Initialisieren Sie Network Flow Monitor für die Überwachung mehrerer Konten - Amazon CloudWatch
Übersicht über die Einrichtung mehrerer KontenKonfiguration AWS OrganizationsFügen Sie mehrere Konten hinzuFügen Sie Berechtigungen für die Konsole hinzu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Initialisieren Sie Network Flow Monitor für die Überwachung mehrerer Konten

Wenn Sie Netzwerkflüsse in Network Flow Monitor für Ressourcen überwachen möchten, die unterschiedlichen Konten gehören, müssen Sie Amazon zunächst CloudWatch mit konfigurieren AWS Organizations. Um mehrere Konten in Network Flow Monitor verwenden zu können, müssen Sie den vertrauenswürdigen Zugriff für aktivieren CloudWatch, und es hat sich bewährt, auch einen delegierten Administrator zu registrieren.

Wenn Sie von der Konsole aus Monitore für Netzwerkflüsse erstellen möchten, müssen Sie außerdem der Rolle, die Ihren Ressourcen zugewiesen ist, eine Network Flow Monitor-Richtlinie hinzufügen. Die Richtlinie ermöglicht es Ihnen, Ressourcen von anderen Konten in der Konsole anzuzeigen, sodass Sie die Ressourcen mehrerer Konten zu einem Monitor hinzufügen können.

Um den Netzwerkfluss für Ressourcen zu überwachen, die verschiedenen Konten gehören, müssen zusätzliche Konfigurationsschritte durchgeführt werden. Zunächst müssen Sie als Verwaltungskonto CloudWatch mit konfigurieren, AWS Organizations um den vertrauenswürdigen Zugriff zu aktivieren, und in der Regel registrieren Sie auch ein delegiertes Administratorkonto. Anschließend können Sie mithilfe des delegierten Administratorkontos weitere Konten in Ihrer Organisation hinzufügen, um den Umfang festzulegen, in dem Ihre Netzwerkbeobachtbarkeit Ressourcen in diesen Konten einschließt. (Sie können auch mehrere Konten mit einem Verwaltungskonto hinzufügen, aber es hat sich in Organizations bewährt, das delegierte Administratorkonto zu verwenden, wenn Sie mit Ressourcen in einem Dienst arbeiten. Schritte, die dieser Anleitung folgen, finden Sie in den Anweisungen hier für Network Flow Monitor.)

Beachten Sie, dass Sie Network Flow Monitor mit einem einzigen Konto verwenden können, wenn Sie die Netzwerkflüsse nicht für Instances von mehreren Konten überwachen müssen. Der Bereich für Network Flow Monitor wird automatisch auf das AWS Konto festgelegt, mit dem Sie sich anmelden.

Folgen Sie den Anweisungen in den folgenden Abschnitten, um diese Schritte auszuführen.

Überblick über die Schritte zur Verwendung mehrerer Konten in Network Flow Monitor

Um mit Network Flow Monitor zu beginnen, muss jedes Konto, das Network Flow Monitor noch nicht verwendet hat, Network Flow Monitor initialisieren. Wenn Sie Network Flow Monitor für ein Konto initialisieren, fügt Network Flow Monitor die erforderlichen dienstbezogenen Rollenberechtigungen hinzu und erstellt einen Bereich des Kontos oder der Konten, die in die Netzwerkbeobachtbarkeit aufgenommen werden sollen. Um mit mehreren Konten in Network Flow Monitor zu arbeiten, müssen Sie die Konten, mit denen Sie arbeiten möchten AWS Organizations, in zusätzliche Schritte integrieren und anschließend hinzufügen.

Zusammenfassend führen Sie die folgenden Schritte aus:

  1. Melden Sie sich AWS Management Console als Verwaltungskonto an und gehen Sie dann wie folgt vor:

    • Führen Sie die erforderlichen Schritte für die Integration mit AWS Organizations in aus CloudWatch.

