Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor"></a>

Network Flow Monitor bietet Ihnen nahezu in Echtzeit Einblick in die Netzwerkleistung für den Verkehr zwischen Rechenressourcen (Amazon EC2 und Amazon Elastic Kubernetes Service), den Verkehr zu anderen AWS Diensten (Amazon S3 und Amazon DynamoDB) und den Datenverkehr an den Rand eines anderen. AWS-Region Network Flow Monitor sammelt Daten von einfachen Softwareagenten, die Sie auf Ihren Instances installieren. Diese Agenten sammeln Leistungsstatistiken von TCP-Verbindungen und senden diese Daten an den Back-End-Dienst von Network Flow Monitor, der die wichtigsten Beiträge für jeden Metriktyp berechnet.

Network Flow Monitor ermittelt auch, ob dies die Ursache für ein erkanntes Netzwerkproblem AWS ist, und meldet diese Informationen für Netzwerkflüsse, deren Details Sie überwachen möchten.

Sie können Netzwerkleistungsinformationen für Netzwerkflüsse für Ressourcen in einem einzelnen Konto anzeigen, oder Sie können Network Flow Monitor so konfigurieren, AWS Organizations dass Leistungsinformationen für mehrere Konten in einer Organisation angezeigt werden, indem Sie sich mit einem Verwaltungs- oder delegierten Administratorkonto anmelden.

Network Flow Monitor richtet sich an Netzwerkbetreiber und Anwendungsentwickler, die nahezu in Echtzeit Einblicke in die Netzwerkleistung erhalten möchten. In der Network Flow Monitor-Konsole in CloudWatch können Sie Leistungsdaten für den Netzwerkverkehr Ihrer Ressourcen einsehen, die von Agents aggregiert und in verschiedene Kategorien eingeteilt wurden. Sie können sich beispielsweise Daten für Datenflüsse zwischen Availability Zones oder zwischen Availability Zones anzeigen lassen. VPCs Anschließend können Sie Monitore für konkrete Flows erstellen, für die Sie mehr Informationen sehen oder die Sie im Laufe der Zeit genauer verfolgen möchten.

Mithilfe eines Monitors können Sie Paketverluste und die Latenz Ihrer Netzwerkverbindungen über einen von Ihnen festgelegten Zeitraum visualisieren. Für jeden Monitor generiert Network Flow Monitor außerdem einen Network Health Indicator (NHI). Der NHI-Wert gibt Aufschluss darüber, ob es in dem Zeitraum, den Sie auswerten, AWS Netzwerkprobleme bei den Netzwerkflüssen gab, die von Ihrem Monitor aufgezeichnet wurden. Anhand der NHI-Informationen können Sie schnell entscheiden, ob Sie sich bei der Fehlerbehebung auf ein AWS Netzwerkproblem oder auf Netzwerkprobleme konzentrieren möchten, die auf Ihre Workloads zurückzuführen sind. 

Ein Beispiel für die Konfiguration und Verwendung von Network Flow Monitor finden Sie im folgenden Blogbeitrag: [Visualisieren der Netzwerkleistung Ihrer AWS Cloud-Workloads mit](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/) Network Flow Monitor.

# Was ist Network Flow Monitor?
<a name="CloudWatch-NetworkFlowMonitor-What-is-NetworkFlowMonitor"></a>

Network Flow Monitor ist eine Funktion von Amazon CloudWatch Network Monitoring. Network Flow Monitor verwendet vollständig verwaltete Agenten, die Sie in Ihren AWS Workloads installieren, um Leistungs- und Verfügbarkeitsmetriken über Netzwerkflüsse zurückzugeben. Mit Network Flow Monitor können Sie nahezu in Echtzeit auf Metriken für Ihre tatsächlichen Workloads zugreifen, einschließlich Neuübertragungen und übertragener Daten. Sie können auch feststellen, ob ein zugrundeliegendes AWS Netzwerkproblem für die von einem Monitor verfolgten Netzwerkflüsse aufgetreten ist, indem Sie die Werte des Network Health Indicator (NHI) überprüfen. 

**Die wichtigsten Features von Network Flow Monitor**
+ Mit Network Flow Monitor erhalten Sie nahezu in Echtzeit Metriken zur Latenz und zu Paketverlusten, die bei TCP-basiertem Datenverkehr in Ihrem VPC-Netzwerk auftreten. So können Sie Netzwerkprobleme für Ihren Workload-Datenverkehr verfolgen und untersuchen. 
+ Wenn bei Ihren AWS Workloads eine Verschlechterung des Netzwerks auftritt, hilft Ihnen Network Flow Monitor dabei, festzustellen, ob das Problem durch die Arbeitslast Ihrer Anwendung oder die zugrunde liegende AWS Infrastruktur verursacht wird. So können Sie sich schnell auf den Bereich konzentrieren, in dem das Problem auftritt.

**Funktionsweise von Network Flow Monitor**

Mit Network Flow Monitor installieren Sie einfache Agenten auf Ihren Instances, die Leistungsmetriken erfassen und aggregieren. Network-Flow-Monitor-Agenten analysieren den TCP-Datenverkehr und exportieren Leistungsmetriken in das Backend des Network-Flow-Monitor-Service.

Agenten erfassen die folgenden Metriken für Ihre Workloads: TCP-Round-Trip-Zeit (RTT), TCP-Neuübertragungs-Timeouts, TCP-Neuübertragungen und übertragene Daten (Byte). Nachdem Sie Agenten auf Ihren Instances installiert haben, erkennen die Agenten die von den Instances gehosteten Workloads. Anschließend generieren die Agenten Netzwerkleistungsmetriken und senden sie an das Network-Flow-Monitor-Backend. Metriken werden in Kategorien wie Subnetze, Availability Zones und VPCs Dienste zusammengefasst. AWS 

Leistungsmetriken für die wichtigsten Faktoren (nach Metriktyp) aus allen Netzwerk-Flows, die in Ihren Network-Flow-Monitor-Geltungsbereich fallen, werden auf der Registerkarte **Workload-Einblicke** in der AWS-Managementkonsole angezeigt. Anhand der Tabellen und Grafiken der wichtigsten Faktoren können Sie ermitteln, wo es möglicherweise Probleme gibt, die Sie beheben möchten, und welche Workloads Sie mit einem Monitor fortlaufend überwachen möchten.

Ein Monitor ermöglicht Ihnen, ausgewählte Workloads im Laufe der Zeit genauer zu überwachen und detaillierte Informationen zu spezifischen Netzwerk-Flows abzurufen. Neben Leistungsmetriken zu den wichtigsten Faktoren für die ausgewählten Netzwerk-Flows können Sie Informationen zum Netzwerkpfad mit den Netzwerk-Hops einsehen, die ein Netzwerk-Flow durchlaufen hat. Das hilft Ihnen, Probleme zu beheben. Für Monitore generiert Network Flow Monitor außerdem einen Network Health Indicator (NHI). Ein NHI-Wert von **Degradiert** gibt an, dass während des von Ihnen ausgewählten Zeitraums AWS Netzwerkprobleme bei mindestens einem der von Ihrem Monitor verfolgten Netzwerkflüsse aufgetreten sind. 

Neben den Informationen in den von Ihnen erstellten Monitoren sollten Sie auch regelmäßig die Metriken auf der Seite mit den **Workload-Einblicken** überprüfen. Dort finden Sie die neuesten Faktoren für Leistungsmetriken für Ihre Netzwerk-Flows. Bei der Überprüfung der neuesten Informationen sollten Sie auch überlegen, ob es hilfreich wäre, Workloads in Ihren aktuellen Monitoren hinzuzufügen oder zu entfernen oder neue Monitore zu erstellen.

**Topics**
+ [Wird unterstützt AWS-Regionen](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Komponenten](CloudWatch-NetworkFlowMonitor-components.md)
+ [Funktionsweise](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Preisgestaltung](CloudWatch-NetworkFlowMonitor.pricing.md)

# Wird AWS-Regionen für Network Flow Monitor unterstützt
<a name="CloudWatch-NetworkFlowMonitor-Regions"></a>

Network Flow Monitor ist derzeit in den folgenden Sprachen verfügbar AWS-Regionen:


| Name der Region | Region | 
| --- | --- | 
| Asien-Pazifik (Mumbai) | ap-south-1 | 
| Asia Pacific (Osaka) | ap-northeast-3 | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | 
| Asien-Pazifik (Singapur) | ap-southeast-1 | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | 
| Asien-Pazifik (Tokio) | ap-northeast-1 | 
| Kanada (Zentral) | ca-central-1 | 
| Europa (Frankfurt) | eu-central-1 | 
| Europa (Irland) | eu-west-1 | 
| Europa (London) | eu-west-2 | 
| Europa (Paris) | eu-west-3 | 
| Europa (Stockholm) | eu-north-1 | 
| Südamerika (São Paulo) | sa-east-1 | 
| USA Ost (Nord-Virginia) | us-east-1  | 
| USA Ost (Ohio) | us-east-2 | 
| USA West (Nordkalifornien) | us-west-1 | 
| USA West (Oregon) | us-west-2 | 

# Komponenten und Features von Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-components"></a>

Network Flow Monitor verwendet oder referenziert die folgenden Konzepte.

**Kundendienstmitarbeiters (Kundendienstmitarbeiter)**  
Ein *Agent* in Network Flow Monitor ist eine Softwareanwendung, die Sie auf Ihren AWS Rechenressourcen (Amazon EC2 und Amazon EKS) installieren. Die Anwendung besteht aus zwei Teilen:   
+ Der erste Teil empfängt Ereignisse im Zusammenhang mit TCP-Verbindungen und wird über eBPF im Linux-Kernel registriert. eBPF (extended Berkley Packet Filter) ist eine Linux-Funktion, die einem ausgewählten Programm ermöglicht, bestimmte vom Linux-Kernel ausgelöste Ereignisse zu empfangen.
+ Der zweite Teil aggregiert die vom eBPF-Teil erfassten Statistiken. Der Agent sendet die aggregierten Messwerte etwa alle 30 Sekunden an das Backend von Network Flow Monitor, wobei ein Jitter von 5 Sekunden auftreten kann (insgesamt also 25 bis 35 Sekunden).
Weitere Informationen zu Agenten finden Sie unter [Funktionsweise](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).

**Wichtigste Faktoren**  
Zu den *wichtigsten Faktoren* zählen die Netzwerk-Flows, die in Ihrem Network-Flow-Monitor-Geltungsbereich oder unter den Netzwerk-Flows, die Sie in einem Monitor verfolgen, die höchsten Werte für eine bestimmte Metrik aufweisen (z. B. Neuübertragungen). Wenn Sie die Flows mit den höchsten gemeldeten Zahlen für Leistungsmetriken überprüfen, können Sie besser erkennen, wo möglicherweise Beeinträchtigungen vorliegen, die untersucht werden sollten. Network Flow Monitor gibt Leistungsmetriken für die wichtigsten Faktoren in Ihrem Überwachungsbereich für *Workload-Einblicke* zurück. Wenn Sie einen Monitor erstellen, gibt Network Flow Monitor außerdem Leistungsmetriken für die wichtigsten Faktoren für Netzwerk-Flows zurück, die Sie für den Monitor ausgewählt haben.

**Lokale und Remote-Ressourcen**  
Eine *lokale Ressource* ist der Hoststandort – oder ein Standort mit mehreren Hosts –, an dem ein Network-Flow-Monitor-Agent installiert ist. Es kann ein Subnetz, eine VPC, eine Availability Zone, ein Amazon EKS-Cluster oder ein sein. AWS-Region Angenommen, Ihre Workload besteht aus einer Interaktion zwischen einem Webservice und einer Backend-Datenbank, z. B. DynamoDB. In diesem Szenario ist die lokale Ressource das Subnetz der EC2-Instance, die den Webservice hostet und auf der der Agent ausgeführt wird. Ein Netzwerk-Flow ist in der Regel direktional, kann aber auch bidirektional konfiguriert werden.   
Eine *Remote-Ressource* ist das andere Ende eines Netzwerk-Flows. In diesem Beispiel eines Webservice mit einer Backend-Datenbank ist DynamoDB die Remote-Ressource. Eine Remote-Ressource kann ein Subnetz, eine VPC, eine Availability Zone, ein AWS Service oder ein sein. AWS-Region Wenn Sie eine Region als Remote-Ressource angeben, misst Network Flow Monitor die Leistung des Netzwerk-Flows bis zum Rand der Region. Der Service misst nicht die Leistung bestimmter Endpunkte innerhalb der Region.   
Eine Ressource wird über den ARN der Ressource, den Namen des AWS -Service oder, für eine Availability Zone oder Region, über den Namen der Zone oder Region identifiziert.

**Workload-Einblicke**  
*Workload-Einblicke* umfasst die Leistungsmetriken, die für alle Netzwerk-Flows in Ihrem Geltungsbereich zurückgegeben werden. Auf der AWS-Managementkonsole Seite mit den **Workload-Statistiken finden** Sie Leistungsdaten zu Workloads, bei denen Sie Network Flow Monitor-Agenten auf Workload-Instances installiert haben. Die Seite mit den **Workload-Einblicken** bietet einen Überblick über Ihre Anwendungen, einschließlich der Menge der übertragenen Daten und verschiedener anderer Metriken, die in Workload-Kategorien gruppiert sind. Sie können beispielsweise alle Metriken für Workloads mit Datenverkehr zwischen Availability Zones (AZs) oder innerhalb einer AZ anzeigen. Auf der Grundlage dieser Informationen können Sie Workloads auswählen, für die Sie einen Monitor erstellen möchten, um weitere Details zu erhalten und die Netzwerkleistung kontinuierlich zu verfolgen.

**Monitore**  
Sie erstellen einen *Monitor*, damit Sie die Netzwerkleistung für eine oder mehrere Workloads kontinuierlich überwachen und detailliertere Informationen zu den Netzwerk-Flows abrufen können. Network Flow Monitor veröffentlicht für jeden Monitor end-to-end Leistungskennzahlen und einen Network Health Indicator (NHI), anhand dessen Sie die Ursache von Beeinträchtigungen ermitteln können. Wir empfehlen Ihnen, die Informationen auf der Seite mit den **Workload-Einblicken** zu nutzen, um zu bestimmen, auf welche Netzwerk-Flows Sie sich konzentrieren möchten, und dann einen Monitor für diese Flows zu erstellen. Wenn Sie die **Workload-Einblicke** regelmäßig prüfen, können Sie entscheiden, ob die vorhandenen Monitore ausreichen oder ob es hilfreich wäre, neue Monitore zu erstellen.

**Network Health Indicator (NHI)**  
Der *Network Health Indicator* (NHI) ist ein binärer Wert, der Sie darüber informiert, ob während eines von Ihnen ausgewählten Zeitraums AWS Netzwerkprobleme bei einem oder mehreren der von einem Monitor verfolgten Netzwerkflüsse aufgetreten sind. Wenn der NHI-Wert 1 oder **Heruntergestuft** ist, ist bei mindestens einem AWS Netzwerkfluss ein Netzwerkproblem aufgetreten. Mit dem NHI-Indikator können Sie schnell entscheiden, ob Sie sich bei der Fehlerbehebung auf ein AWS Netzwerkproblem oder auf Netzwerkprobleme konzentrieren möchten, die auf Ihre Workloads zurückzuführen sind.  
Weitere Informationen finden Sie unter [Sehen Sie sich die Metriken von Network Flow Monitor an in CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).

**Scope**  
Der *Geltungsbereich* in Network Flow Monitor entspricht dem Konto oder den Konten, für die Sie Beobachtbarkeit haben, wenn Sie sich Metriken zur Netzwerkleistung ansehen. Wenn Sie sich als Verwaltungskonto anmelden und AWS Organizations mit konfigurieren CloudWatch, können Sie Ihren Geltungsbereich auf mehr als ein Konto in Ihrer Organisation festlegen (bis zu 100 Konten insgesamt). Andernfalls, wenn Sie sich mit einem anmelden AWS-Konto , das keine Verwaltungsberechtigungen in Organizations hat, oder wenn Sie Organizations nicht mit konfiguriert haben CloudWatch, legt Network Flow Monitor Ihren Bereich auf das Konto fest, mit dem Sie angemeldet sind.  
Nachdem Sie Organizations konfiguriert haben, können Sie Ihren Geltungsbereich ändern, indem Sie Konten hinzufügen oder entfernen. Bei jeder Änderung des Bereichs muss Network Flow Monitor jedoch eine neue Topologie der Ressourcen im Bereich erstellen. Weitere Informationen finden Sie unter [Hinzufügen mehrerer Konten zu Ihrem Geltungsbereich](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).  
Network Flow Monitor generiert eine eindeutige **Bereichs-ID** für den Geltungsbereich. Metrikdaten-Abfragen verwenden die Bereichs-ID, um die Ressourcen zu bestimmen, für die Network Flow Monitor Metriken generiert. (Sie müssen Agenten zum Erfassen und Senden von Metrikdaten installieren, bevor Sie die Leistungsmetriken für ein Konto mit Network Flow Monitor anzeigen können.)

**Abfrage-ID**  
Network Flow Monitor generiert eine eindeutige *Abfrage-ID* für jede Abfrage, die zum Abrufen von Leistungsmetrikdaten erstellt wird, z. B. eine Abfrage der wichtigsten Faktoren für einen Monitor. Wenn Sie in Network Flow Monitor eine Abfrage-ID mit einem API-Aufruf verwenden, können Sie den Status einer Abfrage überprüfen, eine Abfrage beenden, die Abfrage erneut ausführen oder die Abfrage anderweitig bearbeiten.

**Leistungsmetriken**  
Network Flow Monitor sammelt und berechnet end-to-end *Leistungsmetriken*, einschließlich TCP-Round-Time (RTT), TCP-Neuübertragungen, TCP-Neuübertragungs-Timeouts und übertragene Byte für jeden Flow, der sich in Ihrem Network Flow Monitor-Bereich befindet. Der Service aggregiert diese Metriken und gibt sie an das Service-Backend zurück. Sie können die wichtigsten Faktoren nach Metriktyp aufrufen. Wenn Sie im Network Flow Monitor eine Anomalie feststellen, können Sie auch anhand des Network Health Indicator (NHI) überprüfen, ob ein zugrundeliegendes Netzwerkproblem vorliegt. AWS   
RTT-Daten sind wahrscheinlich nicht zahlreich, da RTT nicht immer berechnet wird.  
Sie können auch CloudWatch Amazon-Funktionen verwenden, um Dashboards, Alarme und Benachrichtigungen auf der Grundlage dieser Kennzahlen zu erstellen. Informationen zum Einrichten von Alarmen mit Network-Flow-Monitor-Metriken finden Sie beispielsweise unter [Erstellen von Alarmen mit Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md).

# Funktionsweise
<a name="CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor"></a>

Dieser Abschnitt enthält Informationen zu verschiedenen Aspekten der Funktionsweise von Network Flow Monitor.

**Wie Network Flow Monitor-Agenten Statistiken sammeln**  
Agenten in Network Flow Monitor werden auf AWS Rechenressourcen (Amazon EC2 und Amazon EKS) installiert, wo sie Leistungsmetriken sammeln und an das Network Flow Monitor-Backend senden. Agenten haben keinen Zugriff auf die Nutzdaten Ihrer TCP-Verbindungen. Agenten erhalten vom Linux-Kernel nur die sogenannte „bpf\$1sock\$1ops“-Struktur. Diese Struktur stellt die lokale und die Remote-IP-Adresse, den Quell- und Ziel-TCP-Port sowie Zähler und Round-Trip-Zeiten bereit. Eine Liste der vom Agenten gesammelten und veröffentlichten TCP-Statistiken finden Sie unter [Sehen Sie sich die Metriken von Network Flow Monitor an in CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).  
Der Agent verwendet die `Publish`-API von Network Flow Monitor, um Metriken an den Backend-Server von Network Flow Monitor zu senden.  
*Hinweis:* Network Flow Monitor unterstützt bis zu etwa 5 Millionen Datenflüsse pro Minute. Dies sind ungefähr 5.000 Instances (Amazon EC2- und Amazon EKS-Knoten) mit installiertem NFM-Agenten. Die Installation von Agenten auf mehr als 5000 Instances kann die Überwachungsleistung beeinträchtigen, bis zusätzliche Kapazität verfügbar ist.

