ネットワークマネージャーの登録とイベントモニタリングの問題のトラブルシューティング方法を教えてください。
トランジットゲートウェイをグローバルネットワークに登録できず、Amazon CloudWatch Events でグローバルネットワークをモニタリングできません。この解決方法を教えてください。
解決方法
AWS ネットワークマネージャーの登録とイベントモニタリングの問題のトラブルシューティングを行うには、以下を実行します。
グローバルネットワーク設定とトランジットゲートウェイの登録を確認する
まず、グローバルネットワークが既に作成されていることを確認してください。AWS ID およびアクセス管理 (IAM) ユーザーとしてグローバルネットワークを作成するには、AWSServiceRoleForNetworkManager という名前のサービスにリンクされたロール (SLR) が必要です。詳細については、「AWS ネットワークマネージャーサービスにリンクされたロール」を参照してください。サービスにリンクされたロールの作成手順については、「サービスにリンクされたロールの使用」を参照してください。
次に、ネットワークマネージャーコンソールまたは AWS コマンドラインインターフェイス (AWS CLI) を使用して、トランジットゲートウェイをグローバルネットワークに登録したことを確認します。AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
注: AWS CLI または AWS SDK を使用している場合は、米国西部 (オレゴン) リージョンを指定する必要があります。
トランジットゲートウェイがグローバルアカウントと同じ AWS アカウントにない場合は、以下を確認します。
- トランジットゲートウェイとグローバルアカウントは、同じ AWS Organization の一部です。詳細については、「AWS Organizations のネットワークマネージャーで複数のアカウントを管理する」を参照してください。
- 必要な SLR とカスタム IAM ロールをトランジットゲートウェイアカウントにデプロイするために、信頼されたアクセスがオンになります。管理アカウントまたは委任された管理者アカウントがこれらのロールを引き受けるには、信頼できるアクセスが必要です。
- マルチアカウントアクセスがオンになっています。ネットワークマネージャーコンソールを使用してマルチアカウントアクセスをオンにするのがベストプラクティスです。ネットワークマネージャーコンソールは、信頼できるアクセスに必要なすべてのロールとアクセス許可を自動的に作成し、委任された管理者を登録できるようにします。
Amazon CloudWatch ログインサイト設定を確認する
CloudWatch Logs Insights でオンボーディングしたことを確認します。CloudWatch Logs Insights をオンボーディングしたことを確認するには、次のコマンドを実行します。
aws logs describe-resource-policies --region us-west-2
次に、DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents という名前の CloudWatch リソースポリシーが、米国西部 (オレゴン) リージョンに作成されていることを確認します。次のリソースも存在する必要があります。
- 米国西部 (オレゴン) リージョンにおけるDO_NOT_DELETE_networkmanager_rule という名前の CloudWatch イベントルール。
- 米国西部 (オレゴン) リージョンにおける /aws/events/networkmanagerloggroup という名前の CloudWatch Logs ロググループ
- CloudWatch イベントルールは、CloudWatch Logs ロググループをターゲットとして設定されます。
CloudWatch Logs Insights にオンボーディングできない場合は、IAM ユーザーまたはロールにこのアクションを実行するための次のアクセス許可があることを確認します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:PutTargets", "events:DescribeRule", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies", "events:PutRule", "logs:CreateLogGroup" ], "Resource": "*" } ] }
注: AWS CLI または AWS SDK を使用している場合は、米国西部 (オレゴン) リージョンを指定する必要があります。
ロールの許可の追加と変更については、「ユーザーへの許可の追加 (コンソール)」または「ロールの許可ポリシーの変更 (コンソール)」を参照してください。
CloudWatch Events のモニタリング設定を確認する
まず、グローバルネットワークを作成し、CloudWatch Logs Insights でオンボーディングしていることを確認します。
注: モニタリングイベントは、グローバルネットワークにトランジットゲートウェイを登録した後にのみキャプチャされます。登録前にトランジットゲートウェイに加えられた変更は、イベントモニタリングに表示されません。
それでもイベントをモニタリングできない場合は、以下を確認してください。
- キャプチャされた各イベントに対して、DO_NOT_DELETE_networkmanager_rule という名前の CloudWatch イベントルールが呼び出されました。このアクションは、米国西部 (オレゴン) リージョンで実行する必要があります。
- イベントルール DO_NOT_DELETE_networkmanager_rule の [FailedInvocations] グラフは 0 です。DO_NOT_DELETE_networkmanager_rule という名前のイベントルールにアクセスして FailedInvocations グラフを見つけ、[モニタリング] タブを選択します。
- キャプチャされたイベントと一致するルール呼び出しが成功した場合、これらのイベントが、米国西部 (オレゴン) リージョンの /aws/events/networkmanagerloggroup という名前のCloudWatch Logs ロググループに存在することを確認します。