  2. Melden Sie sich AWS Management Console als delegiertes Administratorkonto an, und gehen Sie dann wie folgt vor:

    • Initialisieren Sie Network Flow Monitor, einschließlich des Hinzufügens von Konten, die in Ihren Geltungsbereich aufgenommen werden sollen.

    • Fügen Sie von der Konsole aus die erforderlichen Berechtigungen für den Zugriff auf Ressourcen hinzu, die sich in anderen Konten befinden.

Wenn Sie Network Flow Monitor für die Arbeit mit mehreren Konten einrichten und damit nicht vertraut sind AWS Organizations, lesen Sie sich die folgenden Ressourcen durch, um mehr über Konzepte wie das Verwaltungskonto, den vertrauenswürdigen Zugriff und das delegierte Administratorkonto zu erfahren und zu erfahren, wie Sie Organizations mit CloudWatch integrieren können.

Folgen Sie den Schritten in den folgenden Abschnitten, um spezifische Anleitungen zur Konfiguration von Network Flow Monitor für mehrere Konten zu erhalten.

Konfigurieren Sie AWS Organizations in CloudWatch

Um Network Flow Monitor mit zu konfigurieren AWS Organizations, melden Sie sich beim Verwaltungskonto an und aktivieren Sie den vertrauenswürdigen Zugriff für CloudWatch. Registrieren Sie anschließend ein delegiertes Administratorkonto, das Sie für die Initialisierung von Network Flow Monitor und das Hinzufügen mehrerer Konten verwenden können.

Wenn Sie Organizations bereits so konfiguriert haben CloudWatch , dass vertrauenswürdiger Zugriff für Organizations aktiviert wird, CloudWatch und ein delegiertes Administratorkonto registriert haben, müssen Sie für Organizations nichts weiter konfigurieren, was spezifisch für Network Flow Monitor ist. Sie können sich mit dem delegierten Administratorkonto für anmelden und anschließend Network Flow Monitor initialisieren CloudWatch, einschließlich des Hinzufügens mehrerer Konten für Ihren Netzwerkbeobachtbarkeitsbereich.

Wenn Sie Organizations in noch nicht konfiguriert haben CloudWatch, gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff zu aktivieren und ein delegiertes Administratorkonto zu registrieren.

Aktivieren Sie den vertrauenswürdigen Zugriff in CloudWatch

Bevor Sie Network Flow Monitor mit mehr als einem Konto in Ihrer Organisation verwenden können, müssen Sie den vertrauenswürdigen Zugriff für AWS Organizations in Amazon aktivieren CloudWatch. Gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff in der CloudWatch Konsole zu aktivieren.

So aktivieren Sie den vertrauenswürdigen Zugriff

  1. Melden Sie sich mit dem Verwaltungskonto Ihrer Organisation bei der Konsole an.

  2. Wählen Sie in der CloudWatch Konsole im Navigationsbereich Einstellungen aus.

  3. Wählen Sie den Tab Organizations.

  4. Wählen Sie in den Einstellungen für das Organisationsmanagement die Option Aktivieren aus. Die Seite „Vertrauenswürdigen Zugriff aktivieren“ wird angezeigt.

  5. Um die Rollenrichtlinie zu überprüfen, wählen Sie Berechtigungsdetails anzeigen aus, um die Rollenrichtlinie einzusehen.

  6. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

Wenn Ressourcen erkannt CloudWatch werden, werden nun automatisch Informationen über Konten aktualisiert, für die Sie in Network Flow Monitor berechtigt sind, auf die Ressourcen zuzugreifen.

Registrieren Sie ein delegiertes Administratorkonto

Es hat sich bewährt AWS Organizations, für das Verwaltungskonto Ihrer Organisation ein Mitgliedskonto als delegiertes Administratorkonto für zu registrieren. CloudWatch Nachdem Sie ein delegiertes Administratorkonto registriert haben CloudWatch, können sich Mitglieder Ihrer Organisation mit dem delegierten Administratorkonto anmelden, um die Netzwerkleistung für Ressourcen in mehreren Konten in Network Flow Monitor zu überwachen.