**Wie Netzwerkflüsse in Network Flow Monitor kategorisiert werden**  
Network Flow Monitor unterteilt Netzwerkflüsse in Klassifizierungen, je nachdem, wo die Datenflüsse ihren Ursprung haben und wo sie enden.

# Preise für Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor.pricing"></a>

Für Network Flow Monitor fallen keine Vorabkosten oder langfristige Verpflichtungen an. Die Preisgestaltung für Network Flow Monitor besteht aus zwei Komponenten: den überwachten Ressourcen (installierte Agenten, die aktiv Daten senden) und den Verkauf von CloudWatch Metriken. Beachten Sie, dass Ihnen auch CloudWatch Standardpreise für alle zusätzlichen Metriken, Dashboards, Alarme oder Erkenntnisse, die Sie erstellen, berechnet werden.

Weitere Informationen zu Network Flow Monitor und den CloudWatch Amazon-Preisen finden Sie unter Network Monitoring auf der [ CloudWatch Amazon-Preisseite](https://aws.amazon.com//cloudwatch/pricing/).

# Erste Schritte mit Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-get-started"></a>

Dieser Abschnitt bietet einen allgemeinen Überblick über die Konfiguration von Network Flow Monitor und die anschließende Gewinnung von Erkenntnissen. Einzelheiten finden Sie in den zusätzlichen Abschnitten dieses Handbuchs zur Initialisierung von Network Flow Monitor, zur Bereitstellung von Agenten und zur Erstellung von Monitoren.
+ Initialisieren Sie Network Flow Monitor, um servicebezogene Rollenberechtigungen zu akzeptieren, einen *Geltungsbereich* für die Überwachung in Network Flow Monitor festzulegen und eine erste Topologie zu erstellen. Wenn Sie die Netzwerkleistung für Netzwerkflüsse für Instances mit AWS Organizations mehreren Konten beobachten möchten, müssen Sie die Konten integrieren und sie dann Ihrem Bereich hinzufügen. Weitere Informationen hierzu finden Sie unter [Initialisieren von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Stellen Sie *Agenten* auf Ihren Instanzen bereit, indem Sie Kubernetes verwenden AWS Systems Manager oder konfigurieren, je nachdem, wie Ihre Ressourcen bereitgestellt werden. Wenn Sie Agenten auf VPC-EC2-Instances installieren, stellen Sie sicher, dass Sie für Agenten auf jeder Instance die Berechtigungen aktivieren, Metriken an das Network-Flow-Monitor-Backend zu senden. Weitere Informationen hierzu finden Sie unter [Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents.md).
+ Sehen Sie sich die von den Agenten zurückgegebenen Metriken zu Netzwerk-Flows an, um *Workload-Einblicke* zu erlangen. Workload-Einblicke bieten einen allgemeinen Überblick über die Leistung der Netzwerk-Flows in dem überwachten Geltungsbereich.
+ Auf der Grundlage der Netzwerk-Flows, zu denen Sie detaillierte Netzwerkinformationen erhalten möchten, erstellen Sie einen oder mehrere *Monitore*. Geben Sie für jeden Monitor die lokalen und Remote-Ressourcen an, zwischen denen Sie die Netzwerk-Flows überwachen möchten. Mithilfe eines Monitors können Sie detaillierte Messwerte und Informationen anzeigen, einschließlich des Network Health Indicator, sowie Netzwerkpfade für bestimmte Netzwerk-Flows über ausgewählte Zeiträume.
+ Regelmäßig: 
  + Überprüfen Sie die Netzwerk-Flow-Informationen in den erstellten Monitoren, um mehr über Netzwerkbeeinträchtigungen in Ihren Workloads zu erfahren und die Behebung zu erleichtern.
  + Prüfen Sie Workload-Einblicke für die überwachten Netzwerk-Flows, um festzustellen, ob die erstellten Monitore die relevantesten Netzwerk-Flows abdecken oder ob es hilfreich wäre, neue Monitore zu erstellen.

# Network-Flow-Monitor-API-Operationen
<a name="CloudWatch-NetworkFlowMonitor-API-operations"></a>

In der folgenden Tabelle sehen Sie die Network-Flow-Monitor-API-Operationen, die Sie mit Network Flow Monitor verwenden können. Die Tabelle enthält außerdem Links zu relevanter Dokumentation.


| Action | API-Operation | Weitere Informationen | 
| --- | --- | --- | 
|  Einen Flow-Monitor erstellen  |  Siehe [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html)   |  Siehe [Erstellen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)  | 
|  Metriken für einen bestimmten Ressourcenbereich generieren  |  Siehe [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html)   |  Siehe [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Einen Monitor entfernen  |  Siehe [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html)   |  Siehe [Löschen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)  | 
|  Einen definierten Geltungsbereich löschen  |  Siehe [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html)   |  Siehe [Löschen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)  | 
|  Informationen zu einem Monitor abrufen  |  Siehe [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html)   |  Siehe [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Abfragedaten für die wichtigsten Faktoren in einem bestimmten Monitor abrufen  |  Siehe [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html)   |  Siehe [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Die wichtigsten Faktoren für einen definieren Geltungsbereich für Workload-Einblicke abfragen  |  Siehe [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html)   |  Siehe [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Daten zu Workload-Einblicken für die wichtigsten Faktoren in einem Geltungsbereich abfragen  |  Siehe [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html)   |  Siehe [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Vor dem Durchsehen der Ergebnisse den Status einer Abfrage nach wichtigen Faktoren in einem Monitor prüfen, um sicherzustellen, dass sie erfolgreich war  |  Siehe [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html)   |  –  | 
|  Vor dem Durchsehen der Ergebnisse den Status einer Abfrage für Workload-Einblicke nach wichtigen Faktoren prüfen, um sicherzustellen, dass sie erfolgreich war  |  Siehe [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html)   |  –  | 
|  Vor dem Durchsehen der Ergebnisse den Status einer Abfrage für Daten zu Workload-Einblicken nach wichtigen Faktoren prüfen, um sicherzustellen, dass sie erfolgreich war  |  Siehe [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData)   |  –  | 
|  Informationen zu einem Konto oder Geltungsbereich abrufen, einschließlich Namen, Status, Tags und Zieldetails  |  Siehe [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope)   |  Siehe [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Alle Monitore in einem Konto auflisten  |  Siehe [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors)   |  [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Alle Geltungsbereiche für ein Konto auflisten  |  Siehe [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes)   |  –  | 
|  Alle Tags für eine bestimmte Ressource auflisten  |  Siehe [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource)   |  Siehe [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Abfragedaten für die wichtigsten Faktoren in einem Monitor anzeigen  |  Siehe [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors)   |  Siehe [Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Eine Abfrage starten, um Daten zu Workload-Einblicken für wichtige Faktoren zu sammeln  |  Siehe [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors)   |  Siehe [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Eine Abfrage für wichtige Faktoren in einem Monitor beenden  |  Siehe [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors)   |  –  | 
|  Eine Abfrage für Daten zu Workload-Einblicken für wichtige Faktoren beenden  |  Siehe [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors)   |  –  | 
|  Eine Abfrage für Daten zu Workload-Einblicken für wichtige Faktoren beenden  |  Siehe [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData)   |  –  | 
|  Fügen Sie einer Ressource ein Tag hinzu.  |  Siehe [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource)   |  Siehe [Bearbeiten eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Ein Tag von einer Ressource entfernen  |  Siehe [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource)   |  Siehe [Bearbeiten eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Einen Monitor aktualisieren, um lokale oder Remote-Ressourcen hinzuzufügen oder zu entfernen  |  Siehe [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor)   |  Siehe [Bearbeiten eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Einen Geltungsbereich ändern, um Ressourcen hinzuzufügen oder zu entfernen, für die Network Flow Monitor Metriken generiert  |  Siehe [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope)   |  –  | 

# Beispiele für die Verwendung der CLI mit Network Flow Monitor
<a name="CloudWatch-NFM-get-started-CLI"></a>

Dieser Abschnitt enthält Beispiele für die Verwendung von Vorgängen AWS Command Line Interface mit Network Flow Monitor. 

Bevor Sie beginnen, stellen Sie sicher, dass Sie sich AWS CLI mit dem AWS Konto anmelden, das den Bereich bereitstellt, den Sie zur Überwachung der Netzwerkflüsse verwenden möchten. Weitere Informationen zur Verwendung von API-Aktionen mit Network Flow Monitor finden Sie im [Referenzhandbuch für die Network-Flow-Monitor-API](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).

**Topics**
+ [Einen Monitor erstellen](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Monitordetails anzeigen](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Erstellen eines Geltungsbereichs](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Einen Monitor löschen](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Einen Geltungsbereich löschen](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Abrufen von Informationen zu einem Monitor](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Daten zu bestimmten Abfragen abrufen](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Informationen zum Geltungsbereich anzeigen](#CloudWatch-NFM-get-scope)
+ [Eine Liste der Monitore für ein Konto anzeigen](#CloudWatch-NFM-list-monitors)
+ [Eine Liste der Geltungsbereiche für ein Konto anzeigen](#CloudWatch-NFM-list-scopes)
+ [Die Liste der Tags für einen Monitor anzeigen](#CloudWatch-NFM-list-tags-for-resource)
+ [Abfragen starten und beenden](#CloudWatch-NFM-query-monitors)
+ [Einen Monitor markieren](#CloudWatch-NFM-tag-resource)
+ [Ein Tag von einem Monitor entfernen](#CloudWatch-NFM-untag-resource)
+ [Einen Monitor aktualisieren](#CloudWatch-NFM-update-monitor)

## Einen Monitor erstellen
<a name="CloudWatch-NFM-get-started-CLI-create-monitor"></a>

Verwenden Sie den `create-monitor` Befehl AWS CLI, um einen Monitor mit dem zu erstellen. Im folgenden Beispiel wird ein Monitor mit dem Namen `demo` im angegebenen Konto erstellt.

```
aws networkflowmonitor create-monitor \
        --monitor-name demo \
        --local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"  \
        --scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```

Ausgabe:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
        "monitorName": "demo",
        "monitorStatus": "ACTIVE",
        "tags": {}
    }
```

Weitere Informationen finden Sie unter [Erstellen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).

## Monitordetails anzeigen
<a name="CloudWatch-NFM-get-started-CLI-mon-details"></a>

Verwenden Sie den `get-monitor` Befehl AWS CLI, um Informationen über einen Monitor mit dem anzuzeigen.

```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```

Ausgabe:

```
{
    "ClientLocationType": "city",
    "CreatedAt": "2022-09-22T19:27:47Z",
    "ModifiedAt": "2022-09-22T19:28:30Z",
    "MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
    "MonitorName": "TestMonitor",
    "ProcessingStatus": "OK",
    "ProcessingStatusInfo": "The monitor is actively processing data",
    "Resources": [
        "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
    ],
    "MaxCityNetworksToMonitor": 10000,
    "Status": "ACTIVE"
}
```

## Erstellen eines Geltungsbereichs
<a name="CloudWatch-NFM-get-started-CLI-create-scope"></a>

Im folgenden Beispiel für `create-scope` wird ein Geltungsbereich mit einer Reihe von Ressourcen erstellt, für die Network Flow Monitor Metriken zum Netzwerkverkehr generiert.

```
aws networkflowmonitor create-scope \
        --targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```

Ausgabe:

```
    {
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "IN_PROGRESS",
        "tags": {}
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Einen Monitor löschen
<a name="CloudWatch-NFM-get-started-CLI-delete-monitor"></a>

Im folgenden Beispiel für `delete-monitor` wird ein Monitor mit dem Namen `Demo` in Ihrem Konto gelöscht.

```
aws networkflowmonitor delete-monitor \
        --monitor-name Demo
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Löschen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).

## Einen Geltungsbereich löschen
<a name="CloudWatch-NFM-get-started-CLI-delete-scope"></a>

Im folgenden Beispiel für `delete-scope` wird der angegebene Geltungsbereich gelöscht.

```
aws networkflowmonitor delete-scope \
        --scope-id sample-aaaa-bbbb-cccc-44556677889
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Abrufen von Informationen zu einem Monitor
<a name="CloudWatch-NFM-get-started-CLI-get-monitor"></a>

Im folgenden Beispiel für `get-monitor` werden Informationen zum Monitor `demo` im angegebenen Konto angezeigt.

```
aws networkflowmonitor get-monitor \ 
        --monitor-name Demo
```

Ausgabe:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "localResources": [
            {
                "type": "AWS::EC2::VPC",
                "identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ],
        "remoteResources": [],
        "createdAt": "2024-12-09T12:21:51.616000-06:00",
        "modifiedAt": "2024-12-09T12:21:55.412000-06:00",
        "tags": {}
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Daten zu bestimmten Abfragen abrufen
<a name="CloudWatch-NFM-get-started-CLI-get-query-results"></a>

Die folgenden Abschnitte enthalten CLI-Beispielbefehle zum Abrufen von Abfragestatus.

### get-query-results-workload-insights-top-contributors-data
<a name="get-query-results-workload-insights-top-contributors-data"></a>

Im Beispiel für `get-query-results-workload-insights-top-contributors-data` werden die Daten für die angegebene Abfrage zurückgegeben.

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Ausgabe:

```
{
        "datapoints": [
            {
                "timestamps": [
                    "2024-12-09T19:00:00+00:00",
                    "2024-12-09T19:05:00+00:00",
                    "2024-12-09T19:10:00+00:00"
                ],
                "values": [
                    259943.0,
                    194856.0,
                    216432.0
                ],
                "label": "use1-az6"
            }
        ],
        "unit": "Bytes"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

Im folgenden Beispiel für `get-query-results-workload-insights-top-contributors` werden die Daten für die angegebene Abfrage zurückgegeben.

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Ausgabe:

```
{
        "topContributors": [
            {
                "accountId": "111122223333",
                "localSubnetId": "subnet-SAMPLE1111",
                "localAz": "use1-az6",
                "localVpcId": "vpc-SAMPLE2222",
                "localRegion": "us-east-1",
                "remoteIdentifier": "",
                "value": 333333,
                "localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
                "localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ]
    }
```

### get-query-status-monitor-Top-Mitwirkende
<a name="get-query-status-monitor-top-contributors"></a>

Im folgenden Beispiel für `get-query-status-monitor-top-contributors` wird der aktuelle Status der Abfrage im angegebenen Konto angezeigt.

```
aws networkflowmonitor get-query-status-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Ausgabe:

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-status-workload-insights-top-contributors-data
<a name="get-query-status-workload-insights-top-contributors-data"></a>

Im folgenden Beispiel für `get-query-status-workload-insights-top-contributors-data` wird der aktuelle Status der Abfrage im angegebenen Konto angezeigt.

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Ausgabe:

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

Im folgenden Beispiel für `get-query-results-workload-insights-top-contributors` wird der aktuelle Status der Abfrage im angegebenen Konto angezeigt.

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Ausgabe:

```
{
        "status": "SUCCEEDED"
    }
```

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

## Informationen zum Geltungsbereich anzeigen
<a name="CloudWatch-NFM-get-scope"></a>

Im folgenden Beispiel für `get-scope` werden Informationen zu einem Geltungsbereich angezeigt, z. B. Status, Tags, Name und Zieldetails.

```
aws networkflowmonitor get-scope \
        --scope-id sample-aaaa-bbbb-cccc-11112222333
```

Ausgabe:

```
{
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "SUCCEEDED",
        "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
        "targets": [
            {
                "targetIdentifier": {
                    "targetId": {
                        "accountId": "111122223333"
                    },
                    "targetType": "ACCOUNT"
                },
                "region": "us-east-1"
            }
        ],
        "tags": {}
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Eine Liste der Monitore für ein Konto anzeigen
<a name="CloudWatch-NFM-list-monitors"></a>

Im folgenden Beispiel für `list-monitors` werden alle Monitore im angegebenen Konto zurückgegeben.

```
aws networkflowmonitor list-monitors
```

Ausgabe:

```
{
        "monitors": [
            {
                "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
                "monitorName": "Demo",
                "monitorStatus": "ACTIVE"
            }
        ]
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Eine Liste der Geltungsbereiche für ein Konto anzeigen
<a name="CloudWatch-NFM-list-scopes"></a>

Im folgenden Beispiel für `list-scopes` werden alle Geltungsbereiche im angegebenen Konto aufgelistet.

```
aws networkflowmonitor list-scopes
```

Ausgabe:

```
{
        "scopes": [
            {
                "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
                "status": "SUCCEEDED",
                "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
            }
        ]
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Die Liste der Tags für einen Monitor anzeigen
<a name="CloudWatch-NFM-list-tags-for-resource"></a>

Im folgenden Beispiel für `list-tags-for-resource` werden alle Tags abgerufen, die der angegebenen Ressource zugeordnet sind.

```
aws networkflowmonitor list-tags-for-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```

Ausgabe:

```
{
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

Weitere Informationen finden Sie unter [Markierung von Ressourcen von Amazon CloudWatch Events](CloudWatch-Tagging.md).

## Abfragen starten und beenden
<a name="CloudWatch-NFM-query-monitors"></a>

Die folgenden Abschnitte enthalten CLI-Beispielbefehle zum Starten und Beenden von Abfragen in Network Flow Monitor.

### start-query-monitor-top-Mitwirkende
<a name="start-query-monitor-top-contributors"></a>

Im folgenden Beispiel für `start-query-monitor-top-contributors` wird die Abfrage gestartet, die eine Abfrage-ID zurückgibt, um die wichtigsten Faktoren abzurufen.

```
aws networkflowmonitor start-query-monitor-top-contributors \
        --monitor-name Demo \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Ausgabe:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### start-query-workload-insights-top-contributors-data
<a name="start-query-workload-insights-top-contributors-data"></a>

Im folgenden Beispiel für `start-query-workload-insights-top-contributors-data` wird die Abfrage gestartet, die eine Abfrage-ID zurückgibt, um die wichtigsten Faktoren abzurufen.

```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Ausgabe:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### start-query-workload-insights-Top-Mitwirkende
<a name="start-query-workload-insights-top-contributors"></a>

Im folgenden Beispiel für `start-query-workload-insights-top-contributors` wird die Abfrage gestartet, die eine Abfrage-ID zurückgibt, um die wichtigsten Faktoren abzurufen.

```
aws networkflowmonitor start-query-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Ausgabe:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-monitor-top-Mitwirkende
<a name="stop-query-monitor-top-contributors"></a>

Im folgenden Beispiel für `stop-query-monitor-top-contributors` wird die Abfrage im angegebenen Konto beendet.

```
aws networkflowmonitor stop-query-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-workload-insights-top-contributors-data
<a name="stop-query-workload-insights-top-contributors-data"></a>

Im folgenden Beispiel für `stop-query-workload-insights-top-contributors-data` wird die Abfrage im angegebenen Konto beendet.

```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-workload-insights-Top-Mitwirkende
<a name="stop-query-workload-insights-top-contributors"></a>

Im folgenden Beispiel für `stop-query-workload-insights-top-contributors` wird die Abfrage im angegebenen Konto beendet.

```
aws networkflowmonitor stop-query-workload-insights-top-contributors \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Bewerten von Netzwerk-Flows mit Workload-Einblicken](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

## Einen Monitor markieren
<a name="CloudWatch-NFM-tag-resource"></a>

Im folgenden Beispiel für `tag-resource` wird ein Monitor im angegebenen Konto mit einem Tag versehen.

```
aws networkflowmonitor tag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tags Key=stack,Value=Production
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Markierung von Ressourcen von Amazon CloudWatch Events](CloudWatch-Tagging.md).

## Ein Tag von einem Monitor entfernen
<a name="CloudWatch-NFM-untag-resource"></a>

Im folgenden Beispiel für `untag-resource` wird ein Tag von einem Monitor im angegebenen Konto entfernt.

```
aws networkflowmonitor untag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tag-keys stack
```

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter [Markierung von Ressourcen von Amazon CloudWatch Events](CloudWatch-Tagging.md).

## Einen Monitor aktualisieren
<a name="CloudWatch-NFM-update-monitor"></a>

Im folgenden Beispiel für `update-monitor` wird ein Monitor mit dem Namen „Demo“ im angegebenen Konto aktualisiert.

