Configuration d’un groupe d’enquête - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d’un groupe d’enquête

Pour configurer CloudWatch des enquêtes dans votre compte afin de les utiliser dans le cadre d'une enquête améliorée, vous créez un groupe d'enquête. La création d’un groupe d’enquête est une tâche ponctuelle : une fois créé, ce groupe est utilisé pour toutes les autres enquêtes. Les paramètres du groupe d’enquête vous permettent de gérer de façon centralisée les propriétés communes de vos enquêtes, notamment :

  • Qui peut accéder aux enquêtes

  • Assistance intercomptes aux enquêtes pour accéder à des ressources dans d’autres comptes pendant une enquête

  • Chiffrement des données d’enquête à l’aide d’une clé  AWS Key Management Service gérée par le client.

  • La durée de conservation par défaut des enquêtes et de leurs données.

Vous ne pouvez avoir qu’un seul groupe d’enquête par compte. Chaque enquête créée dans votre compte fera partie de ce groupe.

Pour créer un groupe d'investigation, vous devez être connecté à un responsable IAM auquel est attachée la politique AdministratorAccessIAM ou à un compte disposant d'autorisations similaires. AIOpsConsoleAdminPolicy

Note

Pour pouvoir choisir l'option recommandée consistant à créer un nouveau rôle IAM pour les CloudWatch investigations opérationnelles, vous devez être connecté à un responsable IAM disposant des autorisations iam:CreateRoleiam:AttachRolePolicy, etiam:PutRolePolicy.

Important

CloudWatch les enquêtes utilisent l'inférence interrégionale pour répartir le trafic entre les différentes régions. AWS Pour de plus amples informations, veuillez consulter Inférence interrégionale.

Pour créer un groupe d’enquête dans votre compte

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation de gauche, sélectionnez AI Operations, Configuration.

  3. Sélectionnez Configurer pour ce compte.

  4. Modifiez éventuellement la période de conservation des enquêtes. Pour plus d’informations sur ce que couvre la période de conservation, consultez CloudWatch conservation des données relatives aux enquêtes.

  5. (Facultatif) Pour chiffrer les données de vos enquêtes à l’aide d’une clé  AWS KMS gérée par le client, sélectionnez Personnaliser les paramètres de chiffrement et suivez les étapes pour créer ou spécifier la clé à utiliser. Si vous ne spécifiez pas de clé gérée par le client, CloudWatch Investigations utilise une clé AWS détenue pour le chiffrement. Pour de plus amples informations, veuillez consulter Chiffrement des données d’enquête.

  6. Choisissez comment accorder aux CloudWatch enquêtes les autorisations d'accès aux ressources. Pour pouvoir sélectionner l’une des deux premières options ci-dessous, vous devez être connecté à un principal IAM disposant des autorisations iam:CreateRole, iam:AttachRolePolicy et iam:PutRolePolicy.

    1. (Recommandé) Sélectionnez Créer automatiquement un nouveau rôle avec les autorisations d’enquête par défaut. Des autorisations seront accordées à ce rôle en utilisant les politiques AWS gérées pour les opérations d'IA. Pour plus d'informations, consultez. Autorisations utilisateur pour votre groupe CloudWatch d'investigation

    2. Créez vous-même un nouveau rôle, puis attribuez les modèles de politiques.

    3. Sélectionnez Attribuer un rôle existant si vous disposez déjà d’un rôle comportant les autorisations que vous voulez utiliser.

      Si vous choisissez cette option, vous devez vous assurer que le rôle inclut une politique d’approbation désignant aiops.amazonaws.com comme principal de service. Pour plus d’informations sur l’utilisation des principaux de service dans les politiques d’approbation, consultez Principaux de service AWS.

      Nous vous recommandons également d’inclure une section Condition comportant le numéro de compte, afin d’éviter toute situation de confusion d’identité. L’exemple suivant de politique d’approbation illustre à la fois le principal de service et la section Condition.

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "aiops.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  7. Sélectionnez Créer un groupe d’enquête. Vous pouvez désormais créer une enquête à partir d’une alarme, d’une métrique ou d’un aperçu du journal.

Vous pouvez également configurer des paramètres supplémentaires recommandés pour enrichir votre expérience.

  1. Dans le volet de navigation de gauche, sélectionnez AI Operations, Configuration.

  2. Dans l'onglet Configuration facultative, choisissez les améliorations que vous souhaitez ajouter aux CloudWatch enquêtes.

