Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Centralizza il monitoraggio utilizzando Amazon CloudWatch Observability Access Manager
*Anand Krishna Varanasi, JAGDISH KOMAKULA, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu e Balaji Vedagiri, Amazon Web Services*
## Riepilogo
L'osservabilità è fondamentale per il monitoraggio, la comprensione e la risoluzione dei problemi delle applicazioni. Le applicazioni che si estendono su più account, come nelle AWS Control Tower nostre implementazioni di landing zone, generano un gran numero di log e dati di traccia. Per risolvere rapidamente i problemi o comprendere l'analisi degli utenti o l'analisi aziendale, è necessaria una piattaforma di osservabilità comune per tutti gli account. Amazon CloudWatch Observability Access Manager ti consente di accedere e controllare più log di account da una posizione centrale.
Puoi utilizzare Observability Access Manager per visualizzare e gestire i log dei dati di osservabilità generati dagli account di origine. Gli account di origine sono singoli Account AWS che generano dati di osservabilità per le proprie risorse. I dati di osservabilità vengono condivisi tra gli account di origine e gli account di monitoraggio. I dati di osservabilità condivisi possono includere metriche in Amazon CloudWatch, log in Amazon CloudWatch Logs e tracce in. AWS X-Ray Per ulteriori informazioni, consulta la documentazione di [Observability](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) Access Manager.
Questo modello è destinato agli utenti che dispongono di applicazioni o infrastrutture eseguite su più sistemi Account AWS e necessitano di un posto comune in cui visualizzare i log. Spiega come configurare Observability Access Manager utilizzando Terraform, per monitorare lo stato e l'integrità di queste applicazioni o infrastrutture. È possibile installare questa soluzione in diversi modi:
+ Come modulo Terraform autonomo da configurare manualmente
+ Utilizzando una pipeline di integrazione e distribuzione continua (CI/CD)
+ Integrandosi con altre soluzioni come [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html)
Le istruzioni nella sezione [Epics](#centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager-epics) riguardano l'implementazione manuale. Per i passaggi di installazione di AFT, consulta il file README per il repository GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform).
## Prerequisiti e limitazioni
**Prerequisiti**
+ [Terraform](https://www.terraform.io/) è installato o referenziato nel sistema o in pipeline automatizzate. (Ti consigliamo di utilizzare la [versione più recente](https://releases.hashicorp.com/terraform/).)
+ Un account che puoi utilizzare come account di monitoraggio centralizzato. Altri account creano collegamenti all'account di monitoraggio centrale per visualizzare i registri.
+ (Facoltativo) Un archivio di codice sorgente come GitHub Atlassian Bitbucket o un sistema simile. AWS CodeCommit Un archivio di codice sorgente non è necessario se utilizzi pipeline automatizzate. CI/CD
+ (Facoltativo) Autorizzazioni per creare richieste pull (PRs) per la revisione e la collaborazione del codice in. GitHub
**Limitazioni**
Observability Access Manager ha le seguenti quote di servizio, che non possono essere modificate. Considerate queste quote prima di implementare questa funzionalità. Per ulteriori informazioni, consulta le [quote CloudWatch di servizio nella documentazione](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html). CloudWatch
+ **Collegamenti agli account di origine**: puoi collegare ciascun account di origine a un massimo di cinque account di monitoraggio.
+ **Lavandini**: puoi creare più sink per un account, ma Regione AWS è consentito un solo sink per account.
Inoltre:
+ I sink e i link devono essere creati nello stesso ambiente Regione AWS; non possono essere interregionali.
**Monitoraggio interregionale e interaccount**
Per il monitoraggio interregionale e tra più account, puoi scegliere una di queste opzioni:
+ Crea [ CloudWatch dashboard per più account e più regioni per allarmi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) e metriche. Questa opzione non supporta log e tracce.
+ Implementa [la registrazione centralizzata](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) utilizzando Amazon OpenSearch Service.
+ Crea un sink per regione da tutti gli account tenant, invia i parametri a un account di monitoraggio centralizzato (come descritto in questo schema), quindi utilizza i [flussi di CloudWatch metrici](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Metric-Streams.html) per inviare i dati a una destinazione esterna comune o a prodotti di monitoraggio di terze parti come Datadog, Dynatrace, Sumo Logic, Splunk o New Relic.
## Architecture
**Componenti**
CloudWatch Observability Access Manager è costituito da due componenti principali che consentono l'osservabilità tra account:
+ Un *sink* offre agli account di origine la possibilità di inviare dati di osservabilità all'account di monitoraggio centrale. Un sink fornisce fondamentalmente una giunzione gateway a cui gli account di origine possono connettersi. Può esserci solo un gateway o una connessione sink e più account possono connettersi ad esso.
+ Ogni account di origine ha un *collegamento* alla giunzione del sink gateway e i dati di osservabilità vengono inviati tramite questo collegamento. È necessario creare un sink prima di creare collegamenti da ciascun account di origine.
**Architettura**
Il diagramma seguente illustra Observability Access Manager e i suoi componenti.
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.
**Strumenti**
+ [Terraform](https://www.terraform.io/) è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.
+ [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) imposta una pipeline Terraform per aiutarti a fornire e personalizzare gli account. AWS Control Tower Facoltativamente, puoi utilizzare AFT per configurare Observability Access Manager su larga scala su più account.