Mithilfe des delegierten Administratorkontos können Sie in Network Flow Monitor mehrere Konten für Ihren Netzwerkbeobachtbarkeitsbereich hinzufügen. Obwohl das Verwaltungskonto auch einen Bereich erstellen kann, der mehrere Konten umfasst, empfehlen wir Ihnen, die bewährten Methoden für das Hinzufügen mehrerer Konten in Network Flow Monitor zu befolgen AWS Organizations und ein delegiertes Administratorkonto zu verwenden. Bei Mitgliedskonten, bei denen es sich nicht um das delegierte Administratorkonto handelt, ist der Geltungsbereich auf das angemeldete Konto beschränkt, das automatisch für den Bereich festgelegt wird.

Ein delegiertes Administratorkonto für Organizations ist ein Mitgliedskonto, das den Administratorzugriff für vom Dienst verwaltete Berechtigungen teilt. Das Konto, das Sie als delegiertes Administratorkonto registrieren möchten, muss ein Mitgliedskonto in Ihrer Organisation sein. Ein delegiertes Administratorkonto für Ihre Organisation kann auch außerhalb von verwendet werden. Stellen Sie daher sicher CloudWatch, dass Sie diesen Kontotyp verstehen, bevor Sie dieses Verfahren ausführen. Weitere Informationen finden Sie bei Amazon CloudWatch und AWS Organizations im AWS Organizations Benutzerhandbuch.

Um ein delegiertes Administratorkonto zu registrieren

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie die Registerkarte Organisation.

  4. Wählen Sie Register delegated administrator (Delegierten Administrator registrieren).

  5. Geben Sie im Fenster Delegierten Administrator registrieren im Feld Konto-ID des delegierten Administrators die 12-stellige Mitgliedskonto-ID der Organisation ein.

  6. Wählen Sie Register delegated administrator (Delegierten Administrator registrieren). Oben auf der Seite wird eine Meldung angezeigt, die darauf hinweist, dass das Konto erfolgreich registriert wurde. Die Seite mit den Organisationseinstellungen wird angezeigt. Um Informationen über das delegierte Administratorkonto zu sehen, bewegen Sie den Mauszeiger über die Zahl unter Delegierte Administratoren.

Um das delegierte Administratorkonto zu entfernen oder zu ändern, müssen Sie das Konto zunächst abmelden. Weitere Informationen finden Sie unter Abmelden eines delegierten Administratorkontos.

Fügen Sie Ihrem Bereich mehrere Konten hinzu

Um Konten zu Ihrem Network Flow Monitor-Bereich hinzuzufügen, melden Sie sich mit dem delegierten Administratorkonto an. (Sie können Konten zu einem Bereich hinzufügen, wenn Sie mit dem Verwaltungskonto angemeldet sind. Es hat sich jedoch bewährt, das delegierte Administratorkonto für die Arbeit mit Ressourcen AWS Organizations zu verwenden.)

Nachdem Sie sich mit dem delegierten Administratorkonto angemeldet haben, initialisieren Sie Network Flow Monitor, um die erforderlichen dienstbezogenen Rollenberechtigungen zu autorisieren, legen Sie den Bereich für Ihre Netzwerkbeobachtbarkeit fest, indem Sie Konten hinzufügen, und erstellen Sie eine erste Topologie für die Konten in Ihrem Bereich. Das Konto, mit dem Sie sich anmelden — in diesem Fall das delegierte Administratorkonto — wird automatisch in Ihren Network Flow Monitor-Bereich aufgenommen. Gehen Sie wie folgt vor, um Ihrem Bereich Konten hinzuzufügen, sodass Sie den Netzwerkfluss für Ressourcen in mehreren Konten überwachen können.

