Comment résoudre les problèmes d'enregistrement ainsi que de surveillance d'événements de Network Manager ?

Date de la dernière mise à jour : 12/08/2022

Je ne parviens pas à enregistrer ma passerelle de transit sur le réseau mondial ni à surveiller le réseau mondial avec Amazon CloudWatch Events. Comment puis-je résoudre ce problème ?

Résolution

Pour résoudre les problèmes d'enregistrement ainsi que de surveillance d'événements d'AWS Network Manager, procédez comme suit :

Vérifiez la configuration de votre réseau mondial et votre enregistrement de passerelle de transit

Tout d'abord, assurez-vous que vous avez déjà créé un réseau mondial. Pour créer un réseau mondial en tant qu'utilisateur AWS Identity and Access Management (IAM), vous devez disposer du rôle lié au service (SLR) nommé AWSServiceRoleForNetworkManager. Pour plus d'informations, reportez-vous à Rôles liés aux services AWS Network Manager. Pour obtenir des instructions sur la création d'un rôle lié au service, voir Utilisation de rôles liés au service.

Ensuite, confirmez que vous avez enregistré la passerelle de transit auprès de votre réseau mondial à l'aide de la console Network Manager ou de l'interface de la ligne de commande AWS (AWS CLI). Si vous recevez des erreurs lors de l'exécution de commandes à partir de l'interface de la ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.
Remarque : vous devez spécifier la région USA Ouest (Oregon) si vous utilisez l'AWS CLI ou le kit SDK AWS.

Si la passerelle de transit ne se trouve pas sur le même compte AWS que le compte global, confirmez les points suivants :

  • La passerelle de transit et les comptes globaux font partie de la même organisation AWS. Pour plus d'informations, voir Gérer plusieurs comptes dans Network Manager avec AWS Organizations.
  • L'accès autorisé est activé pour déployer les SLR et les rôles IAM personnalisés requis sur le compte de passerelle de transit. Un accès autorisé est requis pour que le compte de gestion ou le compte d'administrateur délégué assume ces rôles.
  • L'accès multicompte est activé. Il est recommandé d'activer l'accès multicompte à l'aide de la console Network Manager. La console Network Manager crée automatiquement tous les rôles et autorisations requis pour un accès autorisé et permet d'enregistrer les administrateurs délégués.

Vérifier votre configuration Amazon CloudWatch Log Insights

Vérifiez que vous avez intégré CloudWatch Logs Insights. Pour confirmer que vous avez intégré CloudWatch Logs Insights, exécutez la commande suivante :

aws logs describe-resource-policies --region us-west-2

Ensuite, vérifiez qu'une politique de ressources CloudWatch portant le nom DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents est créée dans la région USA Ouest (Oregon). Les ressources suivantes doivent également être présentes :

  • Une règle CloudWatch Event portant le nom DO_NOT_DELETE_networkmanager_rule dans la région USA Ouest (Oregon).
  • Un groupe de journaux CloudWatch Logs portant le nom /aws/events/networkmanagerloggroup dans la région USA Ouest (Oregon)
  • La règle CloudWatch Event est configurée avec le groupe de journaux CloudWatch Logs comme cible.

Si vous ne parvenez pas à intégrer CloudWatch Logs Insights, vérifiez que l'utilisateur ou le rôle IAM dispose des autorisations suivantes pour effectuer cette action :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

Remarque : vous devez spécifier la région USA Ouest (Oregon) si vous utilisez l'AWS CLI ou le kit SDK AWS.

Pour obtenir des instructions, reportez-vous à Ajout d'autorisations à un utilisateur (console) ou Modification d'une politique d'autorisations de rôle (console).

Vérifiez votre configuration de surveillance CloudWatch Events

Tout d'abord, assurez-vous d'avoir créé un réseau mondial et d'avoir intégré CloudWatch Logs Insights.

Remarque : les événements de surveillance ne sont capturés qu'après l'enregistrement de la passerelle de transit dans le réseau mondial. Toute modification apportée à la passerelle de transit avant l'enregistrement n'apparaîtra pas sous la surveillance des événements.

Si vous ne parvenez toujours pas à surveiller les événements, vérifiez les points suivants :

  • La règle CloudWatch Event portant le nom DO_NOT_DELETE_networkmanager_rule a été appelée pour chaque événement capturé. Cette action doit être effectuée dans la région USA Ouest (Oregon).
  • Le graphe FailedInvocations de la règle d'événement DO_NOT_DELETE_networkmanager_rule est 0. Localisez le graphe FailedInvocations en accédant à la règle d'événement nommée DO_NOT_DELETE_networkmanager_rule, puis choisissez l'onglet Surveillance.
  • Si des appels de règles réussis correspondent à des événements capturés, vérifiez que ces événements sont présents dans le groupe de journaux CloudWatch Logs avec le nom /aws/events/networkmanagerloggroup dans la région USA Ouest (Oregon).

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?