**Archivio di codice**
Il codice per questo modello è disponibile nel repository di GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform).
## Best practice
+ Negli AWS Control Tower ambienti, contrassegna l'account di registrazione come account di monitoraggio centrale (sink).
+ Se hai più organizzazioni con più account AWS Organizations, ti consigliamo di includere le organizzazioni anziché i singoli account nella politica di configurazione. Se disponi di un numero limitato di account o se gli account non fanno parte di un'organizzazione nella politica di configurazione del sink, potresti decidere di includere invece account individuali.
## Epiche
### Configura il modulo lavandino
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Clonare il repository. | Clonare il repository di GitHub Observability Access Manager:git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform
| AWS DevOps, amministratore cloud, amministratore AWS |
| Specificare i valori delle proprietà per il modulo sink. | Nel `main.tf` file (nella `deployments/aft-account-customizations/LOGGING/terraform/`**** cartella del repository), specificate i valori per le seguenti proprietà:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Per ulteriori informazioni, [AWS::Oam::Sink](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-sink.html)consulta la CloudFormation documentazione. | AWS DevOps, amministratore cloud, amministratore AWS |
| Installa il modulo sink. | Esporta le credenziali dell'account Account AWS che hai selezionato come account di monitoraggio e installa il modulo sink di Observability Access Manager:Terraform Init
Terrafom Plan
Terraform Apply
| AWS DevOps, amministratore cloud, amministratore AWS |
### Configura il modulo di collegamento
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Specificate i valori delle proprietà per il modulo di collegamento. | Nel `main.tf ` file (nella `deployments/aft-account-customizations/LOGGING/terraform/`**** cartella del repository), specificate i valori per le seguenti proprietà:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Per ulteriori informazioni, consulta la [AWS::Oam::Link](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-link.html) CloudFormation documentazione. | AWS DevOps, amministratore cloud, architetto cloud |
| Installa il modulo di collegamento per i singoli account. | Esporta le credenziali dei singoli account e installa il modulo di collegamento Observability Access Manager:Terraform Plan
Terraform Apply
È possibile configurare il modulo di collegamento individualmente per ciascun account o utilizzare [AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) per installare automaticamente questo modulo su un gran numero di account. | AWS DevOps, amministratore cloud, architetto cloud |
### Approva le connessioni sink-to-link
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Controlla il messaggio di stato. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Sulla destra, dovresti vedere il messaggio di stato **Monitoraggio dell'account abilitato** con un segno di spunta verde. Ciò significa che l'account di monitoraggio dispone di un sink di Observability Access Manager a cui si collegheranno i collegamenti di altri account. | |
| Approva le connessioni. link-to-sink | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Per ulteriori informazioni, consulta [Collegare gli account di monitoraggio agli account di origine](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account-Setup.html) nella CloudWatch documentazione. | AWS DevOps, amministratore cloud, architetto cloud |
### Verifica i dati di osservabilità tra account
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Visualizza i dati relativi a più account. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) | AWS DevOps, amministratore cloud, architetto cloud |
### (Facoltativo) Consenti agli account di origine di considerare attendibili gli account di monitoraggio
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Visualizza metriche, dashboard, registri, widget e allarmi di altri account. | Come funzionalità aggiuntiva,**** puoi condividere CloudWatch metriche, dashboard, registri, widget e allarmi con altri account. Ogni account utilizza un ruolo IAM chiamato **CloudWatch- CrossAccountSharingRole ** per accedere a questi dati.
Gli account di origine che hanno un rapporto di fiducia con l'account di monitoraggio centrale possono assumere questo ruolo e visualizzare i dati dell'account di monitoraggio.
CloudWatch fornisce uno CloudFormation script di esempio per creare il ruolo. Scegli **Gestisci il ruolo in IAM** ed esegui questo script negli account in cui desideri visualizzare i dati.{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root",
"arn:aws:iam::XXXXXXXXX:root"
]
},
"Action": "sts:AssumeRole"
}
]
}
Per ulteriori informazioni, consulta [Attivazione della funzionalità tra account CloudWatch nella](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html#enable-cross-account-cross-Region) CloudWatch documentazione. | AWS DevOps, amministratore cloud, architetto cloud |
### (Facoltativo) Visualizza più account Interregionali dall'account di monitoraggio
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Configura l'accesso su più account e più regioni. | Nell'account di monitoraggio centralizzato, puoi aggiungere facoltativamente un selettore di account per passare facilmente da un account all'altro e visualizzarne i dati senza dover autenticarti.[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)
Per ulteriori informazioni, consulta Console [interregionale CloudWatch tra account](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) nella documentazione. CloudWatch | AWS DevOps, amministratore cloud, architetto cloud |
## Risorse correlate
+ [CloudWatch osservabilità tra account (documentazione](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) Amazon CloudWatch )
+ [Riferimento all'API Amazon CloudWatch Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) ( CloudWatch documentazione Amazon)
+ [Risorsa: aws\_oam\_sink (documentazione Terraform](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/oam_sink))
+ Fonte dati: aws\_oam\_link ([documentazione Terraform](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/oam_link))
+ [CloudWatchObservabilityAccessManager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/oam.html)AWS (Documentazione Boto3)