So fügen Sie Konten zu Ihrem Geltungsbereich hinzu

  1. Melden Sie sich mit dem Verwaltungskonto Ihrer Organisation bei der Konsole an.

  2. Wählen Sie im Navigationsbereich der CloudWatch Konsole unter Netzwerküberwachung die Option Flow Monitors aus.

  3. Wählen Sie in Schritt 1 unter Erste Schritte mit Network Flow Monitor die Option Initialisierung starten aus.

  4. Wählen Sie auf der Seite Network Flow Monitor unter Konten hinzufügen die Option Hinzufügen aus. Das Konto, mit dem Sie angemeldet sind, wird automatisch in den Geltungsbereich aufgenommen und wird in der Tabelle Konten im Geltungsbereich bereits als (dieses Konto) angezeigt.

  5. Filtern Sie auf der Dialogseite Konten hinzufügen optional die Konten und wählen Sie dann bis zu 99 zusätzliche Konten aus, die Sie Ihrem Bereich hinzufügen möchten. Die maximale Anzahl von Konten in einem Bereich ist 100.

  6. Wählen Sie Hinzufügen aus.

  7. Wählen Sie Network Flow Monitor initialisieren. Network Flow Monitor fügt die erforderlichen dienstbezogenen Rollenberechtigungen hinzu, erstellt einen Bereich, der alle von Ihnen angegebenen Konten umfasst, und erstellt dann eine erste Topologie der Ressourcen in den Konten in Ihrem Bereich.

Richten Sie Berechtigungen für den Ressourcenzugriff mit mehreren Konten ein (nur Konsole)

Wenn Sie vorhaben, von der Konsole aus Monitore für Netzwerkflüsse zu erstellen, ist für jedes Mitgliedskonto in Ihrem Geltungsbereich eine bestimmte Richtlinie erforderlich. Diese Richtlinie ermöglicht es Ihnen, Ressourcen von anderen Konten einzusehen, wenn Sie einem Monitor lokale und Remote-Ressourcen hinzufügen.

Erstellen Sie für jedes Konto in Ihrem Geltungsbereich eine Rolle und fügen Sie die EC2ReadOnlyAccessAmazon-Richtlinie bei. NetworkFlowMonitorAccountResourceAccess Einzelheiten zu den Genehmigungen für die Richtlinie finden Sie bei Amazon EC2 ReadOnlyAccess im Referenzhandbuch für AWS verwaltete Richtlinien.

Diese Richtlinie gilt zusätzlich zu der Richtlinie, die Sie jeder Instance hinzufügen müssen, damit der Network Flow Monitor-Agent Leistungskennzahlen von der Instance an den Network Flow Monitor-Ingestion-Backend-Server senden kann. Weitere Informationen zu den Anforderungen für Agenten finden Sie unter. Installieren Sie Network Flow Monitor-Agenten auf Instanzen

Das folgende Verfahren enthält eine Zusammenfassung der Schritte zum Erstellen der erforderlichen Rolle für den Zugriff auf Ressourcen in Ihrem Bereich in der Network Flow Monitor-Konsole. Allgemeine Anleitungen zum Erstellen einer Rolle in IAM finden Sie im Benutzerhandbuch unter Erstellen einer Rolle, um einem IAM-Benutzer Berechtigungen zu erteilen. AWS Identity and Access Management

So erstellen Sie eine Rolle für den Ressourcenzugriff in der Network Flow Monitor-Konsole

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich der Konsole Rollen und anschließend Rolle erstellen aus.

  3. Geben Sie die vertrauenswürdige Entität des AWS Kontos an. Dieser vertrauenswürdige Entitätstyp ermöglicht es Prinzipalen in anderen AWS Konten, die Rolle zu übernehmen und auf Ressourcen in anderen Konten zuzugreifen.

  4. Wählen Sie Weiter aus.

  5. Wählen Sie in der Liste der AWS verwalteten Richtlinien die EC2ReadOnlyAccessAmazon-Richtlinie aus.

  6. Wählen Sie Weiter aus.

  7. Geben Sie als Rollennamen ein NetworkFlowMonitorAccountResourceAccess.

  8. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).