¿Cómo soluciono los problemas de registro y supervisión de eventos de Network Manager?

Última actualización: 12-08-2022

No puedo registrar mi puerta de enlace de tránsito en la red global ni supervisar la red global con Eventos de Amazon CloudWatch. ¿Cómo se soluciona este problema?

Resolución

Para solucionar problemas de registro y supervisión de eventos de AWS Network Manager, haga lo siguiente:

Verificar la configuración de su red global y el registro de la puerta de enlace de tránsito

En primer lugar, asegúrese de haber creado una red global. Para crear una red global como usuario de AWS Identity and Access Management (IAM), debe tener el rol vinculado al servicio (service-linked role, SLR) denominado AWSServiceRoleForNetworkManager. Para obtener más información, consulte AWS Network Manager service-linked roles (Roles vinculados a servicio de AWS Network Manager). Para obtener instrucciones sobre cómo crear roles vinculados a servicios, consulte Uso de roles vinculados a servicios.

A continuación, confirme que registró la puerta de enlace de tránsito en su red global mediante la consola de Network Manager o la Interfaz de la línea de comandos de AWS (AWS CLI). Si se producen errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de que utiliza la versión más reciente de la AWS CLI.
Nota: Debe especificar la región Oeste de EE. UU. (Oregón) si utiliza la AWS CLI o el SDK de AWS.

Si la puerta de enlace de tránsito no se encuentra en la misma cuenta de AWS que la cuenta global, confirme lo siguiente:

  • La puerta de enlace de tránsito y las cuentas globales forman parte de la misma organización de AWS. Para obtener más información, consulte Manage multiple accounts in Network Manager with AWS Organizations (Administrar varias cuentas en Network Manager con AWS Organizations).
  • Trusted access (Acceso de confianza) está activado para implementar los SLR necesarias y roles de IAM personalizados en la cuenta de la puerta de enlace de tránsito. Se requiere que el acceso de confianza esté activado para que la cuenta de administración o la cuenta de administrador delegado asuman estas funciones.
  • Multi-account access (Acceso multicuenta) está activado. Se recomienda activar el acceso multicuenta mediante la consola de Network Manager. La consola de Network Manager crea automáticamente todos los roles y permisos necesarios para el acceso de confianza y permite el registro de administradores delegados.

Comprobar la configuración de Información de registros de Amazon CloudWatch

Confirme que ha realizado la integración con Información de registros de CloudWatch. Para confirmar que se ha realizado la integración con Información de registros de CloudWatch, ejecute el siguiente comando:

aws logs describe-resource-policies --region us-west-2

A continuación, compruebe que se haya creado una política de recursos de CloudWatch con el nombre DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents en la región Oeste de EE. UU. (Oregón). También deben estar presentes los siguientes recursos:

  • Una regla de eventos de CloudWatch con el nombre DO_NOT_DELETE_networkmanager_rule en la región Oeste de EE. UU. (Oregón).
  • Un grupo de registros de CloudWatch Logs con el nombre /aws/events/networkmanagerloggroup en la región Oeste de EE. UU. (Oregón)
  • La regla de eventos de CloudWatch se configura con el grupo de registros de CloudWatch Logs como destino.

Si no puede incorporar Información de registros de CloudWatch, compruebe que el usuario o el rol de IAM tengan los siguientes permisos para realizar esta acción:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

Nota: Debe especificar la región Oeste de EE. UU. (Oregón) si utiliza la AWS CLI o el SDK de AWS.

Para obtener instrucciones, consulte Adding permissions to a user (console) (Agregar permisos a un usuario [consola]) o Modifying a role permissions policy (console) (Modificar una política de permisos de roles [consola]) según el caso de uso.

Comprobar la configuración de supervisión de CloudWatch Events

En primer lugar, asegúrese de haber creado una red global y de haber realizado la integración con Información de registros de CloudWatch.

Nota: Los eventos de supervisión se capturan solo después de registrar la puerta de enlace de tránsito en la red global. Los cambios realizados en la puerta de enlace de tránsito antes del registro no se mostrarán en la supervisión de eventos.

Si sigue sin poder supervisar los eventos, confirme lo siguiente:

  • Se invocó la regla de eventos de CloudWatch con el nombre DO_NOT_DELETE_networkmanager_rule para cada evento capturado. Esta acción debe realizarse en la región Oeste de EE. UU. (Oregón).
  • El gráfico FailedInvocations para la regla de eventos DO_NOT_DELETE_networkmanager_rule es 0. Acceda a la regla de eventos con el nombre DO_NOT_DELETE_networkmanager_rule, busque el gráfico FailedInvocations y, a continuación, seleccione la pestaña Monitoring (Supervisión).
  • Si hay invocaciones de reglas correctas que coincidan con los eventos capturados, confirme que estos eventos están presentes en el grupo de registros de CloudWatch Logs con el nombre /aws/events/networkmanagerloggroup en la región Oeste de EE. UU. (Oregón).

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?