```
aws networkflowmonitor update-monitor \
        --monitor-name Demo \
        --local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```

Ausgabe:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

Weitere Informationen finden Sie unter [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

# Arbeite mit EKS
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks"></a>

Mit Network Flow Monitor können Sie Leistungsmetriken für Workloads sammeln, die Amazon Elastic Kubernetes Service (Amazon EKS) verwenden. In diesem Kapitel erfahren Sie, wie Sie den Agenten installieren, step-by-step und es werden die verschiedenen EKS-Szenarien beschrieben, die Sie überwachen können. In der Konsole finden Sie auch detaillierte Beschreibungen der Metadaten, die Network Flow Monitor für Amazon EKS bereitstellt, damit Sie die Netzwerkleistung besser verstehen können.

Um die Vorteile der Network Flow Monitor-Leistungsüberwachung nutzen zu können, müssen Sie zunächst das AWS Network Flow Monitor Agent-Add-on für Amazon EKS installieren. Weitere Informationen finden Sie unter [Installieren Sie das EKS AWS Network Flow Monitor Agent-Add-on](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md). 

Wenn Sie einen einzelnen EKS-Cluster mit verbesserter Sichtbarkeit des Workload-Datenverkehrs und Leistungseinblicken innerhalb des Clusters und mit externen Zielen überwachen möchten, finden Sie weitere Informationen unter [Amazon EKS Network Observability](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).

**Topics**
+ [Installieren Sie das EKS AWS Network Flow Monitor Agent-Add-on](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Zusätzliche Netzwerkpfad-Metadaten für Amazon EKS enthalten](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)

# Installieren Sie das EKS AWS Network Flow Monitor Agent-Add-on
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks"></a>

Folgen Sie den Schritten in diesem Abschnitt, um das AWS Network Flow Monitor Agent-Add-on für Amazon Elastic Kubernetes Service (Amazon EKS) zu installieren, um Network Flow Monitor-Metriken von Kubernetes-Clustern an das Network Flow Monitor-Backend zu senden. Nachdem Sie die Schritte abgeschlossen haben, werden die AWS Network Flow Monitor Agent-Pods auf all Ihren Kubernetes-Clusterknoten ausgeführt.

Wenn Sie selbstverwaltete Kubernetes-Cluster verwenden, finden Sie die entsprechenden Installationsschritte im vorherigen Abschnitt: [Installieren von Agenten für selbstverwaltete Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md). 

Beachten Sie, dass [vom Kunden verwaltete Präfixlisten](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) für Network Flow Monitor nicht unterstützt werden.

Sie können das Add-On über die Konsole oder mithilfe von API-Befehlen über die AWS Command Line Interface installieren.

**Topics**
+ [Voraussetzungen für die Installation des Add-Ons](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Installieren des Add-Ons über die Konsole](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Installieren des Add-Ons über die CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Für Tools von Drittanbietern konfigurieren](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)

## Voraussetzungen für die Installation des Add-Ons
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq"></a>

Unabhängig davon, ob Sie die Konsole oder die CLI verwenden, um das AWS Network Flow Monitor Agent-Add-on zu installieren, gibt es mehrere Voraussetzungen für die Installation des Add-ons mit Kubernetes.

**Sicherstellen, dass Ihre Version von Kubernetes unterstützt wird**  
Für die Installation des Network-Flow-Monitor-Agenten brauchen Sie mindestens Kubernetes Version 1.25.

**Installieren des Add-Ons „Amazon EKS Pod Identity Agent“**  
Sie können das Add-On „Amazon EKS Pod Identity Agent“ in der Konsole oder über die CLI installieren.   
Amazon-EKS-Pod-Identity-Zuordnungen bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen. Amazon EKS Pod Identity bietet Anmeldeinformationen für Ihre Workloads mit einer zusätzlichen Amazon-EKS-Auth-API und einem Agent-Pod, der auf jedem Knoten ausgeführt wird.  
Weitere Informationen und die Schritte zur Installation des Add-Ons für Amazon EKS Pod Identity finden Sie unter [Einrichten des Amazon-EKS-Pod-Identity-Agenten](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) im Benutzerhandbuch für Amazon EKS.

## Installieren Sie das AWS Network Flow Monitor Agent-Add-on mithilfe der Konsole
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console"></a>

Folgen Sie den Schritten in diesem Abschnitt, um das AWS Network Flow Monitor Agent-Add-on in der Amazon EKS-Konsole zu installieren und zu konfigurieren.

Wenn Sie das Add-On bereits installiert und Probleme beim Aktualisieren auf eine neue Version haben, finden Sie weitere Informationen unter [Beheben von Problemen bei der Installation von EKS-Agenten](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation).

Bevor Sie beginnen, sollten Sie das Add-On „Amazon EKS Pod Identity Agent“ installiert haben. Weitere Informationen finden Sie im [vorherigen Abschnitt](#NFMPodIdentity).

**Installieren Sie das Add-On über die Konsole wie folgt:**

1. Navigieren Sie in der AWS-Managementkonsole zur Amazon EKS-Konsole.

1. Auf der Seite für die Installation von Add-Ons wählen Sie in der Liste der Add-Ons **AWS Network Flow Monitor Agent** aus.

1. Konfigurieren Sie die Add-On-Einstellungen.

   1. Wählen Sie für **Add-On-Zugriff** die Option **EKS Pod Identity** aus.

   1. Verwenden Sie für die IAM-Rolle, die mit dem Add-on verwendet werden soll, eine Rolle, der die folgende AWS verwaltete Richtlinie zugewiesen ist: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Diese Richtlinie erteilt einem Agenten die Berechtigung, Telemetrieberichte an den Network-Flow-Monitor-Endpunkt zu senden. Wenn Sie noch keine Rolle mit der angefügten Richtlinie haben, wählen Sie die Option **Empfohlene Rolle erstellen** aus und folgen Sie den Schritten in der IAM-Konsole.

   1. Wählen Sie **Weiter** aus.

1. Prüfen Sie die Add-On-Konfiguration auf der Seite **Überprüfen und hinzufügen** und wählen Sie dann **Erstellen** aus.

## Installieren Sie das AWS Network Flow Monitor Agent-Add-on mithilfe des AWS Command Line Interface
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli"></a>

Folgen Sie den Schritten in diesem Abschnitt, um das AWS Network Flow Monitor Agent-Add-on für Amazon EKS mithilfe von zu installieren AWS Command Line Interface.

**1. Add-On „EKS Pod Identity Agent“ installieren**  
Bevor Sie beginnen, sollten Sie das Add-On „Amazon EKS Pod Identity Agent“ installiert haben. Weitere Informationen finden Sie [in diesem vorherigen Abschnitt](#NFMPodIdentity).

**2. Erforderliche IAM-Rolle erstellen**  
Das AWS Network Flow Monitor Agent-Add-on muss über die Berechtigung verfügen, Metriken an das Network Flow Monitor-Backend zu senden. Sie müssen eine Rolle mit den erforderlichen Berechtigungen anfügen, wenn Sie das Add-On erstellen. Erstellen Sie eine Rolle, der die folgende AWS verwaltete Richtlinie angehängt ist: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Sie benötigen den ARN dieser IAM-Rolle, um das Add-On zu installieren.

**3. Installieren Sie das AWS Network Flow Monitor Agent-Add-on**  
Führen Sie den folgenden Befehl aus, um das AWS Network Flow Monitor Agent-Add-on für Ihren Cluster zu installieren:  
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`  
Das Ergebnis sollte in etwa wie folgt aussehen:  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "CREATING",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

**4. Sicherstellen, dass das Add-On aktiv ist**  
Überprüfen Sie das installierte AWS Network Flow Monitor Agent-Add-on, um sicherzustellen, dass es für Ihren Cluster aktiv ist. Führen Sie den folgenden Befehl aus, um zu verifizieren, dass der Status `ACTIVE` lautet:  
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`  
Das Ergebnis sollte in etwa wie folgt aussehen:  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

# Konfigurieren Sie das Add-on für Überwachungstools von Drittanbietern
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party"></a>

Sie können das Network Flow Monitor-Add-on so konfigurieren, dass ein OpenMetrics Server während der Installation verfügbar ist. Dies ermöglicht die Integration mit Überwachungstools von Drittanbietern wie Prometheus, sodass Sie Netzwerkflussmetriken zusammen mit Ihrer bestehenden Monitoring-Infrastruktur erfassen und analysieren können. [Erfahren Sie mehr über](https://openmetrics.io/). OpenMetrics Diese Funktion ist ab der Add-On-Version v1.1.0 verfügbar.

Um den OpenMetrics Server zu aktivieren, fügen Sie OPEN\$1METRICS, OPEN\$1METRICS\$1ADDRESS und OPEN\$1METRICS\$1PORT zu den Konfigurationswerten des EKS Network Flow Monitor-Add-ons hinzu. In diesem Handbuch wird erklärt, wie Sie dies sowohl mit der CLI als auch mit der Konsole tun können. Weitere Informationen zum Hinzufügen von [Konfigurationswerten finden Sie unter Erweiterte Konfiguration von Amazon EKS-Add-ons](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/).

## CLI-Konfiguration
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-cli"></a>

Bei der Verwendung AWS Command Line Interface können Sie die Konfigurationswerte als Parameter angeben:

```
aws eks create-addon \
  --cluster-name my-cluster-name \
  --addon-name aws-network-flow-monitoring-agent \
  --addon-version v1.1.0-eksbuild.1 \
  --configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```

## Konfiguration der Konsole
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-console"></a>

Bei Verwendung der Amazon EKS-Konsole können diese Werte unter Optionale Konfigurationseinstellungen als Teil der Konfigurationswerte hinzugefügt werden.

**JSON-Beispiel:**

```
{
    "env": {
        "OPEN_METRICS": "on",
        "OPEN_METRICS_ADDRESS": "0.0.0.0",
        "OPEN_METRICS_PORT": 9109
    }
}
```

**Beispiel für YAML:**

