本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 跨帳戶調查
透過跨帳戶 CloudWatch 調查,您可以從集中式監控帳戶調查橫跨多個 AWS 帳戶 的應用程式問題。除監控帳戶之外,此功能還可讓您關聯最多 25 個帳戶的遙測資料、指標和日誌,以全面掌握分散式應用程式的運作狀況,並解決複雜的多帳戶情境問題。
**Topics**
+ [先決條件](#Investigations-cross-account-prereq)
+ [針對跨帳戶存取權設定監控帳戶](#Investigations-cross-account-monitoring-account)
+ [針對跨帳戶存取權設定來源帳戶](#Investigations-cross-account-source-account)
+ [調查多帳戶問題](#Investigations-cross-account-investigation)
## 先決條件
+ 多帳戶調查要求您必須先設定跨帳戶可觀測性,才能檢視跨帳戶遙測。若要完成先決條件,請設定[跨帳戶可觀測性](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/centralize-monitoring-by-using-amazon-cloudwatch-observability-access-manager.html)或[跨帳戶儀表板](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Cross-Account-Cross-Region.html)。
+ 設定調查群組。為實現跨帳戶可觀測性,這應該在監控帳戶中完成。也可以在來源帳戶中設定,並在這裡執行單一帳戶調查。
## 針對跨帳戶存取權設定監控帳戶
**針對跨帳戶存取權設定監控帳戶**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在左側導覽窗格中,選擇 **AI 操作**、**組態**。
1. 在**設定跨帳戶存取權**下,選取**設定**。
1. 在**列出來源帳戶區段**,新增最多 25 個帳戶的帳戶 ID。
1. 更新 IAM 角色。
1. 自動
+ 如果您選擇**自動更新助手角色 (建議)**,會建立名為 `AIOpsAssistantCrossAccountPolicy-${guid}` 的客戶管理政策,其中包含在指定來源帳戶中擔任助手角色所需的 `sts:AssumeRole` 陳述式。選擇自動更新選項時,來源帳戶中的 IAM 角色名稱預設為 `AIOps-CrossAccountInvestigationRole`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole",
"arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
]
}
}
```
------
+ 如果監控帳戶擁有者從跨帳戶組態中移除來源帳戶,IAM 政策不會自動更新。您必須手動更新 IAM 角色和政策,確保其始終具有可能的最低許可。
+ 如果移除來源帳戶時未手動更新許可,可能會達到每個角色所能管理的政策數量上限。您必須刪除連結到調查角色的任何未使用管理政策。
1. 手動
+ 下列範例顯示助手角色所需的信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAIOpsAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "aiops.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "arn:aws:aiops:us-east-1:123456789012:investigation-group/AaBbcCDde1EfFG2g"
}
}
}
]
}
```
------
您可以使用 AWS CLI 建立自訂來源帳戶角色,然後使用下列命令將 `AIOpsAssistantPolicy` 連接至角色,將預留位置值取代為您的環境的適當值:
```
aws iam create-role
--role-name custom-role-name
--assume-role-policy-document
'{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "AWS": "investigation-group-role-arn"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
} } } ] }'
aws iam attach-role-policy
--role-name custom-role-name
--policy-arn arn:aws:iam::aws:policy/AIOpsAssistantPolicy
```
+ 若要授與跨帳戶存取權,監控帳戶中助手角色的許可政策必須包含下列項目。如果要手動設定監控帳戶,角色名稱可以是您選擇的任意名稱。它不會預設為 `AIOps-CrossAccountInvestigationRole`,請務必為每個來源帳戶指定助手角色的名稱。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::777777777777:role/custom_source_account_role_name",
"arn:aws:iam::555555555555:role/custom_source_account_role_name",
"arn:aws:iam::666666666666:role/custom_source_account_role_name"
]
}
}
```
------
+ 使用 AWS CLI 使用以下命令,以自訂來源帳戶角色 ARN 更新監控帳戶調查群組,將預留位置值取代為您的環境的適當值:
```
aws aiops update-investigation-group
--identifier investigation-group-id
--cross-account-configurations sourceRoleArn=sourceRoleArn1 sourceRoleArn=sourceRoleArn2
```
如需此命令的詳細資訊,請參閱 [AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/reference/aiops/update-investigation-group.html)。
## 針對跨帳戶存取權設定來源帳戶
1. 如果您選取**自動更新助手角色**選項來設定監控帳戶,請使用名稱 `AIOps-CrossAccountInvestigationRole` 佈建 IAM 角色。如果使用手動設定選項,使用自訂的來源帳戶角色名稱佈建 IAM 角色。
1. 將 AWS 受管政策`AIOpsAssistantPolicy`連接至 IAM 主控台中的 角色。
1. 來源帳戶上角色的信任政策看起來如下所示。`ExternalID` 必須在政策上指定。使用監控帳戶調查群組 ARN。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
}
]
}
```
------
1. 這必須在每個來源帳戶中完成。
1. 如果您透過主控台設定監控帳戶角色,來源帳戶的角色名稱將預設為 `AIOps-CrossAccountInvestionRole`。
1. 登入監控帳戶、導覽至**調查群組**,然後依序選擇**組態**、**跨帳戶設定**,以確認存取權。
請確定來源帳戶顯示在跨帳戶組態中,且狀態為**已連結至監控帳戶**。
## 調查多帳戶問題
設定 CloudWatch 跨帳戶可觀測性儀表板後,可以從監控帳戶中的跨帳戶遙測檢視和展開調查。必須從來源帳戶新增跨帳戶遙測,才能對該來源帳戶執行調查。
如需如何建立調查的詳細資訊,請參閱[調查您環境中的操作問題](Investigations-Investigate.md)。