As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Centralize o monitoramento usando o Amazon CloudWatch Observability Access Manager *Anand Krishna Varanasi, Jagdish Komakula, Ashish Kumar, Jimmy Morgan, Sarat Chandra Pothula, Vivek Thangamuthu e Balaji Vedagiri, Amazon Web Services* ## Resumo A observabilidade é crucial para monitorar, entender e solucionar problemas de aplicativos. Aplicativos que abrangem várias contas, como implementações de landing zone AWS Control Tower ou landing zone, geram um grande número de registros e rastreiam dados. Para solucionar problemas rapidamente ou entender a análise de usuários ou a análise de negócios, você precisa de uma plataforma de observabilidade comum em todas as contas. O Amazon CloudWatch Observability Access Manager oferece acesso e controle sobre vários registros de contas a partir de um local central. Você pode usar o Gerente de Acesso à Observabilidade para visualizar e gerenciar registros de dados de observabilidade gerados pelas contas de origem. As contas de origem são individuais Contas da AWS que geram dados de observabilidade para seus recursos. Os dados de observabilidade são compartilhados entre contas de origem e as de monitoramento. Os dados de observabilidade compartilhados podem incluir métricas na Amazon CloudWatch, registros no Amazon CloudWatch Logs e rastreamentos. AWS X-Ray Para obter mais informações, consulte [Referência de API do Gerente de Acesso à Observabilidade](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html). Esse padrão é para usuários que têm aplicativos ou infraestrutura executados em vários Contas da AWS e precisam de um local comum para visualizar os registros. Ele explica como você pode configurar o Gerente de Acesso à Observabilidade usando o Terraform para monitorar o status e a integridade desses aplicativos ou infraestrutura. Você pode instalar esta solução de diversas formas: + Como um módulo do Terraform independente, que você configura manualmente + Ao usar um pipeline de integração contínua e entrega contínua (CI/CD) + Ao realizar a integração com outras soluções, como o [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) As instruções na seção [Épicos](#centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager-epics) abrangem a implementação manual. Para as etapas de instalação do AFT, consulte o arquivo README do repositório do GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform). ## Pré-requisitos e limitações **Pré-requisitos ** + O [Terraform](https://www.terraform.io/) instalado ou referenciado em seu sistema ou em tubulações automatizadas. (É recomendável usar a versão [mais recente](https://releases.hashicorp.com/terraform/).) + Uma conta que você pode usar como uma conta de monitoramento central. Outras contas criam links para a conta de monitoramento central para visualizar os logs. + (Opcional) Um repositório de código-fonte GitHub, como AWS CodeCommit, Atlassian Bitbucket ou sistema similar. Um repositório de código-fonte não é necessário se você estiver usando CI/CD pipelines automatizados. + (Opcional) Permissões para criar pull requests (PRs) para revisão de código e colaboração de código em GitHub. **Limitações** O Gerente de Acesso à Observabilidade tem as seguintes Service Quotas, que não podem ser alteradas. Considere essas cotas antes de implantar esse atributo. Para obter mais informações, consulte as [cotas de CloudWatch serviço](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) na CloudWatch documentação. + **Links da conta de origem**: você pode vincular cada conta de origem a no máximo cinco contas de monitoramento. + **Coletores**: você pode criar vários coletores para uma conta, mas somente um coletor por conta Região da AWS é permitido. Além disso: + Os coletores e links devem ser criados da mesma forma Região da AWS; eles não podem ser interregionais. **Monitoramento entre regiões e entre contas** Para o monitoramento entre regiões e entre contas, você pode escolher uma das seguintes opções: + Crie [ CloudWatch painéis entre contas e regiões](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) para alarmes e métricas. Essa opção não é compatível com registros em log e rastreamentos. + Implemente o [registro centralizado](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) usando o Amazon OpenSearch Service. + Crie um coletor por região a partir de todas as contas de locatários, envie métricas para uma conta de monitoramento centralizada (conforme descrito neste padrão) e, em seguida, use [fluxos de CloudWatch métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Metric-Streams.html) para enviar os dados para um destino externo comum ou para produtos de monitoramento de terceiros, como Datadog, Dynatrace, Sumo Logic, Splunk ou New Relic. ## Arquitetura **Componentes** CloudWatch O Observability Access Manager consiste em dois componentes principais que permitem a observabilidade entre contas: + Um *coletor* permite que as contas de origem enviem dados de observabilidade para a conta de monitoramento central. Basicamente, um coletor fornece uma junção de gateway para as contas de origem se conectarem. Só pode haver um gateway ou conexão de coletor, e várias contas podem se conectar a ele. + Cada conta de origem tem um *link* para a junção do gateway do coletor e os dados de observabilidade são enviados por meio desse link. Você deve criar um coletor antes de criar links de cada conta de origem. **Arquitetura** O diagrama a seguir ilustra o Gerente de Acesso à Observabilidade e seus componentes. ![\[Arquitetura para observabilidade entre contas com coletores e links.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/00603763-4f99-456e-85e7-a80d803b087d/images/5188caf9-348b-4d91-b560-2b3d6ea81191.png) ## Ferramentas **Serviços da AWS** + CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real. + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente. + [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los. **Ferramentas** + [O Terraform](https://www.terraform.io/) é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local. + AWS Control Tower O [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) configura um pipeline do Terraform para ajudá-lo a provisionar e personalizar contas em. AWS Control Tower Opcionalmente, você pode usar o AFT para configurar o Gerente de Acesso à Observabilidade em escala em várias contas. **Repositório de código** O código desse padrão está disponível no repositório do GitHub [Observability Access Manager](https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform). ## Práticas recomendadas + Em AWS Control Tower ambientes, marque a conta de registro como a conta de monitoramento central (coletor). + Se você tiver várias organizações com várias contas AWS Organizations, recomendamos que você inclua as organizações em vez de contas individuais na política de configuração. Se você tiver um pequeno número de contas ou se as contas não fizerem parte de uma organização na política de configuração do coletor, você pode optar por incluir contas individuais. ## Épicos ### Configure o módulo coletor | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Clonar o repositório. | Clone o repositório do GitHub Observability Access Manager:
