsAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
}
}
}
]
}
```
------
Puoi utilizzare il AWS CLI per creare il ruolo personalizzato dell'account di origine e quindi collegarlo `AIOpsAssistantPolicy` al ruolo utilizzando i seguenti comandi, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente:
```
aws iam create-role
--role-name custom-role-name
--assume-role-policy-document
'{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "AWS": "investigation-group-role-arn"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
} } } ] }'
aws iam attach-role-policy
--role-name custom-role-name
--policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy
```
+ Per concedere l'accesso multi-account, la policy di autorizzazione del ruolo di assistente nell'account di monitoraggio deve contenere quanto segue. Se configuri manualmente l'account di monitoraggio, puoi assegnare al ruolo il nome che preferisci. `AIOps-CrossAccountInvestigationRole` non è l'impostazione predefinita: assicurati di specificare il nome del ruolo di assistente per ciascuno degli account di origine.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/custom_source_account_role_name",
"arn:aws:iam::555555555555:role/custom_source_account_role_name",
"arn:aws:iam::666666666666:role/custom_source_account_role_name"
]
}
}
```
------
+ Usa il AWS CLI per aggiornare il gruppo di indagine dell'account di monitoraggio con il ruolo ARN dell'account di origine personalizzato utilizzando il seguente comando, sostituendo i valori segnaposto con i valori appropriati per il tuo ambiente:
```
aws aiops update-investigation-group
--identifier investigation-group-id
--cross-account-configurations sourceRoleArn=sourceRoleArn1 sourceRoleArn=sourceRoleArn2
```
Per ulteriori dettagli su questo comando, consulta la [documentazione di riferimento dei comandi di AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/aiops/update-investigation-group.html).
## Configurazione dell'account di origine per l'accesso multi-account
1. Assegna il nome `AIOps-CrossAccountInvestigationRole` a un ruolo IAM se hai selezionato l'opzione **Aggiorna automaticamente il ruolo di assistente** per configurare l'account di monitoraggio. Se hai utilizzato l'opzione di configurazione manuale, fornisci al ruolo IAM il nome del ruolo personalizzato dell'account di origine.
1. Collega la policy AWS gestita `AIOpsAssistantPolicy` al ruolo nella console IAM.
1. La policy di attendibilità del ruolo sull'account di origine si presenta così. `ExternalID`deve essere specificato nella policy. Utilizza l'ARN del gruppo di indagine dell'account di monitoraggio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
}
]
}
```
------
1. Questa operazione deve essere eseguita in ciascuno degli account di origine.
1. Se si configura il ruolo dell'account di monitoraggio tramite la console, il nome del ruolo dell'account di origine viene impostato per impostazione predefinita su `AIOps-CrossAccountInvestionRole`.
1. Per confermare l'accesso, accedi all'account di monitoraggio, seleziona **Gruppo di indagine** e quindi **Configurazione**, poi scegli **Configurazione dell'accesso multi-account**.
Assicurati che l'account di origine compaia nella configurazione tra account e che lo stato sia **Collegato all'account di monitoraggio**.
## Indagini su problemi tra account
Dopo aver configurato la dashboard di osservabilità CloudWatch tra account, puoi visualizzare e analizzare i dati di telemetria tra account presenti nel tuo account di monitoraggio. È necessario aggiungere la telemetria tra account dall'account di origine per eseguire un'indagine su tale account di origine.
Per informazioni dettagliate su come creare un'indagine, consulta [Esamina i problemi operativi nel tuo ambiente](Investigations-Investigate.md).