Initialisieren von Network Flow Monitor für die Überwachung mehrerer Konten - Amazon CloudWatch
Einrichtung mehrerer Konten im ÜberblickKonfiguration AWS OrganizationsHinzufügen mehrerer KontenHinzufügen von Berechtigungen für die Konsole

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Initialisieren von Network Flow Monitor für die Überwachung mehrerer Konten

Wenn Sie Netzwerkflüsse in Network Flow Monitor für Ressourcen überwachen möchten, die unterschiedlichen Konten gehören, müssen Sie Amazon zunächst CloudWatch mit konfigurieren AWS Organizations. Um mehrere Konten in Network Flow Monitor verwenden zu können, müssen Sie den vertrauenswürdigen Zugriff für aktivieren CloudWatch, und es hat sich bewährt, auch einen delegierten Administrator zu registrieren.

Wenn Sie über die Konsole Monitore für Netzwerk-Flows erstellen möchten, müssen Sie der Rolle, die Ihren Ressourcen angefügt ist, außerdem eine Network-Flow-Monitor-Richtlinie hinzufügen. Die Richtlinie ermöglicht Ihnen, Ressourcen von anderen Konten in der Konsole anzuzeigen. Dadurch können Sie die Ressourcen mehrerer Konten einem Monitor hinzufügen.

Um Netzwerk-Flows für Ressourcen zu überwachen, die verschiedenen Konten gehören, müssen zusätzliche Konfigurationsschritte durchgeführt werden. Zunächst müssen Sie als Verwaltungskonto CloudWatch mit konfigurieren, AWS Organizations um den vertrauenswürdigen Zugriff zu aktivieren, und in der Regel registrieren Sie auch ein delegiertes Administratorkonto. Anschließend können Sie mit dem delegierten Administratorkonto weitere Konten in Ihrer Organisation hinzufügen, um den Geltungsbereich für Ihre Netzwerkbeobachtbarkeit festzulegen, sodass er Ressourcen in diesen Konten beinhaltet. (Sie können mehrere Konten auch mit einem Verwaltungskonto hinzufügen, aber in Organizations hat es sich bewährt, das delegierte Administratorkonto zu verwenden, wenn Sie mit Ressourcen in einem Service arbeiten. Entsprechende Schritte finden Sie hier in den Anweisungen für Network Flow Monitor.)

Wenn Sie Netzwerk-Flows nicht für Instances von mehreren Konten überwachen müssen, können Sie Network Flow Monitor mit einem einzigen Konto verwenden. Der Bereich für Network Flow Monitor wird automatisch auf das AWS Konto festgelegt, mit dem Sie sich anmelden.

Verwenden Sie die Anleitung in den folgenden Abschnitten, um diese Schritte auszuführen.

Übersicht der Schritte zur Verwendung mehrerer Konten in Network Flow Monitor

Network Flow Monitor muss in jedem Konto initialisiert werden, in dem der Service noch nicht verwendet wurde. Wenn Sie Network Flow Monitor für ein Konto initialisieren, werden die erforderlichen serviceverknüpften Rollenberechtigungen hinzugefügt und ein Geltungsbereich mit dem Konto oder den Konten erstellt, die in die Netzwerkbeobachtbarkeit aufgenommen werden sollen. Um in Network Flow Monitor mit mehreren Konten zu arbeiten, müssen Sie die Konten AWS Organizations, mit denen Sie arbeiten möchten, integrieren und anschließend hinzufügen.

Insgesamt führen Sie die folgenden Schritte aus:

  1. Melden Sie sich AWS-Managementkonsole als Verwaltungskonto an und gehen Sie dann wie folgt vor:

    • Führen Sie die erforderlichen Schritte für die Integration mit AWS Organizations in aus CloudWatch.

  2. Melden Sie sich AWS-Managementkonsole als delegiertes Administratorkonto an, und gehen Sie dann wie folgt vor:

    • Initialisieren Sie Network Flow Monitor und fügen Sie Konten hinzu, die in Ihren Geltungsbereich aufgenommen werden sollen.

    • Fügen Sie über die Konsole die erforderlichen Berechtigungen für den Zugriff auf Ressourcen hinzu, die sich in anderen Konten befinden.