```
env:
  OPEN_METRICS: "on"
  OPEN_METRICS_ADDRESS: "0.0.0.0"
  OPEN_METRICS_PORT: 9109
```

## OpenMetric Zusatzparameter für EKS Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-parameters"></a>
+ **OPEN\$1METRICS:**
  + Aktiviert oder deaktiviert offene Metriken. Deaktiviert, wenn nicht angegeben
  + Typ: Zeichenfolge
  + Werte: ["on“, „off"]
+ **OPEN\$1METRICS\$1ADDRESS:**
  + Abhörende IP-Adresse für den Open-Metrics-Endpunkt. Der Standardwert ist 127.0.0.1, falls nicht angegeben
  + Typ: Zeichenfolge
+ **OPEN\$1METRICS\$1PORT:**
  + Listening-Port für den Open-Metrics-Endpunkt. Der Standardwert ist 80, falls nicht angegeben
  + Typ: Ganzzahl
  + Bereich: [0.. 65535]

**Wichtig:** Wenn OPEN\$1METRICS\$1ADDRESS auf 0.0.0.0 gesetzt wird, ist der Metrikendpunkt von jeder Netzwerkschnittstelle aus zugänglich. Erwägen Sie, 127.0.0.1 nur für den Zugriff auf Localhost zu verwenden, oder implementieren Sie geeignete Netzwerksicherheitskontrollen, um den Zugriff nur auf autorisierte Überwachungssysteme zu beschränken.

## Fehlerbehebung
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting"></a>

Wenn Sie Probleme mit der OpenMetrics Serverkonfiguration haben, verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu lösen.

### Metriken werden nicht angezeigt
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-not-displaying"></a>

Problem: Der OpenMetrics Server ist konfiguriert, aber die Messwerte werden nicht in Ihrem Monitoring-Tool angezeigt.

Schritte zur Fehlerbehebung:

1. Stellen Sie sicher, dass der OpenMetrics Server in Ihrer Add-On-Konfiguration aktiviert ist:
   + Vergewissern Sie sich, dass OPEN\$1METRICS in Ihren Konfigurationswerten auf „on“ gesetzt ist. [Siehe describe-addon.](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html)
   + Vergewissern Sie sich in den Einstellungen Ausgewählte Add-Ons *konfigurieren*, dass es sich bei der Add-On-Version um Version v1.1.0 oder höher handelt.

1. Testen Sie den Metrik-Endpunkt direkt:
   + Greifen Sie unter http://*pod-ip:port*/metrics auf die Metriken zu (ersetzen Sie pod-ip durch die tatsächliche Pod-IP-Adresse und port durch Ihren konfigurierten Port).
   + Wenn Sie nicht auf den Endpunkt zugreifen können, überprüfen Sie Ihre Netzwerkkonfiguration und Ihre Sicherheitsgruppeneinstellungen.

1. Überprüfen Sie die Konfiguration Ihres Überwachungstools. Einzelheiten zu den folgenden Schritten finden Sie in Ihrem Benutzerhandbuch zu den Überwachungstools:
   + Stellen Sie sicher, dass Ihr Überwachungstool (wie Prometheus) so konfiguriert ist, dass es den richtigen Endpunkt scrapt.
   + Vergewissern Sie sich, dass die Einstellungen für das Scraping-Intervall und das Timeout korrekt sind.
   + Stellen Sie sicher, dass Ihr Überwachungstool Netzwerkzugriff auf die Pod-IP-Adresse hat.

### Für bestimmte Pods fehlen Metriken
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-missing-pods"></a>

Problem: Metriken sind für einige Pods verfügbar, für andere jedoch nicht in Ihrem Cluster.

Schritte zur Fehlerbehebung:

Das Network Flow Monitor-Add-on unterstützt keine Pods, die hostNetwork: true verwenden. Wenn Ihre Pod-Spezifikation diese Einstellung enthält, sind für diese Pods keine Metriken verfügbar.

Problemumgehung: Entfernen Sie nach Möglichkeit die Einstellung hostNetwork: true aus Ihrer Pod-Spezifikation. Wenn Sie für Ihre Anwendung ein Host-Netzwerk benötigen, sollten Sie alternative Überwachungsansätze für diese spezifischen Pods in Betracht ziehen.

### Fehler beim Ablehnen der Verbindung
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-connection-refused"></a>

Problem: Sie erhalten die Fehlermeldung „Verbindung verweigert“, wenn Sie versuchen, auf den Metrik-Endpunkt zuzugreifen.

Schritte zur Fehlerbehebung:

1. Überprüfen Sie die OPEN\$1METRICS\$1ADDRESS-Konfiguration:
   + Wenn auf 127.0.0.1 gesetzt, ist der Endpunkt nur vom Pod aus zugänglich.
   + Wenn auf 0.0.0.0 gesetzt, sollte der Endpunkt von anderen Pods im Cluster aus zugänglich sein.
   + Stellen Sie sicher, dass Ihr Überwachungstool die konfigurierte Adresse erreichen kann.

1. Überprüfen Sie die OPEN\$1METRICS\$1PORT-Konfiguration:
   + Stellen Sie sicher, dass die Portnummer nicht bereits von einem anderen Dienst verwendet wird.
   + Stellen Sie sicher, dass der Port im gültigen Bereich (1—65535) liegt.
   + Vergewissern Sie sich, dass alle Sicherheitsgruppen oder Netzwerkrichtlinien den Verkehr über diesen Port zulassen.

### Schritte zur Überprüfung
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-verification"></a>

Gehen Sie wie folgt vor, um zu überprüfen, ob Ihre OpenMetrics Konfiguration korrekt funktioniert:

1. Überprüfen Sie den Status des Add-ons:

   ```
   aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
   ```

1. Überprüfen Sie den Pod-Status:

   ```
   kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
   ```

1. Testen Sie den Metrik-Endpunkt innerhalb des Clusters:

   ```
   kubectl exec add-on-pod-name -- curl localhost:9109/metrics
   ```

   Ersetzen Sie 9109 durch Ihre konfigurierte Portnummer und den Pod-Namen durch einen AddOn Pod-Namen.

# Zusätzliche Netzwerkpfad-Metadaten für Amazon EKS enthalten
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata"></a>

Wenn Network Flow Monitor Leistungsmetriken für Netzwerkflüsse zwischen Amazon EKS-Komponenten sammelt, enthält er zusätzliche Metadateninformationen über den Netzwerkpfad, damit Sie besser verstehen können, wie die Netzwerkpfade für Ihren Workload funktionieren.

Sie können detaillierte Informationen zur Amazon EKS-Netzwerkflussleistung anzeigen, indem Sie einen Monitor für die Netzwerkflüsse erstellen, an denen Sie interessiert sind, und dann die Details auf der Registerkarte **Historischer Explorer** anzeigen.

Mit Network Flow Monitor können Sie die Netzwerkleistung zwischen den folgenden Amazon EKS-Komponenten messen, um besser zu verstehen, wie Ihre Arbeitslast mit Ihrer Amazon EKS-Konfiguration abschneidet, und um festzustellen, wo Engpässe oder Beeinträchtigungen bestehen.
+ Pod zu Pod auf demselben Knoten
+ Von Knoten zu Knoten auf demselben Cluster
+ Pod zu Pod auf einem anderen Cluster
+ Von Knoten zu Knoten auf verschiedenen Clustern
+ Mit und ohne Network Load Balancer

In der folgenden Tabelle sind die Informationen aufgeführt, die Network Flow Monitor für jedes Netzwerkflussszenario zurückgibt.


| **Informationen zur Verbindung** | **Informationen zu Metadaten** |  | **Lokal** | **Aus der Ferne** | **Szenario** | **Initiiert von** | **Lokal** | **Ferngesteuert** | **Name des Pods** | **Service** | **Namespace** | **Pod-Name** | **Service** | **Namespace** | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Lokaler Pod, der eine Verbindung zur Cluster-IP eines anderen internen Clusterdienstes herstellt | Local | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Pods (über die Cluster-IP-Adresse) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ | 
| Lokaler Pod in einem Knoten-Netzwerk-Namespace, der eine Verbindung zur Cluster-IP eines anderen internen Clusterdienstes herstellt | Local | IP-Adresse des lokalen Knotens | IP-Adresse des Remote-Pods (über die Cluster-IP-Adresse) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ | 
| Lokaler Pod, der eine Verbindung zur individuellen Pod-IP-Adresse eines anderen Pods herstellt (Headless-Service) | Local | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Pods | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Lokaler Pod, der eine Verbindung zur individuellen Pod-IP-Adresse eines anderen Pods im Netzwerk-Namespace des Knotens herstellt (Headless-Service) | Local | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Knotens | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Lokaler Pod, der eine Verbindung zum Remote-Pod in einem anderen Cluster herstellt | Local | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Pods (ein weiterer Cluster) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| Lokaler Pod, der eine Verbindung zu einer externen Netzwerkadresse herstellt | Local | Lokale Pod-IP-Adresse | Externe IP-Adresse | ✓ | ✓ | ✓ | – | – | – | 
| Lokaler Pod, der in einem Knoten-Netzwerk-Namespace betrieben wird und eine Verbindung zu einer externen Netzwerk-IP-Adresse herstellt | Local | IP-Adresse des lokalen Knotens | Externe IP-Adresse | ✓ ² | ✓ ² | ✓ ² | – | – | – | 
| Remote-Pod stellt über die Cluster-IP-Adresse eine Verbindung zum lokalen Pod her | Remote | Lokale Pod-IP-Adresse (über die Cluster-IP-Adresse) | IP-Adresse des Remote-Pods | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Remote-Pod in einem Netzwerk-Namespace eines Knotens, der eine Verbindung zum lokalen Pod herstellt | Remote | Lokale Pod-IP-Adresse (über die Cluster-IP-Adresse) | IP-Adresse des Remote-Knotens | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ | 
| Remote-Pod stellt eine Verbindung zum lokalen Pod her (Headless-Service) | Remote | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Pods | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Externer Pod, der eine Verbindung zu einem lokalen Pod herstellt | Remote | Lokale Pod-IP-Adresse | IP-Adresse des Remote-Pods | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| Externe Ressource, die über NodePort oder einen Load Balancer eine Verbindung zu einem lokalen Pod herstellt | Remote | Lokale Pod-IP-Adresse | Externe IP-Adresse ⁴ | ✓ | ✓ | ✓ | – | – | – | 
| Externe Ressource, die über NodePort oder einen Load Balancer eine Verbindung zu einem lokalen Pod herstellt, der in einem Knotennetzwerk-Namespace betrieben wird | Remote | IP-Adresse des lokalen Knotens | Externe IP-Adresse ⁴ | ✓ | ✓ | ✓ | – | – | – | 

Beachten Sie die folgenden zusätzlichen Informationen, die sich auf die in der vorherigen Tabelle mit Fußnoten markierten Elemente beziehen.

1. Der Pod-Name ist in diesem Szenario für Pods mit anderen Besitzern nicht sichtbar, z. B. für einen Kubernetes-Dienst, der von der EKS-Steuerebene verwaltet wird.

1. Lokaler Pod-Name, Dienst und Namespace werden nicht aufgelöst, wenn andere Pods im Netzwerk-Namespace des Knotens vorhanden sind.

1. Name, Dienst und Namespace des Remote-Pods werden nicht aufgelöst, wenn andere Pods im Netzwerk-Namespace des Knotens vorhanden sind.

1. Wenn der Dienst den Instanzmodus verwendet NodePort oder sich LoadBalancer im Instanzmodus `ExternalTrafficPolicy` befindet und auf eingestellt ist`Cluster`, wird diese IP-Adresse als IP-Adresse des Knotens gemeldet, der die Verbindung empfängt. NodePort 

# Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances
<a name="CloudWatch-NetworkFlowMonitor-agents"></a>

Um Leistungsmetriken für Netzwerkflüsse in Ihren AWS Workloads bereitzustellen, stützt sich Network Flow Monitor auf von Ihnen installierte *Agenten*, die die Metriken an Network Flow Monitor senden. Sie installieren Network-Flow-Monitor-Agenten auf Ihren Instances und legen dann die richtigen Berechtigungen für die Agenten fest, damit sie Metriken an das Network-Flow-Monitor-Backend senden können.

Ein Agent ist eine einfache Softwareanwendung, die Sie auf Ressourcen wie VPC-EC2-Instances installieren. Agenten senden kontinuierlich Leistungsmetriken an das Network-Flow-Monitor-Backend. Anschließend können Sie die Metriken auf der Seite mit den **Workload-Einblicken** in der Network-Flow-Monitor-Konsole einsehen. Sie können auch detaillierte Metriken für einen bestimmten Netzwerk-Flow oder eine Reihe von Flows verfolgen, indem Sie einen Monitor erstellen.

Die Schritte, die Sie befolgen, um Agenten in Ihren Instances bereitzustellen, hängen vom Instance-Typ ab: Amazon EKS Kubernetes-Instances, VPC EC2-Instances oder selbstverwaltete Kubernetes-Instances (ohne EKS).
+ Informationen zur Arbeit mit Amazon EKS, einschließlich der Installation von Agenten auf EKS, finden Sie unter[Arbeite mit EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Informationen zur Installation von Agenten auf VPC EC2-Instances und selbstverwalteten Kubernetes-Instances finden Sie in den Abschnitten in diesem Kapitel.

Sie können eine private Verbindung zwischen Ihrer VPC und den Network Flow Monitor-Agenten herstellen, indem Sie AWS PrivateLink Weitere Informationen finden Sie unter [Verwendung CloudWatch, CloudWatch Synthetics und CloudWatch Netzwerküberwachung mit VPC-Endpunkten mit Schnittstellen](cloudwatch-and-interface-VPC.md).

**Topics**
+ [Linux-Versionen, die für Network Flow Monitor-Agenten unterstützt werden](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Agenten für EC2-Instances installieren und verwalten](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Installieren von Agenten für selbstverwaltete Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)

# Linux-Versionen, die für Network Flow Monitor-Agenten unterstützt werden
<a name="CloudWatch-NetworkFlowMonitor-agents-versions"></a>

Die Instances, auf denen Sie Agenten installieren, müssen unterstützte Versionen und Distributionen von Linux ausführen. Network Flow Monitor unterstützt nur Agenten, die unter Linux ausgeführt werden, und die Linux-Kernelversion muss 5.8 oder höher sein. Folgende Linux-Distributionen werden unterstützt. Agenten werden für die Ausführung auf den neuesten Versionen dieser Distributionen getestet.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Debian-Distributionen für x86 und aarch64

# Agenten für EC2-Instances installieren und verwalten
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2"></a>

Führen Sie die Schritte in diesem Abschnitt aus, um Network-Flow-Monitor-Agenten für Workloads auf Amazon-EC2-Instances zu installieren. Sie können Agenten mithilfe von SSM installieren oder vorgefertigte Pakete für den Network-Flow-Monitor-Agenten über die Befehlszeile herunterladen und installieren.

Unabhängig davon, wie Sie Agenten auf EC2-Instances installieren, müssen Sie Berechtigungen für die Agenten konfigurieren, damit sie Leistungsmetriken an das Network-Flow-Monitor-Backend senden können.

**Topics**
+ [Konfigurieren von Berechtigungen für Agents](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [EC2-Instance-Agenten mit SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Herunterladen und Installieren des Agenten](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)

# Konfigurieren von Berechtigungen für Agents
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-permissions"></a>

Damit Agenten Metriken an das Aufnahme-Backend von Network Flow Monitor senden können, müssen die EC2-Instances, auf denen die Agenten ausgeführt werden, eine Rolle mit einer Richtlinie zuweisen, die die richtigen Berechtigungen enthält. Um die erforderlichen Berechtigungen bereitzustellen, verwenden Sie eine Rolle, der die folgende AWS verwaltete Richtlinie zugewiesen ist: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Fügen Sie diese Richtlinie an die IAM-Rollen der EC2-Instances an, auf denen Sie Network-Flow-Monitor-Agenten installieren möchten.

Wir empfehlen, dass Sie die Berechtigungen hinzufügen, bevor Sie Agents auf den EC2-Instances installieren. Sie können warten, bis die Agenten installiert sind, aber die Agenten können erst dann Metriken an den Service senden, wenn die Berechtigungen vorliegen.

**Sie fügen Berechtigungen für Network-Flow-Monitor-Agenten wie folgt hinzu:**

1. Suchen Sie in der AWS-Managementkonsole Amazon EC2 EC2-Konsole nach den EC2-Instances, auf denen Sie Network Flow Monitor-Agenten installieren möchten.

1. Ordnen Sie der [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)IAM-Rolle für jede Instance die zu.

   Wenn einer Instance keine IAM-Rolle angefügt ist, wählen Sie wie folgt eine Rolle aus:

   1. Wählen Sie unter **Aktionen** die Option **Sicherheit** aus.

   1. Wählen Sie **IAM-Rolle ändern** oder **Neue IAM-Rolle erstellen** aus, um eine neue Rolle zu erstellen.

   1. Wählen Sie eine Rolle für die Instance und hängen Sie die [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)Richtlinie an.

# Installieren von Agenten auf EC2-Instances mit SSM
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm"></a>

Network-Flow-Monitor-Agenten stellen Leistungsmetriken zu Netzwerk-Flows bereit. Folgen Sie den Schritten in diesem Abschnitt, um Network Flow Monitor-Agenten auf EC2-Instances zu installieren und mit ihnen zu arbeiten, indem Sie AWS Systems Manager Wenn Sie Kubernetes verwenden, fahren Sie mit den nächsten Abschnitten fort. Dort finden Sie Informationen zum Installieren von Agenten mit Amazon-EKS-Clustern oder selbstverwalteten Kubernetes-Clustern.

Network Flow Monitor stellt Ihnen in Systems Manager ein Distributor-Paket zur Verfügung, mit dem Sie Agenten installieren oder deinstallieren können. Darüber hinaus bietet Network Flow Monitor ein Dokument zum Aktivieren oder Deaktivieren von Agenten mithilfe des Befehls „document type“. Nutzen Sie die Standardverfahren von Systems Manager, um das Paket und das Dokument zu verwenden, oder führen Sie die hier beschriebenen Schritte aus.

Allgemeine Informationen zur Verwendung von Systems Manager finden Sie in der folgenden Dokumentation:
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)

Führen Sie die Schritte in den folgenden Abschnitten aus, um Berechtigungen zu konfigurieren, Network-Flow-Monitor-Agenten zu installieren und mit ihnen zu arbeiten.

**Inhalt**
+ [Installieren oder Deinstallieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Aktivieren oder Deaktivieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)

## Installieren oder Deinstallieren von Agenten mit Systems Manager
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install"></a>

Network Flow Monitor bietet ein Vertriebspaket, mit dem Sie Network Flow Monitor-Agenten installieren können: **AmazonCloudWatchNetworkFlowMonitorAgent**. AWS Systems Manager Folgen Sie den hier beschriebenen Schritten, um das Paket aufzurufen und auszuführen und Agenten zu installieren. 

**Installieren Sie Agenten auf EC2-Instances wie folgt:**

1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Node Tools** die Option **Distributor** aus.

1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Paket und wählen Sie es aus. **AmazonCloudWatchNetworkFlowMonitorAgent**

1. Wählen Sie im Flow **Befehl ausführen** die Option **Einmal installieren** oder **Nach Zeitplan installieren** aus.

1. Geben Sie im Abschnitt **Zielauswahl** an, wie Sie die EC2-Instances auswählen möchten, auf denen Agenten installiert werden sollen. Sie können Instances anhand von Tags oder manuell auswählen oder die Auswahl anhand von Ressourcengruppen treffen. 

1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Installieren** aus.

1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.

Wenn die Installation erfolgreich ist und die Instances Berechtigungen für den Zugriff auf Network-Flow-Monitor-Endpunkte haben, beginnt der Agent, Metriken zu erfassen und Berichte an das Network-Flow-Monitor-Backend zu senden. 

Für aktive Agenten (die Metrikdaten senden) fallen Abrechnungskosten an. Weitere Informationen zu Network Flow Monitor und den CloudWatch Amazon-Preisen finden Sie unter Network Monitoring auf der [ CloudWatch Amazon-Preisseite](https://aws.amazon.com//cloudwatch/pricing/). Wenn Sie vorübergehend keine Metrikdaten benötigen, können Sie einen Agenten deaktivieren. Weitere Informationen finden Sie unter [Aktivieren oder Deaktivieren von Agenten](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Wenn Sie Network-Flow-Monitor-Agenten nicht mehr benötigen, können Sie sie von den EC2-Instances deinstallieren.

**Deinstallieren Sie Agenten von EC2-Instances wie folgt:**

1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Node Tools** die Option **Distributor** aus.

1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Paket und wählen Sie es aus. **AmazonCloudWatchNetworkFlowMonitorAgent**

1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Deinstallieren** aus.

1. Wählen Sie die EC2-Instances aus, von denen Agenten deinstalliert werden sollen. 

1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.

## Aktivieren oder Deaktivieren von Agenten mit Systems Manager
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-manage"></a>

Nachdem Sie einen Network-Flow-Monitor-Agenten mit SSM installiert haben, müssen Sie ihn aktivieren, um Netzwerk-Flow-Metriken von der Instance zu erhalten, auf der er installiert ist. Für aktive Agenten (die Metrikdaten senden) fallen Abrechnungskosten an. Weitere Informationen zu Network Flow Monitor und den CloudWatch Amazon-Preisen finden Sie unter Network Monitoring auf der [ CloudWatch Amazon-Preisseite](https://aws.amazon.com//cloudwatch/pricing/). Wenn Sie vorübergehend keine Metrikdaten benötigen, können Sie einen Agenten deaktivieren, um laufende Kosten zu vermeiden.

Network Flow Monitor bietet ein Dokument AWS Systems Manager , in dem Sie Agenten, die Sie auf Ihren EC2-Instances installiert haben, aktivieren oder deaktivieren können. Wenn Sie dieses Dokument zur Verwaltung der Agenten ausführen, können Sie sie aktivieren, um Leistungsmetriken zu empfangen. Alternativ können Sie sie deaktivieren, um das Senden von Metriken vorübergehend zu unterbinden, ohne die Agenten zu deinstallieren.

**Das Dokument in SSM, das Sie zum Aktivieren oder Deaktivieren von Agenten verwenden können, heißt AmazonCloudWatch -. NetworkFlowMonitorManageAgent** Führen Sie die Schritte im Verfahren aus, um das Dokument aufzurufen und auszuführen. 

**Aktivieren oder deaktivieren Sie Network-Flow-Monitor-Agenten wie folgt:**

1. Wählen Sie AWS-Managementkonsole im AWS Systems Manager unter **Change Management Tools** die Option **Dokumente** aus.

1. Suchen Sie unter **Owned by Amazon** das Network Flow Monitor-Dokument, **AmazonCloudWatch- NetworkFlowMonitorManageAgent**, und wählen Sie das Dokument aus.

1. Geben Sie im Abschnitt **Zielauswahl** an, wie Sie die EC2-Instances auswählen möchten, auf denen Agenten installiert werden sollen. Sie können Instances anhand von Tags oder manuell auswählen oder die Auswahl anhand von Ressourcengruppen treffen. 

1. Wählen Sie im Abschnitt **Befehlsparameter** unter **Aktion** die Option **Aktivieren** oder **Deaktivieren** aus, je nachdem, welche Aktion Sie für die Agenten ausführen möchten.

1. Scrollen Sie gegebenenfalls nach unten und wählen Sie **Ausführen** aus, um die Installation zu starten.

# Herunterladen vorkonfigurierter Pakete des Network-Flow-Monitor-Agenten über die Befehlszeile
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline"></a>

Sie können die Befehlszeile verwenden, um den Network-Flow-Monitor-Agenten als Paket in Amazon Linux 2023 zu installieren. Alternativ können Sie vorgefertigte Pakete des Network-Flow-Monitor-Agenten herunterladen und installieren.

Vor oder nach dem Download des Pakets können Sie die Paketsignatur überprüfen. Weitere Informationen finden Sie unter [Überprüfen der Signatur des Network-Flow-Monitor-Agentenpakets](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).

Wählen Sie unten je nach verwendetem Linux-Betriebssystem und Art der gewünschten Installation die entsprechenden Anweisungen.

**Amazon Linux AMIs**  
Der Network-Flow-Monitor-Agent ist in Amazon Linux 2023 als Paket verfügbar. Wenn Sie dieses Betriebssystem verwenden, können Sie das Paket installieren, indem Sie den folgenden Befehl eingeben:   
`sudo yum install network-flow-monitor-agent`  
Sie müssen außerdem sicherstellen, dass der IAM-Rolle, die der Instance zugewiesen ist, die [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)Richtlinie angehängt ist. Weitere Informationen finden Sie unter [Konfigurieren von Berechtigungen für Agenten](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).

**Amazon Linux 2023**  
Installieren Sie das Paket für Ihre Architektur mit einem der folgenden Befehle:  
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm` 
+ **ARM64 (Graviton**): `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm` 
Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Network-Flow-Monitor-Agent erfolgreich installiert wurde. Die Antwort muss zeigen, dass der Agent aktiviert und aktiv ist:  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

**DEB-basierte Distributionen (Debian, Ubuntu)**  
Installieren Sie das Paket für Ihre Architektur mit einem der folgenden Befehle:  
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb` 
+ **ARM64 (Graviton**): `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb` 
Installieren Sie das Paket mit dem folgenden Befehl: `$ sudo apt-get install ./network-flow-monitor-agent.deb`  
Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Network-Flow-Monitor-Agent erfolgreich installiert wurde. Die Antwort muss zeigen, dass der Agent aktiviert und aktiv ist:  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

## Überprüfen der Signatur des Network-Flow-Monitor-Agentenpakets
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig"></a>

Die Deb- und RPM-Installer-Pakete für Network-Flow-Monitor-Agenten für Linux-Instances sind kryptografisch signiert. Sie können einen öffentlichen Schlüssel verwenden, um sicherzustellen, dass das Paket des Agenten original und unverändert ist. Wenn die Dateien beschädigt oder verändert werden, schlägt die Überprüfung fehl. Sie können die Signatur des Installer-Pakets entweder mit RPM oder GPG überprüfen. Die folgenden Informationen gelten für Network-Flow-Monitor-Agenten ab Version 0.1.3. 

Die richtige Signaturdatei nach Architektur und Betriebssystem finden Sie in der folgenden Tabelle.


| Architektur | Plattform | Download-Link | Link zur Signaturdatei | 
| --- | --- | --- | --- | 
|  x86-64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ .rpm network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .rpm.sig  | 
|  ARM64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/ .rpm network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/ network-flow-monitor-agent .rpm.sig  | 
|  x86-64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ network-flow-monitor-agent .deb.sig  | 
|  ARM64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/ .deb network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/ network-flow-monitor-agent .deb.sig  | 

Führen Sie die folgenden Schritte aus, um die Signatur des Network-Flow-Monitor-Agenten zu überprüfen.

**Überprüfen Sie die Signatur des Network-Flow-Monitor-Agentenpakets für Amazon S3 wie folgt:**

1. Installieren Sie GnuPG, um den gpg-Befehl ausführen zu können. GnuPG ist erforderlich, um die Authentizität und die Integrität eines heruntergeladenen Network-Flow-Monitor-Agenten für ein Amazon-S3-Paket zu überprüfen. GnuPG ist standardmäßig auf Amazon Linux Amazon Machine Images () AMIs installiert.

1. Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen `nfm-agent.gpg`.

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund und notieren Sie den zurückgegebenen Wert.

   ```
   PS>  rpm --import nfm-agent.gpg
   gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
   gpg: Total number processed: 1
   gpg: imported: 1 (RSA: 1)
   ```

   Notieren Sie sich den Schlüsselwert. Sie benötigen ihn im nächsten Schritt. In diesem Beispiel lautet der Schlüsselwert `3B789C72`.

1. Überprüfen Sie den Fingerabdruck, indem Sie den folgenden Befehl ausführen. Achten Sie darauf, durch den Wert aus *key-value* dem vorherigen Schritt zu ersetzen. Es wird empfohlen, GPG zu verwenden, um den Fingerprint zu überprüfen, auch wenn Sie RPM verwenden, um das Installer-Paket zu überprüfen.

   ```
   PS>  gpg --fingerprint key-value
   pub   rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
         7673 6CA9 97AD D3E9 D277  26A8 EFBD A4CC BC95 FAD1
   uid   Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>
   ```

   Die Fingerabdruck-Zeichenfolge muss der folgenden entsprechen:

   `7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`

   Wenn die Fingerabdruck-Zeichenfolge nicht übereinstimmt, installieren Sie den Agent nicht. Wenden Sie sich an Amazon Web Services.

   Nachdem Sie den Fingerabdruck verifiziert haben, können Sie ihn verwenden, um die Signatur des Network-Flow-Monitor-Agentenpakets zu verifizieren.

1. Laden Sie die passende Signaturdatei für die Architektur und das Betriebssystem Ihrer Instance herunter.

1. Überprüfen Sie die Installer-Paketsignatur. Ersetzen Sie `signature-filename` und `agent-download-filename` mit den Werten, die Sie beim Herunterladen der Signaturdatei und des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema angegeben.

   ```
   PS> gpg --verify sig-filename agent-download-filename
   gpg: Signature made Tue Apr  8 00:40:02 2025 UTC
   gpg:                using RSA key 77777777EXAMPLEKEY
   gpg:                issuer "network-flow-monitor-agent@amazon.com"
   gpg: Good signature from "Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>" [unknown]
   gpg: WARNING: Using untrusted key!
   ```

   Wenn die Ausgabe die Bezeichnung `BAD signature` enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie diese Antwort weiterhin erhalten, wenden Sie sich bitte an den [AWS -Support](https://aws.amazon.com/premiumsupport/) und vermeiden Sie die Verwendung der heruntergeladenen Datei.

   Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Das bedeutet nicht, dass die Signatur ungültig ist, sondern nur, dass Sie den öffentlichen Schlüssel nicht überprüft haben.

Folgen Sie als Nächstes den hier beschriebenen Schritten, um das RPM-Paket zu überprüfen.

**Überprüfen Sie die Signatur des RPM-Pakets wie folgt:**

1. Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen `nfm-agent.gpg`.

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund.

   ```
   PS>  rpm --import nfm-agent.gpg
   ```

1. Überprüfen Sie die Installer-Paketsignatur. Ersetzen Sie `agent-download-filename` mit dem Wert, den Sie beim Herunterladen des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema angegeben.

   ```
   PS>  rpm --checksig agent-download-filename
   ```

   Für die x86\$164-Architektur unter Amazon Linux 2023 verwenden Sie beispielsweise den folgenden Befehl:

   ```
   PS>  rpm --checksig network-flow-monitor-agent.rpm
   ```

   Dieser Befehl gibt etwa die folgende Ausgabe zurück.

   ```
   network-flow-monitor-agent.rpm: digests signatures OK
   ```

   Wenn die Ausgabe die Bezeichnung `NOT OK (MISSING KEYS: (MD5) key-id)` enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie diese Antwort weiterhin erhalten, wenden Sie sich bitte an den [AWS -Support](https://aws.amazon.com/premiumsupport/) und installieren Sie den Agenten nicht.

# Installieren von Agenten für selbstverwaltete Kubernetes-Instances
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks"></a>

Führen Sie die Schritte in diesem Abschnitt aus, um Network-Flow-Monitor-Agenten für Workloads auf selbstverwalteten Kubernetes-Clustern zu installieren. Nachdem Sie die Schritte abgeschlossen haben, werden die Agenten-Pods für Network Flow Monitor auf all Ihren selbstverwalteten Kubernetes-Clusterknoten ausgeführt.

Wenn Sie Amazon Elastic Kubernetes Service (Amazon EKS) verwenden, finden Sie die entsprechenden Installationsschritte im folgenden Abschnitt: [Installieren Sie das EKS AWS Network Flow Monitor Agent-Add-on](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md). 

**Topics**
+ [Bevor Sie beginnen](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Herunterladen von Helm-Charts und Installieren von Agenten](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Konfigurieren von Berechtigungen, damit Agenten Metriken liefern](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)

# Bevor Sie beginnen
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin"></a>

Bevor Sie mit der Installation beginnen, führen Sie die Schritte in diesem Abschnitt aus, um sicherzustellen, dass Ihre Umgebung für die erfolgreiche Installation von Agenten auf den richtigen Kubernetes-Clustern eingerichtet ist.

**Sicherstellen, dass Ihre Version von Kubernetes unterstützt wird**  
Für die Installation des Network-Flow-Monitor-Agenten brauchen Sie mindestens Kubernetes Version 1.25.

**Sicherstellen, dass Sie die erforderlichen Tools installiert haben**  
Die Skripts, die Sie für diesen Installationsvorgang verwenden, erfordern die folgenden Tools. Falls Sie die Tools noch nicht installiert haben, finden Sie unter den bereitgestellten Links weitere Informationen.  
+ Die AWS Command Line Interface (CLI). Weitere Informationen finden Sie im AWS Command Line Interface Referenzhandbuch unter [Installation oder Aktualisierung AWS Command Line Interface auf die neueste Version von](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html). 
+ Der Helm-Paketmanager. Weitere Informationen finden Sie unter [Installieren von Helm](https://helm.sh/docs/intro/install/) auf der Helm-Website. 
+ Das `kubectl`-Befehlszeilen-Tool. Weitere Informationen finden Sie unter [Installieren von kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) auf der Kubernetes-Website. 
+ Die Abhängigkeit vom Linux-Befehl `make`. Weitere Informationen finden Sie im folgenden Blogbeitrag: [Einführung zum Linux-Befehl „make“: Installation und Verwendung](https://ioflood.com/blog/install-make-command-linux/). Führen Sie beispielsweise einen der folgenden Schritte aus:
  + Verwenden Sie für Debian-basierte Distributionen wie Ubuntu den folgenden Befehl: `sudo apt-get install make`
  + Verwenden Sie für RPM-basierte Distributionen wie CentOS den folgenden Befehl: `sudo yum install make`

**Stellen Sie sicher, dass Sie über gültige, korrekt konfigurierte KubeConfig Umgebungsvariablen verfügen**  
Bei der Installation des Network-Flow-Monitor-Agenten wird der Helm-Paketmanager genutzt, der die kubeconfig-Variable `$HELM_KUBECONTEXT` verwendet, um die Kubernetes-Zielcluster zu bestimmen, mit denen gearbeitet werden soll. Beachten Sie außerdem, dass Helm bei der Ausführung von Installationsskripten standardmäßig auf die Standarddatei `~/.kube/config` verweist. Sie können die Umgebungsvariablen der Konfiguration ändern, um eine andere Konfigurationsdatei zu verwenden (durch Aktualisierung von `$KUBECONFIG`) oder um den Zielcluster zu definieren, mit dem Sie arbeiten möchten (durch Aktualisierung von `$HELM_KUBECONTEXT`). 

**Erstellen eines Kubernetes-Namespace für Network Flow Monitor**  
Die Ressourcen der Kubernetes-Anwendung des Network-Flow-Monitor-Agenten werden in einem bestimmten Namespace installiert. Der Namespace muss vorhanden sein, damit die Installation erfolgreich ist. Um sicherzustellen, dass der erforderliche Namespace vorhanden ist, können Sie einen der folgenden Schritte ausführen:   
+ Erstellen Sie den Standard-Namespace `amazon-network-flow-monitor`, bevor Sie beginnen.
+ Erstellen Sie einen anderen Namespace und definieren Sie ihn in der Umgebungsvariablen `$NAMESPACE`, wenn Sie die Installation ausführen, um Ziele zu erstellen.

# Herunterladen von Helm-Charts und Installieren von Agenten
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents"></a>

Sie können die Helm-Diagramme des Network Flow Monitor-Agenten mithilfe des folgenden Befehls aus dem AWS öffentlichen Repository herunterladen. Stellen Sie sicher, dass Sie sich zuerst mit Ihrem GitHub Konto authentifizieren.

`git clone https://github.com/aws/network-flow-monitor-agent.git`

Im Verzeichnis `./charts/amazon-network-flow-monitor-agent` finden Sie die Helm-Charts und das Makefile des Network-Flow-Monitor-Agenten, die die make-Ziele der Installation enthalten, die Sie für die Installation von Agenten verwenden. Sie installieren Agenten für Network Flow Monitor mithilfe des folgenden Makefile-Ziels: `helm/install/customer`

Sie können die Installation bei Bedarf anpassen. Zum Beispiel folgendermaßen:

