네트워크 관리자 등록 및 이벤트 모니터링 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

AWS Network Manager 등록 및 이벤트 모니터링 문제를 해결하려면 다음을 수행합니다.

글로벌 네트워크 구성 및 전송 게이트웨이 등록 확인

먼저 글로벌 네트워크를 이미 생성했는지 확인합니다. AWS Identity and Access Management(IAM) 사용자로 글로벌 네트워크를 생성하려면 네트워크 관리자에 대한 AWSServiceRoleForNetworkManager라는 이름의 서비스 연결 역할(SLR)이 있어야 합니다. 자세한 내용은 AWS 네트워크 관리자 서비스 연결 역할을 참조하십시오. 서비스 연결 역할 만들기에 대한 지침은 서비스 연결 역할 사용을 참조하십시오.

그런 다음 네트워크 관리자 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 글로벌 네트워크에 전송 게이트웨이를 등록했는지 확인합니다. AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.
참고: AWS CLI 또는 AWS SDK를 사용하는 경우 미국 서부(오레곤) 리전을 지정해야 합니다.

전송 게이트웨이가 글로벌 계정과 동일한 AWS 계정에 있지 않은 경우 다음을 확인합니다.

• 전송 게이트웨이와 글로벌 계정은 동일한 AWS 조직에 속해 있습니다. 자세한 내용은 AWS Organizations를 사용하여 네트워크 관리자에서 여러 계정 관리를 참조하십시오.
• 신뢰할 수 있는 액세스는 필요한 SLR 및 사용자 지정 IAM 역할을 전송 게이트웨이 계정에 배포할 수 있도록 설정되어 있습니다. 관리 계정 또는 위임된 관리자 계정이 이러한 역할을 수임하려면 신뢰할 수 있는 액세스가 필요합니다.
• 다중 계정 액세스가 켜져 있습니다. 네트워크 관리자 콘솔을 사용하여 다중 계정 액세스를 설정하는 것이 가장 좋습니다. Network Manager 콘솔은 신뢰할 수 있는 액세스에 필요한 모든 역할과 권한을 자동으로 생성하며 위임된 관리자를 등록할 수 있게 허용합니다.

Amazon CloudWatch Log Insights 구성 확인

CloudWatch Logs Insights를 사용하여 온보딩했는지 여부를 확인합니다. CloudWatch 로그 인사이트를 사용하여 온보딩했는지 여부를 확인하려면 다음 명령을 실행합니다.

aws logs describe-resource-policies --region us-west-2

그런 다음 이름이 DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents인 CloudWatch 리소스 정책이 미국 서부(오레곤) 리전에서 생성되었는지 확인합니다. 다음 리소스도 있어야 합니다.

• 미국 서부(오레곤) 리전의 이름이 DO_NOT_DELETE_networkmanager_rule인 CloudWatch Event 규칙입니다.
• 미국 서부(오레곤) 리전의 이름이 /aws/events/networkmanagerloggroup인 CloudWatch Logs 로그 그룹
• CloudWatch 이벤트 규칙은 CloudWatch Logs 로그 그룹을 대상으로 구성되어 있습니다.

CloudWatch Logs Insights에 온보딩할 수 없는 경우 IAM 사용자 또는 역할에 이 작업을 수행할 수 있는 다음 권한이 있는지 확인하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

참고: AWS CLI 또는 AWS SDK를 사용하는 경우 미국 서부(오레곤) 리전을 지정해야 합니다.

역할 권한을 추가 또는 수정하려면 사용자에게 권한 추가(콘솔) 또는 역할 권한 정책 수정(콘솔)을 참조하십시오.

CloudWatch 이벤트 모니터링 구성 확인

먼저 글로벌 네트워크를 생성하고 CloudWatch Logs Insights를 통해 온보딩했는지 여부를 확인합니다.

참고: 모니터링 이벤트는 글로벌 네트워크에 전송 게이트웨이를 등록한 후에만 캡처할 수 있습니다. 등록 전에 전송 게이트웨이에서 변경한 사항은 이벤트 모니터링에 표시되지 않습니다.

그래도 이벤트를 모니터링할 수 없는 경우 다음을 확인합니다.

• 캡처한 각 이벤트에 대해 이름이 DO_NOT_DELETE_networkmanager_rule인 CloudWatch Event 규칙이 호출되었습니다. 이 작업은 미국 서부(오레곤) 리전에서 수행해야 합니다.
• FailedInvocations 그래프(이벤트 규칙 DO_NOT_DELETE_networkmanager_rule 관련)는 0입니다. FailedInvocations 그래프를 위치시키려면 DO_NOT_DELETE_networkmanager_rule라는 이름의 이벤트 규칙에 액세스하고, 그런 다음 모니터링 탭을 선택합니다.
• 캡처된 이벤트와 일치하는 규칙 호출이 성공한 경우 이러한 이벤트가 CloudWatch Logs 로그 그룹에 미국 서부(오레곤) 리전의 /aws/events/networkmanagerloggroup이라는 이름으로 있는지 확인합니다.

---