Wenn Sie Network Flow Monitor für die Arbeit mit mehreren Konten einrichten und damit nicht vertraut sind AWS Organizations, lesen Sie die folgenden Ressourcen, um mehr über Konzepte wie das Verwaltungskonto, den vertrauenswürdigen Zugriff und das delegierte Administratorkonto zu erfahren und zu erfahren, wie Sie Organizations mit CloudWatch integrieren können.

Schritte zur Konfiguration von Network Flow Monitor für mehrere Konten finden Sie in den folgenden Abschnitten.

Konfigurieren Sie AWS Organizations in CloudWatch

Um Network Flow Monitor mit zu konfigurieren AWS Organizations, melden Sie sich beim Verwaltungskonto an und aktivieren Sie den vertrauenswürdigen Zugriff für CloudWatch. Registrieren Sie anschließend ein delegiertes Administratorkonto, mit dem Sie Network Flow Monitor initialisieren und mehrere Konten hinzufügen.

Wenn Sie Organizations bereits so konfiguriert haben CloudWatch , dass vertrauenswürdiger Zugriff für Organizations aktiviert wird, CloudWatch und ein delegiertes Administratorkonto registriert haben, müssen Sie für Organizations nichts weiter konfigurieren, was spezifisch für Network Flow Monitor ist. Sie können sich mit dem delegierten Administratorkonto für anmelden und anschließend Network Flow Monitor initialisieren CloudWatch, einschließlich des Hinzufügens mehrerer Konten für Ihren Netzwerkbeobachtbarkeitsbereich.

Wenn Sie Organizations in noch nicht konfiguriert haben CloudWatch, gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff zu aktivieren und ein delegiertes Administratorkonto zu registrieren.

Aktivieren Sie den vertrauenswürdigen Zugriff in CloudWatch

Bevor Sie Network Flow Monitor mit mehr als einem Konto in Ihrer Organisation verwenden können, müssen Sie den vertrauenswürdigen Zugriff für AWS Organizations in Amazon aktivieren CloudWatch. Gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff in der CloudWatch Konsole zu aktivieren.

Aktivieren Sie den vertrauenswürdigen Zugriff wie folgt:

  1. Melden Sie sich mit dem Verwaltungskonto Ihrer Organisation bei der Konsole an.

  2. Wählen Sie in der CloudWatch Konsole im Navigationsbereich Einstellungen aus.

  3. Wählen Sie die Registerkarte Organizations aus.

  4. Wählen Sie in den Einstellungen für das Organisationsmanagement die Option Aktivieren aus. Die Seite Vertrauenswürdigen Zugriff aktivieren wird angezeigt.

  5. Wählen Sie Berechtigungsdetails anzeigen aus, um sich die Rollenrichtlinie anzusehen.

  6. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

Wenn Ressourcen erkannt CloudWatch werden, aktualisiert es jetzt automatisch Informationen über Konten, für die Sie die Berechtigung haben, auf die Ressourcen in Network Flow Monitor zuzugreifen.

Registrieren eines delegierten Administratorkontos

Es hat sich bewährt AWS Organizations, dass das Verwaltungskonto Ihrer Organisation ein Mitgliedskonto als delegiertes Administratorkonto für registrieren sollte. CloudWatch Nachdem Sie ein delegiertes Administratorkonto registriert haben CloudWatch, können sich Mitglieder Ihrer Organisation mit dem delegierten Administratorkonto anmelden, um die Netzwerkleistung für Ressourcen in mehreren Konten in Network Flow Monitor zu überwachen.

Über das delegierte Administratorkonto können Sie Ihrem Geltungsbereich für die Netzwerkbeobachtbarkeit in Network Flow Monitor mehrere Konten hinzufügen. Obwohl ein Geltungsbereich mit mehreren Konten auch über ein Verwaltungskonto erstellt werden kann, empfehlen wir, dass Sie sich an die bewährten Methoden für AWS Organizations halten und zum Hinzufügen mehrerer Konten in Network Flow Monitor ein delegiertes Administratorkonto verwenden. Bei anderen Mitgliedskonten (nicht das delegierte Administratorkonto) ist der Geltungsbereich auf das angemeldete Konto beschränkt, das automatisch festgelegt wird.