```
# Overwrite the kubeconfig files to use
KUBECONFIG=<MY_KUBECONFIG_ABS_PATH> make helm/install/customer
 
# Overwrite the Kubernetes namespace to use
NAMESPACE=<MY_K8S_NAMESPACE> make helm/install/customer
```

Um die erfolgreiche Erstellung und Bereitstellung der Kubernetes-Anwendungs-Pods für die Network-Flow-Monitor-Agenten zu verifizieren, prüfen Sie, ob ihr Status `Running` lautet. Sie können den Status der Agenten überprüfen, indem Sie den folgenden Befehl ausführen: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`

# Konfigurieren von Berechtigungen, damit Agenten Metriken liefern
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions"></a>

Nachdem Sie Agenten für Network Flow Monitor installiert haben, müssen Sie die Agenten so einrichten, dass sie Netzwerkmetriken an die Network Flow Monitor-Erfassung APIs senden können. Agenten im Network Flow Monitor müssen berechtigt sein, auf die Network Flow Monitor-Aufnahme zuzugreifen, APIs damit sie Netzwerkfluss-Metriken, die sie für jede Instanz gesammelt haben, bereitstellen können. Sie gewähren diesen Zugriff, indem Sie IAM-Rollen für Servicekonten implementieren. 

Folgen Sie den Schritten in diesem Abschnitt, um Agenten zu ermöglichen, Netzwerkmetriken an Network Flow Monitor zu senden.

1. **Implementieren von IAM-Rollen für Servicekonten**

   IAM-Rollen für Servicekonten bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie Amazon-EC2-Instance-Profile Anmeldeinformationen für Amazon-EC2-Instances bereitstellen. Die Implementierung von IRSA ist die empfohlene Methode, um alle Berechtigungen bereitzustellen, die Network Flow Monitor-Agenten benötigen, um erfolgreich auf die Network Flow Monitor-Aufnahme zuzugreifen. APIs Weitere Informationen finden Sie unter [IAM-Rollen für Servicekonten](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) im Benutzerhandbuch für Amazon EKS.

   Verwenden Sie die folgenden Informationen, wenn Sie IAM-Rollen für Servicekonten für Network-Flow-Monitor-Agenten einrichten:
   + **ServiceAccount:** Wenn Sie Ihre IAM-Rollenvertrauensrichtlinie definieren, geben Sie für an. `ServiceAccount` `aws-network-flow-monitor-agent-service-account`
   + **Namespace: **Geben Sie für `namespace` den Wert `amazon-network-flow-monitor` an.
   + **Bereitstellung temporärer Anmeldeinformationen:** Wenn Sie Berechtigungen konfigurieren, nachdem Sie Agenten-Pods für Network Flow Monitor bereitgestellt und den `ServiceAccount` mit Ihrer IAM-Rolle aktualisiert haben, stellt Kubernetes keine Anmeldeinformationen für die IAM-Rolle bereit. Damit die Network-Flow-Monitor-Agenten die angegebenen Anmeldeinformationen für die IAM-Rolle erhalten, müssen Sie einen Neustart von `DaemonSet` durchführen. Verwenden Sie z. B. einen Befehl wie diesen:

     `kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`

1. **Vergewissern Sie sich, dass der Network Flow Monitor-Agent erfolgreich auf die Network Flow Monitor-Aufnahme zugreift APIs**

   Sie können überprüfen, ob Ihre Konfiguration für Agenten ordnungsgemäß funktioniert. Verwenden Sie dazu die HTTP-200-Protokolle für Agenten-Pods von Network Flow Monitor. Suchen Sie zunächst nach einem Agenten-Pod für Network Flow Monitor und suchen Sie dann in den Protokolldateien nach erfolgreichen HTTP-200-Anforderungen. Sie können z. B. Folgendes tun:

   1. Suchen Sie einen Pod-Namen für den Network Flow Monitor-Agenten. Sie können z. B. den folgenden Befehl verwenden:

      ```
      RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
      ```

   1. Suchen Sie mit dem grep-Befehl in allen HTTP-Protokollen nach dem Pod-Namen, den Sie gefunden haben. Wenn Sie den NAMESPACE geändert haben, müssen Sie den neuen verwenden.

      ```
      NAMESPACE=amazon-network-flow-monitor
      kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
      ```

   Wenn der Zugriff gewährt wurde, sollten Sie Protokolleinträge wie diese sehen:

   ```
   ...
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
   ```

   Beachten Sie, dass der Network Flow Monitor-Agent alle 30 Sekunden Netzwerkflussberichte veröffentlicht, indem er den Network Flow Monitor-Ingestion aufruft. APIs

# Initialisieren von Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-begin"></a>

Bevor Sie Leistungsmetriken für Netzwerk-Flows anzeigen können, müssen Sie Network Flow Monitor initialisieren. Dadurch werden die erforderlichen Berechtigungen erteilt und eine erste Topologie für Ihr Konto bzw. Ihre Konten erstellt. Wenn Sie planen, Ressourcen für mehrere Konten zu überwachen, müssen Sie die Konfiguration auch AWS Organizations bei Amazon vornehmen CloudWatch. Anschließend geben Sie Konten für Ihren Network-Flow-Monitor-Geltungsbereich an, damit Network Flow Monitor eine erste Topologie für alle Konten erstellen kann, deren Leistungsmetriken verfolgt werden sollen.

Darüber hinaus müssen Sie Agenten auf Ihren Instances installieren, um Leistungskennzahlen an den Network Flow Monitor-Aufnahmeserver zu senden. Weitere Informationen finden Sie unter [Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents.md).

Die Schritte zur Initialisierung von Network Flow Monitor hängen davon ab, ob Sie Leistungsmetriken für Ressourcen in einem einzelnen Konto messen oder ob Sie Metriken von Ressourcen überwachen möchten, die mehreren Konten in Ihrer Organisation gehören.
+ [Initialisierung der Überwachung eines einzelnen Kontos](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Initialisierung der Überwachung mehrerer Konten](CloudWatch-NetworkFlowMonitor-multi-account.md)

# Initialisieren von Network Flow Monitor für die Überwachung einzelner Konten
<a name="CloudWatch-NetworkFlowMonitor-single-account"></a>

Um Network Flow Monitor zur Überwachung von Netzwerkleistungsmetriken zu initialisieren, müssen Sie Berechtigungen erteilen und Network Flow Monitor muss die erste Topologie für Ihr Konto erstellen. Wenn Sie Ressourcen nur in einem Konto überwachen, legt Network Flow Monitor Ihr Konto als Geltungsbereich für die Netzwerküberwachung fest und erstellt eine Topologie für diesen Geltungsbereich. 

Die Initialisierung von Network Flow Monitor bewirkt Folgendes: 
+ Network Flow Monitor erhält die Berechtigungen, die erforderlichen serviceverknüpften Rollen mit Ihrem Konto zu verwenden. Für Network Flow Monitor müssen Sie ihm bestimmte Berechtigungen erteilen, damit die Funktion in Ihrem Namen Metriken CloudWatch an Amazon senden und Topologien von Netzwerkströmen erstellen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen für Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
+ Legt Ihren Überwachungsbereich für Network Flow Monitor auf das AWS Konto fest, mit dem Sie angemeldet sind. Weitere Informationen finden Sie unter **Geltungsbereich** in [Komponenten und Features von Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
+ Eine erste Topologie für Ihren Geltungsbereich wird erstellt.

Mit den folgenden Schritten initialisieren Sie Network Flow Monitor, indem Sie die serviceverknüpften Rollen einrichten, die die erforderlichen Berechtigungen bereitstellen, den Geltungsbereich auf Ihr Konto festlegen und eine Topologie für die Überwachung der Netzwerk-Flow-Leistung erstellen.

**Initialisieren Sie Network Flow Monitor wie folgt:**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie im Abschnitt **Erste Schritte mit Network Flow Monitor** unter Schritt 1 die Option **Initialisierung starten** aus.

1. Scrollen Sie auf der Seite **Network Flow Monitor konfigurieren** nach unten und wählen Sie **Network Flow Monitor initialisieren** aus.

Die Initialisierung kann 20–30 Minuten dauern.

Nachdem Sie Network Flow Monitor für Ihr Konto initialisiert haben, müssen Sie noch Network-Flow-Monitor-Agenten für Ihre Ressourcen installieren, die Leistungsmetriken an den von Network Flow Monitor unterstützten Aufnahmeserver senden. Erst dann können Sie Netzwerk-Flow-Leistungsmetriken einsehen. Weitere Informationen finden Sie unter [Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents.md).

# Initialisieren von Network Flow Monitor für die Überwachung mehrerer Konten
<a name="CloudWatch-NetworkFlowMonitor-multi-account"></a>

Wenn Sie Netzwerkflüsse in Network Flow Monitor für Ressourcen überwachen möchten, die unterschiedlichen Konten gehören, müssen Sie Amazon zunächst CloudWatch mit konfigurieren AWS Organizations. Um mehrere Konten in Network Flow Monitor verwenden zu können, müssen Sie den vertrauenswürdigen Zugriff für aktivieren CloudWatch, und es hat sich bewährt, auch einen delegierten Administrator zu registrieren.

Wenn Sie über die Konsole Monitore für Netzwerk-Flows erstellen möchten, müssen Sie der Rolle, die Ihren Ressourcen angefügt ist, außerdem eine Network-Flow-Monitor-Richtlinie hinzufügen. Die Richtlinie ermöglicht Ihnen, Ressourcen von anderen Konten in der Konsole anzuzeigen. Dadurch können Sie die Ressourcen mehrerer Konten einem Monitor hinzufügen.

Um Netzwerk-Flows für Ressourcen zu überwachen, die verschiedenen Konten gehören, müssen zusätzliche Konfigurationsschritte durchgeführt werden. Zunächst müssen Sie als Verwaltungskonto CloudWatch mit konfigurieren, AWS Organizations um den vertrauenswürdigen Zugriff zu aktivieren, und in der Regel registrieren Sie auch ein delegiertes Administratorkonto. Anschließend können Sie mit dem delegierten Administratorkonto weitere Konten in Ihrer Organisation hinzufügen, um den Geltungsbereich für Ihre Netzwerkbeobachtbarkeit festzulegen, sodass er Ressourcen in diesen Konten beinhaltet. (Sie können mehrere Konten auch mit einem Verwaltungskonto hinzufügen, aber in Organizations hat es sich bewährt, das delegierte Administratorkonto zu verwenden, wenn Sie mit Ressourcen in einem Service arbeiten. Entsprechende Schritte finden Sie hier in den Anweisungen für Network Flow Monitor.)

Wenn Sie Netzwerk-Flows nicht für Instances von mehreren Konten überwachen müssen, können Sie Network Flow Monitor mit einem einzigen Konto verwenden. Der Bereich für Network Flow Monitor wird automatisch auf das AWS Konto festgelegt, mit dem Sie sich anmelden.

Verwenden Sie die Anleitung in den folgenden Abschnitten, um diese Schritte auszuführen.

**Topics**
+ [Einrichtung mehrerer Konten im Überblick](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Konfiguration AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Hinzufügen mehrerer Konten](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Hinzufügen von Berechtigungen für die Konsole](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)

## Übersicht der Schritte zur Verwendung mehrerer Konten in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-multi-account.overview"></a>

Network Flow Monitor muss in jedem Konto initialisiert werden, in dem der Service noch nicht verwendet wurde. Wenn Sie Network Flow Monitor für ein Konto initialisieren, werden die erforderlichen serviceverknüpften Rollenberechtigungen hinzugefügt und ein Geltungsbereich mit dem Konto oder den Konten erstellt, die in die Netzwerkbeobachtbarkeit aufgenommen werden sollen. Um mit mehreren Konten in Network Flow Monitor zu arbeiten, müssen Sie die Konten, mit denen Sie arbeiten möchten AWS Organizations, in zusätzliche Schritte integrieren und anschließend hinzufügen.

Insgesamt führen Sie die folgenden Schritte aus:

1. Melden Sie sich AWS-Managementkonsole als Verwaltungskonto an und gehen Sie dann wie folgt vor:
   + Führen Sie die erforderlichen Schritte für die Integration mit AWS Organizations in aus CloudWatch. 

1. Melden Sie sich AWS-Managementkonsole als delegiertes Administratorkonto an, und gehen Sie dann wie folgt vor:
   + Initialisieren Sie Network Flow Monitor und fügen Sie Konten hinzu, die in Ihren Geltungsbereich aufgenommen werden sollen.
   + Fügen Sie über die Konsole die erforderlichen Berechtigungen für den Zugriff auf Ressourcen hinzu, die sich in anderen Konten befinden.

Wenn Sie Network Flow Monitor für die Arbeit mit mehreren Konten einrichten und damit nicht vertraut sind AWS Organizations, lesen Sie sich die folgenden Ressourcen durch, um mehr über Konzepte wie das Verwaltungskonto, den vertrauenswürdigen Zugriff und das delegierte Administratorkonto zu erfahren und zu erfahren, wie Sie Organizations mit CloudWatch integrieren können. 
+ [Die Verwaltung von Konten in einer Organisation mit](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) finden Sie AWS Organizations im AWS Organizations Benutzerhandbuch.
+ [Amazon CloudWatch und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) im AWS Organizations Benutzerhandbuch.

Schritte zur Konfiguration von Network Flow Monitor für mehrere Konten finden Sie in den folgenden Abschnitten.

## Konfigurieren Sie AWS Organizations in CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs"></a>

Um Network Flow Monitor mit zu konfigurieren AWS Organizations, melden Sie sich beim Verwaltungskonto an und aktivieren Sie den vertrauenswürdigen Zugriff für CloudWatch. Registrieren Sie anschließend ein delegiertes Administratorkonto, mit dem Sie Network Flow Monitor initialisieren und mehrere Konten hinzufügen.

Wenn Sie Organizations bereits so konfiguriert haben CloudWatch , dass vertrauenswürdiger Zugriff für Organizations aktiviert wird, CloudWatch und ein delegiertes Administratorkonto registriert haben, müssen Sie für Organizations nichts weiter konfigurieren, was spezifisch für Network Flow Monitor ist. Sie können sich mit dem delegierten Administratorkonto für anmelden und anschließend Network Flow Monitor initialisieren CloudWatch, einschließlich des Hinzufügens mehrerer Konten für Ihren Netzwerkbeobachtbarkeitsbereich.

Wenn Sie Organizations in noch nicht konfiguriert haben CloudWatch, gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff zu aktivieren und ein delegiertes Administratorkonto zu registrieren.

### Aktivieren Sie den vertrauenswürdigen Zugriff in CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.trusted-access"></a>

Bevor Sie Network Flow Monitor mit mehr als einem Konto in Ihrer Organisation verwenden können, müssen Sie den vertrauenswürdigen Zugriff für AWS Organizations in Amazon aktivieren CloudWatch. Gehen Sie wie folgt vor, um den vertrauenswürdigen Zugriff in der CloudWatch Konsole zu aktivieren.

**Aktivieren Sie den vertrauenswürdigen Zugriff wie folgt:**

1. Melden Sie sich mit dem Verwaltungskonto Ihrer Organisation bei der Konsole an.

1. Wählen Sie in der CloudWatch Konsole im Navigationsbereich **Einstellungen** aus.

1. Wählen Sie die Registerkarte **Organizations** aus.

1. Wählen Sie in den **Einstellungen für das Organisationsmanagement** die Option **Aktivieren** aus. Die Seite **Vertrauenswürdigen Zugriff aktivieren** wird angezeigt.

1. Wählen Sie **Berechtigungsdetails anzeigen** aus, um sich die Rollenrichtlinie anzusehen.

1.  Wählen Sie **Vertrauenswürdigen Zugriff aktivieren**.

Wenn Ressourcen erkannt CloudWatch werden, aktualisiert es jetzt automatisch Informationen über Konten, für die Sie die Berechtigung haben, auf die Ressourcen in Network Flow Monitor zuzugreifen.

### Registrieren eines delegierten Administratorkontos
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.delegated-admin"></a>

Es hat sich bewährt AWS Organizations, dass das Verwaltungskonto Ihrer Organisation ein Mitgliedskonto als delegiertes Administratorkonto für registrieren sollte. CloudWatch Nachdem Sie ein delegiertes Administratorkonto registriert haben CloudWatch, können sich Mitglieder Ihrer Organisation mit dem delegierten Administratorkonto anmelden, um die Netzwerkleistung für Ressourcen in mehreren Konten in Network Flow Monitor zu überwachen.

Über das delegierte Administratorkonto können Sie Ihrem Geltungsbereich für die Netzwerkbeobachtbarkeit in Network Flow Monitor mehrere Konten hinzufügen. Obwohl ein Geltungsbereich mit mehreren Konten auch über ein Verwaltungskonto erstellt werden kann, empfehlen wir, dass Sie sich an die bewährten Methoden für AWS Organizations halten und zum Hinzufügen mehrerer Konten in Network Flow Monitor ein delegiertes Administratorkonto verwenden. Bei anderen Mitgliedskonten (nicht das delegierte Administratorkonto) ist der Geltungsbereich auf das angemeldete Konto beschränkt, das automatisch festgelegt wird. 

Ein delegiertes Administratorkonto für Organizations ist ein Mitgliedskonto, das den Administratorzugriff für serviceverwaltete Berechtigungen teilt. Das Konto, das Sie als delegiertes Administratorkonto registrieren, muss ein Mitgliedskonto in Ihrem Unternehmen sein. Ein delegiertes Administratorkonto für Ihre Organisation kann auch außerhalb von verwendet werden. Stellen Sie daher sicher CloudWatch, dass Sie diesen Kontotyp kennen, bevor Sie dieses Verfahren ausführen. Weitere Informationen finden Sie [bei Amazon CloudWatch und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) im AWS Organizations Benutzerhandbuch.

**Registrieren Sie ein delegiertes Administratorkonto wie folgt:**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Wählen Sie die Registerkarte **Organisation** aus.

1. Wählen Sie **Register delegated administrator (Delegierten Administrator registrieren)**.

1. Geben Sie im Fenster **Delegierten Administrator registrieren** im Feld **Konto-ID des delegierten Administrators** die 12-stellige Mitgliedskonto-ID der Organisation ein.

1. Wählen Sie **Register delegated administrator (Delegierten Administrator registrieren)**. Oben auf der Seite wird eine Meldung angezeigt, die angibt, dass das Konto erfolgreich registriert wurde. Die Seite mit den **Organisationseinstellungen** wird angezeigt. Um Informationen zum delegierten Administratorkonto zu sehen, bewegen Sie den Mauszeiger auf die Zahl unter **Delegierte Administratoren**.

Wenn Sie das delegierte Administratorkonto entfernen oder ändern möchten, müssen Sie die Registrierung des Kontos zunächst aufheben. Weitere Informationen finden Sie unter [Aufheben der Registrierung eines delegierten Administratorkontos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).

## Hinzufügen mehrerer Konten zu Ihrem Geltungsbereich
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-scope"></a>

Wenn Sie Ihrem Geltungsbereich in Network Flow Monitor Konten hinzufügen möchten, müssen Sie sich beim delegierten Administratorkonto anmelden. (Sie können Konten zu einem Bereich hinzufügen, wenn Sie mit dem Verwaltungskonto angemeldet sind. Es hat sich jedoch bewährt, das delegierte Administratorkonto für die Arbeit mit Ressourcen AWS Organizations zu verwenden.) 

Folgen Sie nach der Anmeldung den Schritten zur Initialisierung von Network Flow Monitor. Dabei handelt es sich um einen Prozess, der die erforderlichen Berechtigungen für serviceverknüpfte Rollen autorisiert, Sie den Bereich für Ihre Netzwerkbeobachtbarkeit festlegen können, indem Sie Konten hinzufügen, und anschließend eine erste Topologie für die Konten in dem von Ihnen festgelegten Bereich erstellt. Das Konto, mit dem Sie sich anmelden – in diesem Fall das delegierte Administratorkonto –, wird automatisch in Ihren Network-Flow-Monitor-Geltungsbereich aufgenommen. 

**Um Network Flow Monitor mit mehreren Konten in Ihrem Bereich zu initialisieren**

1. Melden Sie sich mit dem delegierten Administratorkonto Ihrer Organisation bei der Konsole an.

1. Wählen Sie im Navigationsbereich der CloudWatch Konsole unter **Netzwerküberwachung** die Option **Flow Monitors** aus.

1. Wählen Sie unter **Erste Schritte mit Network Flow Monitor** in Schritt 1 die Option **Initialisierung starten** aus.

1. Wählen Sie auf der Seite **Network Flow Monitor** unter **Konten hinzufügen** die Option **Hinzufügen** aus. Das Konto, mit dem Sie angemeldet sind, wird automatisch in den Geltungsbereich aufgenommen und in der Tabelle **Konten im Geltungsbereich** bereits als **(dieses Konto)** angezeigt. 

1. Optional können Sie die Konten auf der Dialogseite **Konten hinzufügen** filtern und dann bis zu 99 weitere Konten auswählen, die Sie dem Geltungsbereich hinzufügen möchten. Die maximale Anzahl von Konten in einem Geltungsbereich beträgt 100.

1. Wählen Sie **Hinzufügen** aus.

1. Wählen Sie **Network Flow Monitor initialisieren** aus. Network Flow Monitor fügt die erforderlichen serviceverknüpften Rollenberechtigungen hinzu, erstellt einen Geltungsbereich, der alle angegebenen Konten umfasst, und erstellt dann eine erste Topologie der Ressourcen in den Konten in Ihrem Geltungsbereich.

Gehen Sie wie folgt vor, um Konten für Ihren Bereich hinzuzufügen oder zu entfernen, nachdem Sie Network Flow Monitor bereits initialisiert haben.

Beachten Sie, dass Sie, nachdem Sie eine Änderung an Ihrem Bereich vorgenommen haben, entweder um Konten hinzuzufügen oder zu löschen, etwa 20 Minuten warten müssen, bevor Sie eine weitere Änderung am Bereich vornehmen können. Diese Verzögerung ist darauf zurückzuführen, dass Network Flow Monitor eine kurze Zeit benötigt, um seine Topologieinformationen zu aktualisieren.

**Um Konten für Ihren Bereich hinzuzufügen oder zu entfernen**

1. Melden Sie sich mit dem delegierten Administratorkonto Ihrer Organisation bei der Konsole an.