  3. Dans Configurer l’accès intercompte, vous pouvez définir ce compte comme un compte de surveillance qui collecte des données provenant d’autres comptes sources de votre organisation. Pour de plus amples informations, veuillez consulter Enquêtes intercomptes.

  4. Pour des intégrations améliorées, choisissez d'autoriser les CloudWatch enquêtes à accéder à des services supplémentaires de votre système, afin de lui permettre de collecter davantage de données et d'être plus utile.

    1. Dans la section Balises pour la détection des limites des applications, saisissez les clés de balises personnalisées déjà utilisées pour vos applications personnalisées dans le système. Les balises de ressources aident CloudWatch les enquêtes à réduire l'espace de recherche lorsqu'elles ne parviennent pas à découvrir des relations précises entre les ressources. Par exemple, pour découvrir qu'un service Amazon ECS dépend d'une base de données Amazon RDS, les CloudWatch enquêtes peuvent découvrir cette relation à l'aide de sources de données telles que X-Ray et CloudWatch Application Signals. Toutefois, si vous n'avez pas déployé ces fonctionnalités, CloudWatch les enquêtes tenteront d'identifier d'éventuelles relations. Les limites des balises peuvent être utilisées pour limiter les ressources qui seront découvertes lors des CloudWatch enquêtes menées dans ces cas.

      Vous n'avez pas besoin de saisir les balises créées par MyApplications CloudFormation, car CloudWatch les enquêtes peuvent détecter automatiquement ces balises.

    2. CloudTrail enregistre les événements relatifs aux modifications apportées à votre système, y compris les événements de déploiement. Ces événements peuvent souvent être utiles aux CloudWatch enquêtes visant à créer des hypothèses sur les causes profondes des problèmes de votre système. Dans la section CloudTrailpour la détection des événements de changement, vous pouvez donner aux CloudWatch enquêtes un accès aux événements enregistrés en AWS CloudTrail activant Autoriser l'accès à l'assistant pour CloudTrail modifier les événements via l'historique des CloudTrail événements. Pour plus d'informations, consultez la section Utilisation de l'historique des CloudTrail événements.

    3. Les sections X-Ray pour la cartographie topologique et Signaux d'application pour l'évaluation de la santé mettent en évidence d'autres AWS services qui peuvent aider les enquêteurs à trouver CloudWatch des informations. Si vous les avez déployés et que vous avez accordé la politique AIOpsAssistantPolicyIAM aux CloudWatch investigations, ils pourront accéder à la télémétrie X-Ray et Application Signals.

      Pour plus d'informations sur la manière dont ces services facilitent CloudWatch les enquêtes, consultez X-Ray etCloudWatch Signaux d'application.

    4. Si vous utilisez Amazon EKS, votre groupe d' CloudWatch investigation peut utiliser les informations provenant directement de votre cluster Amazon EKS une fois que vous avez configuré les entrées d'accès. Pour de plus amples informations, veuillez consulter Intégration à Amazon EKS.

    5. Si vous utilisez Amazon RDS, activez le mode avancé de Database Insights sur vos instances de base de données. Database Insights surveille le chargement de la base de données et fournit une analyse détaillée des performances qui aide les enquêteurs à identifier les problèmes liés aux bases de données au cours des CloudWatch enquêtes. Lorsque Advanced Database Insights est activé, les CloudWatch enquêtes peuvent générer automatiquement des rapports d'analyse des performances qui incluent des observations détaillées, des anomalies métriques, une analyse des causes profondes et des recommandations spécifiques à la charge de travail de votre base de données. Pour plus d'informations sur Database Insights et sur la façon d'activer le mode avancé, consultez la section Surveillance des bases de données Amazon RDS avec CloudWatch Database Insights.

  5. Vous pouvez intégrer les CloudWatch enquêtes à un canal de discussion. Cela permet de recevoir des notifications concernant une enquête via le canal de discussion. CloudWatch les enquêtes prennent en charge les canaux de discussion dans les applications suivantes :

    • Slack

    • Microsoft Teams

    Si vous souhaitez intégrer à un canal de messagerie, nous vous recommandons d’effectuer quelques étapes supplémentaires avant d’activer cette amélioration dans votre groupe d’enquête. Pour de plus amples informations, veuillez consulter Intégration à des systèmes de messagerie tiers.

    Effectuez ensuite les étapes suivantes pour intégrer un canal de messagerie dans les applications de messagerie :

    • Dans la section Intégration du client de messagerie, choisissez Sélectionner une rubrique SNS.

    • Sélectionnez la rubrique SNS à utiliser pour envoyer des notifications relatives à vos enquêtes.