Ein delegiertes Administratorkonto für Organizations ist ein Mitgliedskonto, das den Administratorzugriff für serviceverwaltete Berechtigungen teilt. Das Konto, das Sie als delegiertes Administratorkonto registrieren, muss ein Mitgliedskonto in Ihrem Unternehmen sein. Ein delegiertes Administratorkonto für Ihre Organisation kann auch außerhalb von verwendet werden. Stellen Sie daher sicher CloudWatch, dass Sie diesen Kontotyp kennen, bevor Sie dieses Verfahren ausführen. Weitere Informationen finden Sie bei Amazon CloudWatch und AWS Organizations im AWS Organizations Benutzerhandbuch.

Registrieren Sie ein delegiertes Administratorkonto wie folgt:

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie die Registerkarte Organisation aus.

  4. Wählen Sie Register delegated administrator (Delegierten Administrator registrieren).

  5. Geben Sie im Fenster Delegierten Administrator registrieren im Feld Konto-ID des delegierten Administrators die 12-stellige Mitgliedskonto-ID der Organisation ein.

  6. Wählen Sie Register delegated administrator (Delegierten Administrator registrieren). Oben auf der Seite wird eine Meldung angezeigt, die angibt, dass das Konto erfolgreich registriert wurde. Die Seite mit den Organisationseinstellungen wird angezeigt. Um Informationen zum delegierten Administratorkonto zu sehen, bewegen Sie den Mauszeiger auf die Zahl unter Delegierte Administratoren.

Wenn Sie das delegierte Administratorkonto entfernen oder ändern möchten, müssen Sie die Registrierung des Kontos zunächst aufheben. Weitere Informationen finden Sie unter Aufheben der Registrierung eines delegierten Administratorkontos.

Fügen Sie Ihrem Bereich mehrere Konten hinzu

Wenn Sie Ihrem Geltungsbereich in Network Flow Monitor Konten hinzufügen möchten, müssen Sie sich beim delegierten Administratorkonto anmelden. (Sie können Konten zu einem Bereich hinzufügen, wenn Sie mit dem Verwaltungskonto angemeldet sind. Es hat sich jedoch bewährt, das delegierte Administratorkonto für die Arbeit mit Ressourcen AWS Organizations zu verwenden.)

Folgen Sie nach der Anmeldung den Schritten zur Initialisierung von Network Flow Monitor. Dabei handelt es sich um einen Prozess, bei dem die erforderlichen Berechtigungen für serviceverknüpfte Rollen autorisiert werden, Sie den Bereich für Ihre Netzwerkbeobachtbarkeit festlegen können, indem Sie Konten hinzufügen, und anschließend eine erste Topologie für die Konten in dem von Ihnen festgelegten Bereich erstellt wird. Das Konto, mit dem Sie sich anmelden – in diesem Fall das delegierte Administratorkonto –, wird automatisch in Ihren Network-Flow-Monitor-Geltungsbereich aufgenommen.

Um Network Flow Monitor mit mehreren Konten in Ihrem Bereich zu initialisieren

  1. Melden Sie sich mit dem delegierten Administratorkonto Ihrer Organisation bei der Konsole an.

  2. Wählen Sie im Navigationsbereich der CloudWatch Konsole unter Netzwerküberwachung die Option Flow Monitors aus.

  3. Wählen Sie unter Erste Schritte mit Network Flow Monitor in Schritt 1 die Option Initialisierung starten aus.

  4. Wählen Sie auf der Seite Network Flow Monitor unter Konten hinzufügen die Option Hinzufügen aus. Das Konto, mit dem Sie angemeldet sind, wird automatisch in den Geltungsbereich aufgenommen und in der Tabelle Konten im Geltungsbereich bereits als (dieses Konto) angezeigt.

  5. Optional können Sie die Konten auf der Dialogseite Konten hinzufügen filtern und dann bis zu 99 weitere Konten auswählen, die Sie dem Geltungsbereich hinzufügen möchten. Die maximale Anzahl von Konten in einem Geltungsbereich beträgt 100.

  6. Wählen Sie Hinzufügen aus.

  7. Wählen Sie Network Flow Monitor initialisieren aus. Network Flow Monitor fügt die erforderlichen serviceverknüpften Rollenberechtigungen hinzu, erstellt einen Geltungsbereich, der alle angegebenen Konten umfasst, und erstellt dann eine erste Topologie der Ressourcen in den Konten in Ihrem Geltungsbereich.