1. Wählen Sie im Navigationsbereich der CloudWatch Konsole unter **Netzwerküberwachung** die Option **Flow Monitors** aus.

1. Wählen Sie unter **Monitore** einen Monitor aus.

1. Wählen Sie auf der Registerkarte **Monitordetails** unter **Konten im Geltungsbereich** die Option **Hinzufügen** oder **Löschen** aus. 

1. Wählen Sie Konten aus, die Sie Ihrem Geltungsbereich hinzufügen möchten (bis zu 100 Konten), oder wählen Sie Konten aus, die gelöscht werden sollen.

1. Führen Sie die Schritte im Bestätigungsdialogfeld aus.

## Einrichten von Berechtigungen für den Ressourcenzugriff mit mehreren Konten (in der Konsole)
<a name="CloudWatch-NetworkFlowMonitor-multi-account.console-perms"></a>

Wenn Sie beabsichtigen, Monitore für Netzwerk-Flows über die Konsole zu erstellen, ist für jedes Mitgliedskonto in Ihrem Geltungsbereich eine bestimmte Richtlinie erforderlich. Diese Richtlinie ermöglicht Ihnen, Ressourcen von anderen Konten einzusehen, wenn Sie einem Monitor lokale und Remote-Ressourcen hinzufügen. 

Erstellen Sie für jedes Konto in Ihrem Geltungsbereich eine Rolle und fügen Sie die **EC2ReadOnlyAccessAmazon-Richtlinie bei**. **NetworkFlowMonitorAccountResourceAccess** Einzelheiten zu den Genehmigungen für die Richtlinie finden Sie [bei Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) im Referenzhandbuch für AWS verwaltete Richtlinien.

Diese Richtlinie gilt zusätzlich zu der Richtlinie, die Sie jeder Instance hinzufügen müssen, damit der Network-Flow-Monitor-Agent Leistungsmetriken von der Instance an den Server des Network-Flow-Monitor-Aufnahme-Backends senden kann. Weitere Informationen zu den Anforderungen für Agenten finden Sie unter [Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents.md).

Im folgenden Verfahren finden Sie eine Zusammenfassung der Schritte zum Erstellen der erforderlichen Rolle für den Zugriff auf Ressourcen in Ihrem Geltungsbereich in der Network-Flow-Monitor-Konsole. Allgemeine Anleitungen zum Erstellen einer Rolle in IAM finden Sie im Benutzerhandbuch unter [Erstellen einer Rolle, um einem IAM-Benutzer Berechtigungen zu erteilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html). AWS Identity and Access Management 

**Erstellen Sie eine Rolle für den Ressourcenzugriff in der Network-Flow-Monitor-Konsole wie folgt:**

1. Melden Sie sich bei der IAM-Konsole an AWS-Managementkonsole und öffnen Sie sie.

1. Klicken Sie im Navigationsbereich der Konsole auf **Rollen** und wählen Sie **Rolle erstellen** aus.

1. Geben Sie die vertrauenswürdige Entität des **AWS -Kontos** an. Dieser vertrauenswürdige Entitätstyp ermöglicht es Prinzipalen in anderen AWS Konten, die Rolle zu übernehmen und auf Ressourcen in anderen Konten zuzugreifen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie in der Liste der AWS verwalteten Richtlinien die **EC2ReadOnlyAccessAmazon-Richtlinie** aus.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als Rollennamen ein **NetworkFlowMonitorAccountResourceAccess**.

1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.

## Installieren von Agenten auf Instances
<a name="CloudWatch-NetworkFlowMonitor-configure-begin.agents"></a>

Damit Sie mit Network Flow Monitor die Netzwerkleistung verfolgen können, müssen Sie den Service initialisieren. Sie müssen aber auch Network-Flow-Monitor-Agenten auf den EC2-Instances Ihrer Workload installieren und den Agenten Berechtigungen erteilen, Metriken zur Netzwerkleistung an Network Flow Monitor zu senden. Nach der Installation der Agenten dauert es etwa 20 Minuten, bis Daten an das Network-Flow-Monitor-Backend gesendet werden. Anschließend können Sie Netzwerkleistungsmetriken auf der Registerkarte **Workload-Einblicke** einsehen und Monitore erstellen, um detaillierte Informationen zu erhalten.

Sie können sich beispielsweise die Leistungsmetriken der wichtigsten Faktoren für Datenübertragungen und Neuübertragungs-Timeouts für Netzwerk-Flows zwischen Ihren lokalen und Remote-Ressourcen anzeigen lassen, die von Network-Flow-Monitor-Agenten erfasst wurden. Beim Ansehen und Analysieren dieser Metriken können Sie spezifische Flows auswählen, um weitere Details zu sehen und sie mit einem Monitor genauer zu verfolgen. Wenn Sie einen Monitor für spezifische Flows erstellen, erhalten Sie detaillierte Informationen, einschließlich Metriken, die nach den wichtigsten Faktoren für jeden Metriktyp und den Netzwerkpfaden für jeden Netzwerk-Flow sortiert sind.

Zusammen mit einem Monitor bietet Network Flow Monitor auch einen Netzwerkintegritätsindikator (Network Health Indicator, NHI), anhand dessen Sie feststellen können, ob während eines von Ihnen ausgewählten Zeitraums Netzwerkflüsse, die Sie im Monitor verfolgen, Netzwerkstörungen aufgetreten sind. AWS Diese Informationen können Ihnen helfen zu entscheiden, worauf Sie sich bei der Behebung von Netzwerkproblemen konzentrieren sollten.

Weitere Informationen und Anweisungen zum Installieren von Agenten finden Sie unter [Installieren Sie Network Flow Monitor-Agenten auf EC2- und selbstverwalteten Kubernetes-Instances](CloudWatch-NetworkFlowMonitor-agents.md).

# Überwachen und Analysieren von Netzwerk-Flows in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure"></a>

Mit Network Flow Monitor erhalten Sie Einblicke in Netzwerk-Flows und -leistung für Datenverkehr, den Sie in Ihrem Geltungsbereich überwachen. Zuerst sehen Sie sich auf der Registerkarte **Workload-Einblicke** die Informationen zu den wichtigsten Faktoren für jeden Metriktyp an. Anschließend erstellen Sie Monitore, damit Sie die Netzwerkleistung für Netzwerk-Flows, die Sie in **Workload-Einblicke** auswählen, über verschiedene Zeiträume detailliert analysieren können.

Nachdem Sie Network Flow Monitor initialisiert und Agenten auf Ihren Instances installiert haben, generiert Network Flow Monitor Leistungsmetriken für die Netzwerk-Flows dieser Instances. In den Abschnitten in diesem Kapitel erfahren Sie mehr darüber, wie Sie mit Network Flow Monitor die Netzwerkleistung bewerten und Monitore für detailliertere Informationen erstellen. Außerdem lernen Sie die spezifischen Metriken kennen, die von Network Flow Monitor bereitgestellt werden.

In den Schritten, die in diesen Abschnitten beschrieben werden, wird die AWS-Managementkonsole verwendet. Sie können Network Flow Monitor-API-Operationen auch mit dem AWS Command Line Interface (AWS CLI) oder verwenden, AWS SDKs um Einblicke in die Arbeitslast und die wichtigsten Mitwirkenden zu überprüfen und einen Monitor zu erstellen und zu konfigurieren. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ Wenn Sie planen, Network Flow Monitor über die CLI zu nutzen, finden Sie weitere Informationen unter [Beispiele für die Verwendung der CLI mit Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md).
+ Ausführliche Informationen zur Verwendung von Network-Flow-Monitor-API-Operationen finden Sie im [Referenzhandbuch für die Network-Flow-Monitor-API](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).

**Topics**
+ [Bewerten von Netzwerk-Flows](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Erstellen von und Arbeiten mit Monitoren](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Überwachen und Analysieren](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Löschen eines Geltungsbereichs](CloudWatch-NetworkFlowMonitor-disable.md)

# Bewerten von Netzwerk-Flows mit Workload-Einblicken
<a name="CloudWatch-NetworkFlowMonitor-configure-evaluate-flows"></a>

Network Flow Monitor bietet Workload-Einblicke in die Netzwerk-Flows in dem Geltungsbereich, für den Sie die Überwachung aktivieren. Durch das Abrufen der wichtigsten Netzwerk-Flows für jeden Metriktyp können Sie ermitteln, bei welchen Flows möglicherweise Probleme auftreten. Sie können diese Metriken zu den wichtigsten Faktoren in der Konsole auf der Registerkarte **Workload-Einblicke** einsehen. Wichtige Faktoren in Network Flow Monitor sind Netzwerk-Flows, die die höchsten Werte für jede Netzwerkleistungsmetrik aufweisen. 

**Wichtigste Faktoren**  
Auf der Seite mit den **Workload-Einblicken** in der Network-Flow-Monitor-Konsole zeigt der Service die Netzwerkleistungsstatistiken der wichtigsten Faktoren für die Netzwerk-Flows zwischen allen Ressourcen in Ihrem Überwachungsbereich an, auf denen Sie Agenten bereitgestellt haben.   
Um Listen der wichtigsten Faktoren zusammenzustellen, ermittelt Network Flow Monitor die Netzwerk-Flows in Ihrem Geltungsbereich, die die höchsten Werte für Neuübertragungen, Neuübertragungs-Timeouts und übertragene Daten aufweisen. Diese Netzwerk-Flows sind die *wichtigsten Faktoren* für die jeweiligen Metriktypen.  
Zum Ermitteln von Workload-Einblicken werden die wichtigsten Faktoren für alle Netzwerk-Flows bestimmt, für die Sie Leistungsinformationen erhalten. Das sind die Netzwerk-Flows für alle Ressourcen in Ihrem Geltungsbereich, auf denen Network-Flow-Monitor-Agenten installiert sind. 

**Klassifizierungen des Netzwerkflusses**  
Network Flow Monitor klassifiziert Metriken in bestimmte Kategorien mit lokalem Zugriff und Remotezugriff. Metriken werden in zwei Arten von Datenströmen unterteilt:  
+ Ströme des **Network Health Indicators (NHI): Ströme**, die zur Berechnung des Network Health Indicator (NHI) beitragen:
  + Zwischen AZs ()`INTER_AZ`. Immer innerhalb derselben VPC.
  + Innerhalb von AZs (`INTRA_AZ`). Immer innerhalb derselben VPC.
  + Zwischen VPCs (`INTER_VPC`). Überschreitet die Grenze zwischen VPCs.
  + Zwischen Regionen (`INTER_REGION`). Das bedeutet Leistung für Netzwerkflüsse zwischen Ressourcen in Ihrer Region und dem Rand einer anderen Region.
  + In Amazon-S3-Buckets (`AMAZON_S3`)
  + Nach Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ Ströme **ohne Netzwerkzustandsindikator (NHI): Ströme**, die nicht zu Berechnungen des Network Health Indicator (NHI) beitragen:
  + Auf dem Weg zum Internet (). `INTERNET` Datenflüsse, die ein Internet Gateway durchqueren und im öffentlichen Internet enden.
  + Auf dem Weg zu AWS-Services (`AWS_SERVICE`). Flows, die an einem AWS Dienst enden, der nicht vollständig überwacht wird (wie CloudFront unser API Gateway).
  + Auf dem Weg zu einem Transit Gateway (`TRANSIT_GATEWAY`). Flüsse in dieser Klassifizierung sind Ströme, die an einem Transit Gateway ankommen, deren Endziel jedoch nicht bekannt ist.
  + In Richtung einer lokalen Zone (`LOCAL_ZONE`). Flows, die in einer lokalen Zone beginnen oder enden
  + Jeder andere Flow, der nicht anderweitig klassifiziert werden kann (`UNCLASSIFIED`).

**Leistungsmetriken**  
Leistungsmetriken für **Workload-Einblicke** werden für den folgenden Metriktyp in separaten Tabellen angezeigt: Neuübertragungen, Neuübertragungs-Timeouts und übertragene Daten. Die bereitgestellten Daten beziehen sich auf die wichtigsten Faktoren für jeden Typ. Wenn Sie Network-Flow-Monitor-Agenten erstmalig installieren, müssen Sie etwa 20 Minuten warten, bis Sie Leistungsmetriken einsehen können. So lange dauert es, bis die Agenten Daten erfassen und an das Network-Flow-Monitor-Backend senden.

**Überwachen spezifischer Netzwerk-Flows**  
Wenn Sie beim Überprüfen der Leistungsmetriken Ressourcen oder Netzwerk-Flows entdecken, für die Sie weitere Informationen benötigen, können Sie einen Monitor erstellen, der nur diese Flows beobachtet.  
Mit einem Monitor können Sie ausgewählte Gruppen von Netzwerk-Flows über einen bestimmten Zeitraum verfolgen, um Einblicke in einen Aspekt Ihrer Workload zu gewinnen. Sie können auch hilfreiche Informationen zur Problembehandlung abrufen, z. B. indem Sie anhand des Network Health Indicators (NHI) überprüfen, ob die Probleme, die Sie sehen, auf AWS Beeinträchtigungen zurückzuführen sind.  
Weitere Informationen finden Sie unter [Erstellen und Verwenden von Monitoren in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md).

**Abdeckung mehrerer Konten**  
Um mit mehreren Konten in Network Flow Monitor arbeiten zu können, müssen Sie die AWS Organizations Integration mit konfigurieren. CloudWatch Durch die Konfiguration von Organizations können Sie Konten zum Geltungsbereich Ihrer Network-Flow-Monitor-Abdeckung hinzufügen. Wenn Sie dann mehrere Konten in Ihrem Geltungsbereich haben, die jeweils Ressourcen enthalten, zwischen denen Sie den Netzwerk-Flow überwachen möchten, können Sie einen Geltungsbereich angeben, der alle Konten umfasst, und sich dann die Leistungsmetriken ansehen, die von den Network-Flow-Monitor-Agenten erfasst wurden, die Sie auf Ihren Ressourcen installiert haben. Weitere Informationen finden Sie unter [Initialisieren von Network Flow Monitor für die Überwachung mehrerer Konten](CloudWatch-NetworkFlowMonitor-multi-account.md). 

# Erstellen und Verwenden von Monitoren in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors"></a>

Sie erstellen einen Monitor, um Details zur Netzwerkleistung für einen oder mehrere Netzwerk-Flows für eine Workload anzuzeigen. Network Flow Monitor veröffentlicht für jeden Monitor end-to-end Leistungskennzahlen und einen Network Health Indicator (NHI) und generiert Netzwerkpfade einzelner Netzwerkflüsse. Nachdem Sie einen Monitor erstellt haben, können Sie die vom Monitor bereitgestellten Informationen in der Konsole auf der Registerkarte **Monitore** einsehen.

Flow Monitors können Ihnen dabei helfen, Netzwerkleistungsprobleme zu bewerten, die sich auf Ihre Workloads auswirken, einschließlich Beeinträchtigungen innerhalb eines AWS-Region und Probleme im AWS globalen Netzwerk zwischen einer lokalen und einer entfernten Region. Der vom Monitor bereitgestellte Network Health Indicator (NHI) erfasst auch den Zustand des AWS globalen Netzwerks auf den Netzwerkpfaden Ihres Workloads zwischen Regionen. Auf diese Weise können Sie schnell erkennen, ob Beeinträchtigungen in einer lokalen Region, im AWS globalen Netzwerk oder in der abgelegenen Region Ihre Workloads beeinträchtigen. 

In Remote-Regionen können Monitore Netzwerktransparenz bereitstellen, und zwar für Flows zur öffentlichen IP-Adresse der Region sowie für privaten Datenverkehr, der über VPC-Peering oder Transit-Gateway-Peering an eine Remote-Region fließt.

Nachdem Sie einen Monitor erstellt haben, können Sie jederzeit Änderungen vornehmen (abgesehen vom Monitornamen) oder den Monitor löschen.

Die folgenden Abschnitte enthalten Verfahren zum Erstellen, Bearbeiten und Löschen von Monitoren in der Network-Flow-Monitor-Konsole.

**Topics**
+ [Einen Monitor erstellen](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Einen Monitor bearbeiten](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Einen Monitor löschen](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)

# Erstellen eines Monitors in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create"></a>

Wenn Sie beim Überprüfen der wichtigsten Faktoren auf der Registerkarte **Workload-Einblicke** Netzwerk-Flows sehen, die Sie im Blick behalten möchten oder zu denen Sie weitere Informationen wünschen, können Sie direkt in **Workload-Einblicke** einen Monitor erstellen. Das vereinfacht die Erstellung eines Monitors für bestimmte Netzwerk-Flows.

Oder wenn Sie bestimmte Netzwerkflüsse kennen, die Sie mit einem Monitor verfolgen möchten, z. B. wenn Sie sich die Leistungsinformationen aller Netzwerkflüsse zu einem anderen ansehen möchten, können Sie den Assistenten zum **Erstellen eines Monitors verwenden AWS-Region, um einen Monitor** von Grund auf neu zu erstellen. Wenn Sie auf diese Weise einen Monitor erstellen, müssen Sie alle lokalen und Remote-Ressourcen angeben, die die zu überwachenden Netzwerk-Flows definieren.

Informationen zu spezifischen Verfahren finden Sie in den folgenden Abschnitten:
+  [Erstellen eines Monitors durch Angabe von Netzwerk-Flows](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+  [Erstellen eines Monitors durch Angabe von lokalen und Remote-Ressourcen](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)

## Erstellen eines Monitors durch Angabe von Netzwerk-Flows
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights"></a>

Wenn Sie einen Monitor durch Auswahl von Netzwerk-Flows erstellen möchten, beginnen Sie auf der Registerkarte **Workload-Einblicke**. Wählen Sie in einer der Tabellen einen oder mehrere Netzwerk-Flows in einer einzelnen Region aus und erstellen Sie dann einen Monitor mit diesen Flows.

Wenn Sie auf diese Weise einen Monitor erstellen, füllt der Assistent zum **Erstellen eines Monitors** vorab lokale und Remote-Ressourcen aus und zeigt sie in einem modalen Dialogfeld an. Sie können einen Monitor mit diesen Ressourcen erstellen oder die Auswahl der lokalen oder Remote-Ressourcen bearbeiten, um einzuschließende Ressourcen hinzuzufügen oder zu entfernen.

Wenn Sie unter **Workload-Einblicke** regelmäßig die wichtigsten Faktoren prüfen, können Sie bewerten, ob die vorhandenen Monitore ausreichen oder ob es hilfreich wäre, neue Monitore zu erstellen.

**Wichtig**  
Diese Schritte sind so konzipiert, dass sie alle auf einmal ausgeführt werden können. Sie können in Bearbeitung befindliche Arbeiten nicht speichern, um sie später fortzusetzen.

**Erstellen Sie einen Monitor unter **Workload-Einblicke** wie folgt:**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie **Workload-Einblicke** aus.

1. Wählen Sie in einer der Tabellen mit den **wichtigsten Faktoren** einen oder mehrere Netzwerk-Flows und dann **Monitor erstellen** aus.

1. In dem sich öffnenden modalen Fenster können Sie die Ressourcen bearbeiten, die die von Ihnen ausgewählten Netzwerk-Flows definieren, oder **Monitor erstellen** auswählen.

## Erstellen eines Monitors durch Angabe von lokalen und Remote-Ressourcen
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone"></a>

Sie können jederzeit einen Monitor für bestimmte lokale und Remote-Ressourcen erstellen, die Netzwerk-Flows definieren, für die Sie Details anzeigen möchten. 

In folgenden Szenarien könnten Sie beispielsweise einen Monitor erstellen:
+ Ein Monitor, der Netzwerk-Flows für eine bestimmte VPC in einer lokalen Region zu einer anderen VPC in derselben Region umfasst. (Beachten Sie, dass Sie in einer anderen Region keine Ressource, z. B. eine VPC, als Netzwerk-Flow-Endpunkt (die Remote-Ressource) auswählen können.)
  + Wählen Sie für die lokale Ressource die Option **Spezifische Ressourcen in *Region*** aus. Wählen Sie dann **VPC und Subnetze** und anschließend in der Tabelle eine VPC aus.
  + Gehen Sie für die Remote-Ressource genauso vor: Wählen Sie **Spezifische Ressourcen in *Region***, dann **VPC und Subnetze** und schließlich eine VPC aus.
+ Ein Monitor, der alle Netzwerk-Flows Ihrer Workload in einer lokalen Region zu einer bestimmten Availability Zone umfasst.
  + Wählen Sie für die lokale Ressource die Option **Überall in *Region*** aus.
  + Wählen Sie für die Remote-Ressource **Availability Zone** und dann eine AZ aus.
+ Ein Monitor, der alle Netzwerk-Flows für Ihren Workload innerhalb einer lokalen Region umfasst.
  + Wählen Sie für die lokale Ressource die Option **Überall in *Region*** aus.
  + Wählen Sie für die Remote-Ressource **Überall in *Region*** aus.
+ Ein Monitor, der alle Netzwerk-Flows für Ihren Workload von einer lokalen Region bis zum Rand einer anderen Region umfasst.
  + Wählen Sie für die lokale Ressource die Option **Überall in *Region*** aus.
  + Wählen Sie für die Remote-Ressource **Andere Region** und dann eine Remote-Region aus.

**Wichtig**  
Diese Schritte sind so konzipiert, dass sie alle auf einmal ausgeführt werden können. Sie können in Bearbeitung befindliche Arbeiten nicht speichern, um sie später fortzusetzen.

**So erstellen Sie einen Monitor mithilfe der Konsole**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie auf der Seite Network Flow Monitor die Registerkarte **Monitore** und dann **Monitor erstellen** aus.

1. Geben Sie für **Name des Monitors** den Namen ein, den Sie für den Monitor verwenden möchten. Sie können diese Namen später nicht mehr ändern.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die lokalen Ressourcen (eine oder mehrere) für die Netzwerk-Flows aus, die Sie überwachen möchten.
   + Um die Netzwerk-Flows aller Ressourcen in Ihrer Region zu überwachen, wählen Sie **Überall in *Region*** aus.
   + Um bestimmte lokale Ressourcen für die Überwachung von Datenströmen auszuwählen, wählen Sie **Bestimmte Ressourcen in *Region*** aus. Wählen Sie dann unter **Ressourcen hinzufügen** die Option **Availability Zones**, **EKS-Cluster** oder **Subnetze aus VPCs und** wählen Sie dann die Ressourcen aus, die hinzugefügt werden sollen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie die Remote-Ressourcen (eine oder mehrere) für die Netzwerk-Flows aus, die Sie überwachen möchten.
   + Um die Netzwerk-Flows zu allen Ressourcen in Ihrer Region zu überwachen, wählen Sie **Überall in *Region*** aus.
   + Um Datenflüsse von bestimmten Remote-Ressourcen zu überwachen, wählen Sie **Spezifische Ressourcen in *Region*** aus. Wählen **VPCs Sie unter Ressourcen hinzufügen** die Option **Subnetze**, **Availability Zones** oder **AWS Dienste** aus und wählen Sie dann die Ressourcen aus, die hinzugefügt werden sollen.