git clone https://github.com/aws-samples/cloudwatch-obervability-access-manager-terraform
| AWS DevOps, administrador da nuvem, administrador da AWS | | Especifique os valores das propriedades para o módulo coletor. | No arquivo `main.tf` (na pasta `deployments/aft-account-customizations/LOGGING/terraform/`**** do repositório), especifique valores para as seguintes propriedades:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obter mais informações, consulte [AWS::Oam::Sink](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-sink.html)a CloudFormation documentação. | AWS DevOps, administrador da nuvem, administrador da AWS | | Instale o módulo sink. | Exporte as credenciais da Conta da AWS que você selecionou como conta de monitoramento e instale o módulo coletor do Observability Access Manager:
Terraform Init
Terrafom Plan
Terraform Apply
| AWS DevOps, administrador da nuvem, administrador da AWS | ### Configure o módulo do coletor | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Especifique os valores da propriedade para o módulo de link. | No arquivo `main.tf ` (na pasta `deployments/aft-account-customizations/LOGGING/terraform/`**** do repositório), especifique valores para as seguintes propriedades:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obter mais informações, consulte [AWS::Oam::Link](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-oam-link.html)a CloudFormation documentação. | AWS DevOps, administrador de nuvem, arquiteto de nuvem | | Instale o módulo de link para contas individuais. | Exporte as credenciais de contas individuais e instale o módulo de link do Gerente de Acesso à Observabilidade:
Terraform Plan
Terraform Apply
Você pode configurar o módulo do link individualmente para cada conta ou usar o [AFT](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) para instalar automaticamente esse módulo em várias contas. | AWS DevOps, administrador de nuvem, arquiteto de nuvem | ### Aprovar conexões sink-to-link | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Verificar a mensagem de status. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)À direita, você deve ver a mensagem de status **Conta de monitoramento habilitada** com uma marca de seleção verde. Isso significa que a conta de monitoramento tem um coletor do Gerente de Acesso à Observabilidade ao qual os links de outras contas se conectarão. | | | Aprove as link-to-sink conexões. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obter mais informações, consulte [Vincular contas de monitoramento com contas de origem](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account-Setup.html) na CloudWatch documentação. | AWS DevOps, administrador de nuvem, arquiteto de nuvem | ### Verifique os dados de observabilidade entre contas | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Visualize dados entre contas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html) | AWS DevOps, administrador de nuvem, arquiteto de nuvem | ### (Opcional) Permita que as contas de origem confiem na conta de monitoramento | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Visualize métricas, painéis, logs, widgets e alarmes de outras contas. | Como recurso adicional,**** você pode compartilhar CloudWatch métricas, painéis, registros, widgets e alarmes com outras contas. Cada conta usa uma função do IAM chamada **CloudWatch- CrossAccountSharingRole ** para obter acesso a esses dados.As contas de origem que têm uma relação de confiança com a conta central de monitoramento podem assumir essa função e visualizar dados da conta de monitoramento.CloudWatch fornece um CloudFormation script de exemplo para criar a função. Escolha **Gerenciar perfil no IAM** e execute esse script nas contas em que você deseja visualizar os dados.
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root",
                    "arn:aws:iam::XXXXXXXXX:root"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Para obter mais informações, consulte [Habilitando a funcionalidade entre contas CloudWatch na](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html#enable-cross-account-cross-Region) CloudWatch documentação. | AWS DevOps, administrador de nuvem, arquiteto de nuvem | ### (Opcional) Visualizar entre contas e entre regiões a partir da conta de monitoramento | Tarefa | Description | Habilidades necessárias | | --- | --- | --- | | Configure o acesso entre contas e entre regiões. | Na conta central de monitoramento, você pode, opcionalmente, adicionar um seletor de contas para alternar facilmente entre contas e visualizar seus dados sem precisar se autenticar.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)Para obter mais informações, consulte [ CloudWatch Console multiregional entre contas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html) na CloudWatch documentação. | AWS DevOps, administrador de nuvem, arquiteto de nuvem | ## Recursos relacionados + [CloudWatch observabilidade entre contas (documentação](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) da Amazon CloudWatch ) + [Referência da API do Amazon CloudWatch Observability Access Manager](https://docs.aws.amazon.com/OAM/latest/APIReference/Welcome.html) ( CloudWatch documentação da Amazon) + [Recurso: aws\$1oam\$1sink](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/oam_sink) (documentação do Terraform) + [Fonte de dados: aws\$1oam\$1link](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/oam_link) (documentação do Terraform) + [CloudWatchObservabilityAccessManager](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/oam.html)(Documentação AWS do Boto3)