Gehen Sie wie folgt vor, um Konten für Ihren Bereich hinzuzufügen oder zu entfernen, nachdem Sie Network Flow Monitor bereits initialisiert haben.

Beachten Sie, dass Sie nach einer Änderung an Ihrem Bereich, entweder um Konten hinzuzufügen oder zu löschen, etwa 20 Minuten warten müssen, bevor Sie eine weitere Änderung am Bereich vornehmen können. Diese Verzögerung ist darauf zurückzuführen, dass Network Flow Monitor eine kurze Zeit benötigt, um seine Topologieinformationen zu aktualisieren.

Um Konten für Ihren Bereich hinzuzufügen oder zu entfernen

  1. Melden Sie sich mit dem delegierten Administratorkonto Ihrer Organisation bei der Konsole an.

  2. Wählen Sie im Navigationsbereich der CloudWatch Konsole unter Netzwerküberwachung die Option Flow Monitors aus.

  3. Wählen Sie unter Monitore einen Monitor aus.

  4. Wählen Sie auf der Registerkarte Monitordetails unter Konten im Geltungsbereich die Option Hinzufügen oder Löschen aus.

  5. Wählen Sie Konten aus, die Sie Ihrem Geltungsbereich hinzufügen möchten (bis zu 100 Konten), oder wählen Sie Konten aus, die gelöscht werden sollen.

  6. Führen Sie die Schritte im Bestätigungsdialogfeld aus.

Einrichten von Berechtigungen für den Ressourcenzugriff mit mehreren Konten (in der Konsole)

Wenn Sie beabsichtigen, Monitore für Netzwerk-Flows über die Konsole zu erstellen, ist für jedes Mitgliedskonto in Ihrem Geltungsbereich eine bestimmte Richtlinie erforderlich. Diese Richtlinie ermöglicht Ihnen, Ressourcen von anderen Konten einzusehen, wenn Sie einem Monitor lokale und Remote-Ressourcen hinzufügen.

Erstellen Sie für jedes Konto in Ihrem Geltungsbereich eine Rolle und fügen Sie die EC2ReadOnlyAccessAmazon-Richtlinie bei. NetworkFlowMonitorAccountResourceAccess Einzelheiten zu den Genehmigungen für die Richtlinie finden Sie bei Amazon EC2 ReadOnlyAccess im Referenzhandbuch für AWS verwaltete Richtlinien.

Diese Richtlinie gilt zusätzlich zu der Richtlinie, die Sie jeder Instance hinzufügen müssen, damit der Network-Flow-Monitor-Agent Leistungsmetriken von der Instance an den Server des Network-Flow-Monitor-Aufnahme-Backends senden kann. Weitere Informationen zu den Anforderungen für Agenten finden Sie unter Installieren Sie Network Flow Monitor-Agenten auf EC2 und auf selbst verwalteten Kubernetes-Instanzen.

Im folgenden Verfahren finden Sie eine Zusammenfassung der Schritte zum Erstellen der erforderlichen Rolle für den Zugriff auf Ressourcen in Ihrem Geltungsbereich in der Network-Flow-Monitor-Konsole. Allgemeine Anleitungen zum Erstellen einer Rolle in IAM finden Sie im Benutzerhandbuch unter Eine Rolle erstellen, um einem IAM-Benutzer Berechtigungen zu erteilen. AWS Identity and Access Management

Erstellen Sie eine Rolle für den Ressourcenzugriff in der Network-Flow-Monitor-Konsole wie folgt:

  1. Melden Sie sich bei der IAM-Konsole an AWS-Managementkonsole und öffnen Sie sie.

  2. Klicken Sie im Navigationsbereich der Konsole auf Rollen und wählen Sie Rolle erstellen aus.

  3. Geben Sie die vertrauenswürdige Entität des AWS -Kontos an. Dieser vertrauenswürdige Entitätstyp ermöglicht es Prinzipalen in anderen AWS Konten, die Rolle zu übernehmen und auf Ressourcen in anderen Konten zuzugreifen.

  4. Wählen Sie Weiter aus.

  5. Wählen Sie in der Liste der AWS verwalteten Richtlinien die EC2ReadOnlyAccessAmazon-Richtlinie aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie als Rollennamen ein NetworkFlowMonitorAccountResourceAccess.

  8. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).