   + Um Netzwerk-Flows bis zum Rand einer anderen Region zu überwachen, wählen Sie **Andere Region** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Auswahl, um die zu überwachenden Netzwerk-Flows zu bestätigen, oder bearbeiten Sie die Optionen, um Änderungen vorzunehmen.

1. Klicken Sie auf **Create monitor** (Überwachung erstellen).

Nachdem Sie einen Monitor erstellt haben, können Sie den Monitor jederzeit bearbeiten oder löschen, um Netzwerkflows hinzuzufügen oder zu entfernen. Wählen Sie einen Monitor aus und wählen Sie dann **Bearbeiten** oder **Löschen**. Beachten Sie, dass Sie den Namen eines Monitors nicht ändern können.

**Rufen Sie das Network-Flow-Monitor-Dashboard wie folgt auf:**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Netzwerküberwachung** und dann **Flow-Monitore** aus.

   Auf der Registerkarte **Monitors** (Monitore) wird die Liste von Monitoren angezeigt, die Sie erstellt haben. 

Wählen Sie einen einzelnen Monitor aus, um weitere Informationen zu einem Monitor zu erhalten.

# Bearbeiten eines Monitors in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-edit"></a>

Sie können einen Monitor jederzeit bearbeiten, um Netzwerk-Flows hinzuzufügen oder zu entfernen. 

Beachten Sie, dass Sie den Namen eines Monitors nicht mehr ändern können, nachdem Sie ihn erstellt haben.

**Wichtig**  
Diese Schritte sind so konzipiert, dass sie alle auf einmal ausgeführt werden können. Sie können in Bearbeitung befindliche Arbeiten nicht speichern, um sie später fortzusetzen.

**So bearbeiten Sie einen Monitor mithilfe der Konsole**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie auf der Registerkarte **Monitore** einen Monitor aus und klicken Sie dann im Menü **Aktionen** auf **Bearbeiten**.

1. Wählen Sie die lokalen oder Remote-Ressourcen aus, die Sie hinzufügen oder entfernen möchten. Wenn Sie mehrere Konten in Ihrem Geltungsbereich haben, geben Sie das Konto an, in dem sich die Ressourcen befinden, und wählen Sie dann die Ressourcen aus.

1. Wenn Sie mit der Aktualisierung des Monitors fertig sind, wählen Sie **Weiter** aus, um die zu überwachenden Netzwerk-Flows zu überprüfen und zu bestätigen.

1. Wählen Sie **Monitor speichern** aus.

# Löschen eines Monitors in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-delete"></a>

Führen Sie die hier beschriebenen Schritte aus, um einen Monitor in Network Flow Monitor zu löschen. 

**Löschen Sie einen Monitor wie folgt:**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie auf der Registerkarte **Monitore** einen Monitor aus und klicken Sie dann im Menü **Aktionen** auf **Löschen**.

1. Geben Sie im daraufhin angezeigten Dialogfeld Bestätigungstext ein und wählen Sie **Löschen** aus.

# Überwachen und Analysieren von Netzwerk-Flows mit Monitoren in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-monitor-and-analyze"></a>

Die Daten und Diagramme von Network Flow Monitor helfen Ihnen, Netzwerkprobleme zu visualisieren und zu verfolgen. Sie können Monitore erstellen, um detaillierte Informationen zu bestimmten Netzwerksegmenten für Ihre AWS Workloads zu erhalten, einschließlich einer Ansicht des Netzwerkpfads für einzelne Netzwerkflüsse. Nachdem Sie einen oder mehrere Monitore in Network Flow Monitor erstellt haben, können Sie Leistung und Metriken beobachten und historische Daten untersuchen, um Anomalien zu ermitteln. 

Wenn Sie die von einem Monitor bereitgestellten Informationen ansehen möchten, wählen Sie auf der Registerkarte **Monitore** einen Monitor in der Tabelle **Monitore** aus. Wählen Sie dann eine der folgenden Registerkarten aus, um weitere Informationen aufzurufen: **Übersicht**, **Historischer Explorer** oder **Monitordetails**.

**Registerkarte Overview (Übersicht)**  
Auf der Registerkarte **Übersicht** können Sie die folgenden Informationen für ausgewählte Zeiträume überprüfen. Oben auf der Seite können Sie den ausgewählten Zeitraum ändern, um die Auswahl der historischen Informationen, einschließlich NHI und einer Zusammenfassung des Datenverkehrs, einzugrenzen oder zu erweitern.   
+ **Network Health Indicator (NHI): Der Netzwerkintegritätsindikator (** AWS Network Health Indicator, NHI) informiert Sie darüber, ob während des Zeitraums, den Sie für die Anzeige von Leistungskennzahlen ausgewählt haben, Netzwerkprobleme bei einem oder mehreren der von Ihrem Monitor verfolgten Netzwerkflüsse aufgetreten sind. Der NHI ist ein binärer Wert, d. h. 1 oder 0, der in der Konsole als **Beeinträchtigt** oder **Fehlerfrei** angezeigt wird. 
  + Der NHI wird als **Beeinträchtigt** angezeigt, wenn zu einem beliebigen Zeitpunkt während des ausgewählten Zeitraums Probleme mit dem AWS -Teil des Netzwerks aufgetreten sind, den ein Netzwerk-Flow im Monitor durchquert hat. 
  + Andernfalls wird der NHI als **Fehlerfrei** angezeigt.

  Wenn der NHI **Beeinträchtigt** ist, können Sie sich das Balkendiagramm des **Network Health Indicator** ansehen, um weitere Informationen zu erhalten. Das Diagramm zeigt Ihnen, wann während des ausgewählten Zeitraums AWS Netzwerkprobleme bei den von Ihrem Monitor verfolgten Netzwerkströmen aufgetreten sind. 
+ **Datenverkehrsübersicht:** Beobachten Sie die Gesamtmetriken der von diesem Monitor verfolgten Flows für den ausgewählten Zeitraum. Im Monitor sehen Sie die durchschnittliche Round-Trip-Zeit, die Anzahl der Übertragungs-Timeouts und Neuübertragungen sowie die durchschnittliche Menge der übertragenen Daten für die Flows. RTT-Daten sind wahrscheinlich nicht zahlreich, da RTT nicht immer berechnet wird.

**Registerkarte „Historischer Explorer“**  
Auf der Registerkarte **Historischer Explorer** können Sie umfassende Informationen zu bestimmten Flows aufrufen. Sie können Metriken und Netzwerkpfade für Netzwerk-Flows mit den wichtigsten Faktoren für bestimmte Zeitrahmen überprüfen. In den Metriktabellen können Sie die Daten nach verschiedenen Flow-Kategorien filtern, z. B. nach Flows zwischen Availability Zones (`INTER_AZ`).   
+ **Metriken:** Sehen Sie sich detaillierte Informationen zu den wichtigsten Mitwirkenden für jeden Metriktyp an, für den Network Flow Monitor Daten aggregiert. Für Neuübertragungs-Timeouts, Neuübertragungen, Round-Trip-Zeit und übertragene Daten werden separate Tabellen mit den wichtigsten Faktoren bereitgestellt.
+ **Netzwerkpfade:** Wenn Sie sich ein Bild davon machen möchten, wo Anomalien auftreten, können Sie sich den Netzwerkpfad eines Netzwerk-Flows ansehen. Bei der Auswahl einer bestimmten Metrik in einer Metriktabelle wird der Netzwerkpfad für diesen Flow unter der Tabelle angezeigt. 

**Registerkarte „Monitordetails“**  
Auf der Registerkarte **Monitordetails** sehen Sie Details zum Monitor, z. B. den Monitorstatus, den ARN, wann er erstellt und zuletzt aktualisiert wurde und die enthaltenen Flows.

Auf jeder Seite der Registerkarte **Monitore** können Sie einen Monitor bearbeiten oder löschen.

Im Rahmen der regelmäßigen Nutzung von Network Flow Monitor empfehlen wir, die Daten auf der Seite **Workload-Einblicke** regelmäßig zu überprüfen, um festzustellen, ob es neue Flows mit Metrikanomalien gibt, die Sie im Laufe der Zeit genauer verfolgen möchten. Wenn Sie auf der Seite **Workload-Einblicke** Flows sehen, zu denen Sie Details sehen möchten, wählen Sie die Flows aus und erstellen Sie einen Monitor.

# Löschen des Geltungsbereichs für Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-disable"></a>

Wenn Sie Netzwerk-Flows nicht mehr mit Network Flow Monitor überwachen möchten, können Sie den Geltungsbereich in Network Flow Monitor löschen. Wenn Sie Ihren Geltungsbereich löschen, können Sie keine Informationen zur Netzwerkleistung mehr sehen.

Bevor Sie einen Geltungsbereich löschen können, müssen Sie alle Monitore löschen. Beachten Sie, dass es etwa 15 Minuten dauern kann, bis das Entfernen der Monitore abgeschlossen ist, nachdem Sie eine Löschanforderung gestellt haben. Weitere Informationen finden Sie unter [Löschen eines Monitors in Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md). 

**Löschen Sie einen Geltungsbereich wie folgt:**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie im linken Navigationsbereich unter **Netzwerküberwachung** die Option **Flow-Monitore** aus.

1. Wählen Sie auf der Registerkarte **Einstellungen** die Option **Geltungsbereich löschen** aus.

1. Geben Sie in das Dialogfeld Bestätigungstext ein und wählen Sie **Geltungsbereich löschen** aus.

# Sehen Sie sich die Metriken von Network Flow Monitor an in CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-cw-metrics"></a>

Network Flow Monitor veröffentlicht in Ihrem Konto die folgenden Netzwerk-Flow-Leistungsmetriken: Round-Trip-Zeit, TCP-Neuübertragungen, TCP-Neuübertragungs-Timeouts, übertragene Daten und Network Health Indicator. Sie können diese Metriken in der CloudWatch Amazon-Konsole unter CloudWatch Metriken einsehen. 

Alle Metriken für Ihren Monitor finden Sie im CloudWatch Metrics-Dashboard im benutzerdefinierten Namespace`AWS/NetworkFlowMonitor`. Metriken werden für jeden Monitor aggregiert, der bereitgestellt und aktiv ist. 

Network Flow Monitor bietet die folgenden Metriken. Beachten Sie, dass RoundTripTime Daten spärlich sein können, da diese Metrik nicht immer berechnet wird.


| Metrik | Description | 
| --- | --- | 
| DataTransferred | Die Anzahl der Bytes, die für alle Flows in einem Monitor übertragen wurden. | 
| Retransmissions | Die Gesamtzahl der Neuübertragungen für einen Monitor. Neuübertragungen finden statt, wenn der Absender Pakete erneut senden muss, weil sie beschädigt wurden oder verloren gegangen sind. | 
| Timeouts | Die Gesamtzahl der Timeouts bei Neuübertragungen für einen Monitor. Dies tritt auf, wenn dem Absender zu viele Bestätigungen fehlen und er deshalb ein Timeout nimmt und das Senden von Paketen einstellt. | 
| RoundTripTime | Die durchschnittliche Zeit für die Hin- und Rückübertragung für Netzwerk-Flows in einem Monitor. Diese in Mikrosekunden gemessene Metrik ist ein Maß für die Leistung. Sie zeichnet auf, wie lange es dauert, bis Datenverkehr von einer lokalen Ressource an eine Remote-IP-Adresse übertragen und die zugehörige Antwort empfangen wird. Die Zeit ist ein Durchschnittswert über den Aggregationszeitraum. Die Daten sind wahrscheinlich nicht zahlreich, da diese Metrik nicht immer berechnet wird. | 
| HealthIndicator | Der Network Health Indicator (NHI) für einen Monitor insgesamt. Der Network Health Indicator (NHI) ist ein Wert, der auf eine Beeinträchtigung des AWS Netzwerks hindeutet. Der NHI-Wert ist 1 (Beeinträchtigt), wenn während eines bestimmten Zeitraums ein Problem mit dem AWS -Netzwerk aufgetreten ist. Er ist auf 0 (Fehlerfrei) gesetzt, wenn keine Probleme mit dem AWS -Netzwerk festgestellt wurden. Wenn Sie den NHI im Blick behalten, können Sie die Fehlerbehebung für Ihre Workload oder das AWS -Netzwerk priorisieren.  | 

# Erstellen von Alarmen mit Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-create-alarm"></a>

Sie können CloudWatch Amazon-Alarme auf der Grundlage von Network Flow Monitor-Metriken erstellen, genau wie Sie es für andere CloudWatch Metriken tun können.

Sie können z. B. einen Alarm auf der Grundlage der Network-Flow-Monitor-Metrik `Retransmissions` erstellen und ihn so konfigurieren, dass eine Benachrichtigung gesendet wird, wenn die Metrik über einem von Ihnen gewählten Wert liegt. Sie konfigurieren Alarme für Network Flow Monitor-Metriken nach denselben Richtlinien wie für andere CloudWatch Metriken. 

Im Folgenden finden Sie Beispiele für Network-Flow-Monitor-Metriken, für die Sie einen Alarm erstellen könnten:
+ **Retransmissions**
+ **Timeouts**
+ **RoundTripTime**

Alle für Network Flow Monitor verfügbaren Metriken finden Sie unter [Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](ConsoleAlarms.md).

Das folgende Verfahren bietet ein Beispiel für die Einrichtung eines Alarms bei **erneuten Übertragungen**, indem Sie im Dashboard zu der Metrik navigieren. CloudWatch Anschließend folgen Sie den CloudWatch Standardschritten, um einen Alarm auf der Grundlage eines von Ihnen ausgewählten Schwellenwerts zu erstellen und eine Benachrichtigung einzurichten oder andere Optionen auszuwählen.

**Um einen Alarm für **Wiederholungen in Metrics** zu erstellen CloudWatch**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie **Metriken** und dann **Alle Metriken**.

1. Filtern Sie nach Network Flow Monitor, indem Sie `AWS/NetworkFlowMonitor` auswählen.

1. Wähle **MeasurementSource, MonitorName**.

1. Wählen Sie in der Liste **Retransmissions** aus.

1. Wählen Sie auf der **GraphedMetrics**Registerkarte unter **Aktionen** das Glockensymbol aus, um einen Alarm auf der Grundlage eines statischen Schwellenwerts zu erstellen.

Folgen Sie nun den CloudWatch Standardschritten, um Optionen für den Alarm auszuwählen. Sie können beispielsweise festlegen, dass Sie eine Amazon-SNS-Nachricht erhalten, wenn **Retransmissions** unter einem bestimmten Schwellenwert liegt. Alternativ oder zusätzlich können Sie den Alarm zu einem Dashboard hinzufügen.

Beachten Sie Folgendes:
+ Network-Flow-Monitor-Metriken werden in der Regel aggregiert und alle 30 Sekunden an das Backend von Network Flow Monitor gesendet, wobei ein Jitter von 5 Sekunden auftreten kann (insgesamt also 25 bis 35 Sekunden).
+ Wenn Sie einen Alarm auf der Grundlage von Network-Flow-Monitor-Metriken erstellen, stellen Sie sicher, dass Sie beim Festlegen des Lookback-Zeitraums für einen Alarm die kurze Verzögerung vor der Veröffentlichung berücksichtigen. Es wird empfohlen, **Auswertungszeiträume** mit einem Lookback-Zeitraum von mindestens 25 Minuten zu konfigurieren.

Weitere Informationen zu den Optionen beim Erstellen eines CloudWatch Alarms finden Sie unter[Erstellen Sie einen CloudWatch Alarm auf der Grundlage eines statischen Schwellenwerts](ConsoleAlarms.md).

# AWS CloudTrail für Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-monitoring-overview"></a>

Die Überwachung eines Dienstes ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Network Flow Monitor und Ihren anderen AWS Lösungen. *AWS CloudTrail*erfasst API-Aufrufe und zugehörige Ereignisse, die von Ihnen oder in Ihrem Namen getätigt wurden, AWS-Konto und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Sie können die Benutzer und Konten, die AWS aufgerufen haben, identifizieren, sowie die Quell-IP-Adresse, von der diese Aufrufe stammen, und den Zeitpunkt der Aufrufe ermitteln. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

Weitere Informationen zur CloudTrail Protokollierung von Network Flow Monitor finden Sie unter[Netzwerkflussüberwachung in CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct).

# Beheben von Problemen in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting"></a>

Dieser Abschnitt enthält Anleitungen zur Behebung von Problemen mit Network Flow Monitor, einschließlich Problemen beim Installieren von Agenten.

## Beheben von Problemen bei der Installation von EKS-Agenten
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation"></a>

Wenn Sie versuchen, das AWS Network Flow Monitor Agent-Add-on für EKS von Version 1.0.0 auf Version 1.0.1 zu aktualisieren AWS-Managementkonsole, wird möglicherweise die folgende Fehlermeldung angezeigt:

„Das Servicekonto `aws-network-flow-monitoring-agent-service-account` in der Pod-Identity-Konfiguration wird für das Add-On `aws-network-flow-monitoring-agent` nicht unterstützt.“

Dieser Fehler wird zurückgegeben, weil eine Ressource umbenannt wurde. Das EKS-Add-On Version 1.0.1 ändert den Namen des Servicekontos von `aws-network-flow-monitoring-agent-service-account` in `aws-network-flow-monitor-agent-service-account`.

Wenn **Nicht gesetzt** in der Konsole nicht ausgewählt ist, wird die Pod-Identity-Zuordnung nicht auf den neuen Ressourcennamen zurückgesetzt.

Zum Beheben dieses Problems gehen Sie beim Aktualisieren auf die neue Version mithilfe der Konsole wie folgt vor:

1. Wählen Sie unter **Pod-Identity-IAM-Rolle für Servicekonto** die Option **Nicht gesetzt** aus.

1. Wählen Sie **Neue Version (v1.0.1**) aus.

1. Wählen Sie **Aktualisieren** aus.

1. Wählen Sie **Änderungen speichern ** aus.

# Datensicherheit und Datenschutz in Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-security-nfw"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Network Flow Monitor gelten, finden Sie unter [AWS Services im Bereich nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften. 

In dieser Dokumentation wird erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Network Flow Monitor zum Tragen kommt. Die folgenden Themen zeigen Ihnen, wie Sie Network Flow Monitor zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie lernen auch, wie Sie andere AWS Dienste verwenden können, die Ihnen helfen, Ihre Network Flow Monitor-Ressourcen zu überwachen und zu sichern. 

**Topics**
+ [Datenschutz in Network Flow Monitor](data-protection-nfw.md)
+ [Infrastruktur-Sicherheit in Network Flow Monitor](infrastructure-security-nfw.md)
+ [Identity and Access Management für Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)

# Datenschutz in Network Flow Monitor
<a name="data-protection-nfw"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in Network Flow Monitor. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Network Flow Monitor oder auf andere Weise AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

# Infrastruktur-Sicherheit in Network Flow Monitor
<a name="infrastructure-security-nfw"></a>

Als verwalteter Service ist Network Flow Monitor durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper [Amazon Web Services: Sicherheitsprozesse im Überblick](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) beschrieben sind.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Network Flow Monitor zuzugreifen. Kunden müssen Transport Layer Security (TLS) 1.0 oder neuer unterstützen. Wir empfehlen TLS 1.2 oder neuer. Clients müssen außerdem Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

# Identity and Access Management für Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-security-iam"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer für die Nutzung von Network-Flow-Monitor-Ressourcen *authentifiziert* (angemeldet) und *autorisiert* (mit Berechtigungen ausgestattet) werden kann. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Wie Network Flow Monitor mit IAM funktioniert](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS verwaltete Richtlinien](security-iam-awsmanpol-network-flow-monitor.md)
+ [Service-verknüpfte Rollen](using-service-linked-roles-network-flow-monitor.md)

# Wie Network Flow Monitor mit IAM funktioniert
<a name="security_iam_service-with-iam-network-flow-monitor"></a>

Bevor Sie IAM zum Verwalten des Zugriffs auf Network Flow Monitor verwenden, erfahren Sie hier, welche IAM-Feature Sie mit Network Flow Monitor verwenden können.

*Tabellen, die einen ähnlichen Überblick darüber bieten, wie AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*


**IAM-Features, die Sie mit Network Flow Monitor verwenden können**  

| IAM-Feature | Unterstützung für Network Flow Monitor | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies-nfm)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies-nfm)  |   Nein   | 
|  [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions-nfm)  |   Ja  | 
|  [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources-nfm)  |   Ja  | 
|  [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm)  |   Ja  | 
|  [ACLs](#security_iam_service-with-iam-acls-nfm)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags-nfm)  |   Ja  | 
|  [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds-nfm)  |   Ja  | 
|  [Prinzipalberechtigungen](#security_iam_service-with-iam-principal-permissions-nfm)  |   Ja  | 
|  [Servicerollen](#security_iam_service-with-iam-roles-service-nfm)  |   Nein   | 
|  [Serviceverknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked-nfm)  |   Ja  | 

## Identitätsbasierte Richtlinien für Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-nfm"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

## Ressourcenbasierte Richtlinien in Network Flow Monitor
<a name="security_iam_service-with-iam-resource-based-policies-nfm"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Nein 

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-Rollen-Vertrauensrichtlinien und Amazon-S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern.

## Richtlinienaktionen für Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-actions-nfm"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Eine Liste der Aktionen für Network Flow Monitor finden Sie unter [Von Network Flow Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) in der *Referenz zur Serviceautorisierung*.

Richtlinienaktionen in Network Flow Monitor verwenden das folgende Präfix vor der Aktion:

```
networkflowmonitor
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "networkflowmonitor:action1",
      "networkflowmonitor:action2"
         ]
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "networkflowmonitor:Describe*"
```

## Richtlinienressourcen für Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-resources-nfm"></a>

**Unterstützt Richtlinienressourcen:** Ja

In der *Referenz zur Serviceautorisierung* finden Sie die folgenden Informationen zu Network Flow Monitor:
+ Eine Liste der Network Flow Monitor-Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Von Network Flow Monitor definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies).
+ Informationen zu den Aktionen, die Sie mit dem ARN der einzelnen Ressourcen angeben können, finden Sie unter [Von Network Flow Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

## Richtlinien-Bedingungsschlüssel für Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys-nfm"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste von Bedingungsschlüsseln für Network Flow Monitor finden Sie unter [Bedingungsschlüssel für Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) in der *Referenz zur Serviceautorisierung*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Network Flow Monitor definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).

## ACLs im Network Flow Monitor
<a name="security_iam_service-with-iam-acls-nfm"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit Network Flow Monitor
<a name="security_iam_service-with-iam-tags-nfm"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Ja

Network Flow Monitor unterstützt *teilweise* Tags in Richtlinien. Es unterstützt das Tagging für eine Ressource, Monitore.

Um Tags mit Network Flow Monitor zu verwenden, verwenden Sie das AWS Command Line Interface oder ein AWS SDK. Tagging für Network Flow Monitor wird mit dem AWS-Managementkonsole nicht unterstützt.

Wenn Sie mehr über die Verwendung von Tags in Richtlinien im Allgemeinen erfahren möchten, lesen Sie die folgenden Informationen.

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Verwenden von temporären Anmeldeinformationen mit Network Flow Monitor
<a name="security_iam_service-with-iam-roles-tempcreds-nfm"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen den kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Serviceübergreifende Prinzipalberechtigungen für Network Flow Monitor
<a name="security_iam_service-with-iam-principal-permissions-nfm"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward Access Sessions (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anfrage, Anfragen AWS-Service an nachgeschaltete Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für Network Flow Monitor
<a name="security_iam_service-with-iam-roles-service-nfm"></a>

**Unterstützt Servicerollen:** Nein 

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

## Serviceverknüpfte Rolle für Network Flow Monitor
<a name="security_iam_service-with-iam-roles-service-linked-nfm"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Weitere Informationen über die serviceverknüpfte Rolle für Network Flow Monitor finden Sie unter [Serviceverknüpfte Rollen für Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

Weitere Informationen zum Erstellen oder Verwalten von dienstbezogenen Rollen im Allgemeinen finden Sie unter [AWS Dienste AWS, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.

# AWS verwaltete Richtlinien für Network Flow Monitor
<a name="security-iam-awsmanpol-network-flow-monitor"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: CloudWatchNetworkFlowMonitorServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorServiceRolePolicy"></a>

Sie können `CloudWatchNetworkFlowMonitorServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle mit dem Namen zugeordnet **AWSServiceRoleForNetworkFlowMonitor**, die die von Network Flow Monitor-Agenten gesammelten Ergebnisse der Netzwerktelemetrie-Aggregation veröffentlicht. CloudWatch Sie ermöglicht dem Service außerdem, über AWS Organizations Informationen für Szenarien mit mehreren Konten abzurufen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen für Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

## AWS verwaltete Richtlinie: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy"></a>

Sie können ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist einer dienstbezogenen Rolle mit dem Namen **AWSServiceRoleForNetworkFlowMonitor\$1Topology**zugeordnet. Mithilfe dieser Berechtigungen und der Erfassung von internen Metadateninformationen (aus Gründen der Leistungseffizienz) sammelt diese serviceverknüpfte Rolle Metadaten über Konfigurationen des Ressourcennetzwerks, z. B. die Beschreibung von Routentabellen und Gateways, für Ressourcen, für die dieser Service den Netzwerkdatenverkehr überwacht. Diese Metadaten ermöglichen Network Flow Monitor, Topologie-Snapshots der Ressourcen zu generieren. Wenn es zu einer Beeinträchtigung des Netzwerks kommt, verwendet Network Flow Monitor die Topologien, um Einblicke in Problempunkte im Netzwerk zu gewinnen und die Ermittlung von Ursachen zu erleichtern. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen für Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

## AWS verwaltete Richtlinie: CloudWatchNetworkFlowMonitorAgentPublishPolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy"></a>

Sie können diese Richtlinie in IAM-Rollen verwenden, die Ressourcen in Amazon-EC2- und Amazon-EKS-Instances angefügt sind, um Telemetrieberichte (Metriken) an einen Endpunkt von Network Flow Monitor zu senden.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## Aktualisierungen der serviceverknüpften Rollen von Network Flow Monitor
<a name="security-iam-awsmanpol-network-flow-monitor-updates"></a>

Aktualisierungen der AWS verwalteten Richtlinien für die mit dem Dienst verknüpften Rollen von Network Flow Monitor finden Sie in der [Tabelle mit den Aktualisierungen AWS verwalteter Richtlinien](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) für CloudWatch. Auf der [Seite CloudWatch Dokumentenverlauf](DocumentHistory.md) können Sie auch automatische RSS-Benachrichtigungen abonnieren.

# Serviceverknüpfte Rollen für Network Flow Monitor
<a name="using-service-linked-roles-network-flow-monitor"></a>

Network Flow Monitor verwendet [dienstgebundene AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Network Flow Monitor verknüpft ist. Die dienstgebundene Rolle ist von Network Flow Monitor vordefiniert und umfasst alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Network Flow Monitor definiert die Berechtigungen dieser serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Network Flow Monitor die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinien. Diese Berechtigungsrichtlinien können keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre Ressourcen von Network Flow Monitor, da Sie nicht versehentlich die Berechtigungen für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Berechtigungen serviceverknüpfter Rollen für Network Flow Monitor
<a name="service-linked-role-permissions-NetworkFlowMonitor"></a>

Network Flow Monitor nutzt folgende serviceverknüpfte Rollen: 
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**

### Dienstbezogene Rollenberechtigungen für AWSService RoleForNetworkFlowMonitor
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor"></a>

Network Flow Monitor verwendet die angegebene dienstverknüpfte Rolle. **AWSServiceRoleForNetworkFlowMonitor** Diese Rolle ermöglicht es Network Flow Monitor, CloudWatch aggregierte Telemetriedaten zu veröffentlichen, die für den Netzwerkverkehr zwischen Instanzen sowie zwischen Instanzen und Standorten gesammelt wurden. AWS Sie ermöglicht dem Service außerdem, über AWS Organizations Informationen für Szenarien mit mehreren Konten abzurufen.

Diese serviceverknüpfte Rolle verwendet die verwaltete Richtlinie `CloudWatchNetworkFlowMonitorServiceRolePolicy`. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Die serviceverknüpfte Rolle **AWSServiceRoleForNetworkFlowMonitor** vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `networkflowmonitor.amazonaws.com`

### Mit dem Dienst verknüpfte Rollenberechtigungen für AWSServiceRoleForNetworkFlowMonitor\$1Topology
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor_Topology"></a>

Network Flow Monitor verwendet die angegebene dienstverknüpfte Rolle. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Diese Rolle ermöglicht Network Flow Monitor, einen Topologie-Snapshot der Ressourcen zu generieren, die Sie mit Network Flow Monitor verwenden.

Diese serviceverknüpfte Rolle verwendet die verwaltete Richtlinie `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Die serviceverknüpfte Rolle **AWSServiceRoleForNetworkFlowMonitor\$1Topology** vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `topology.networkflowmonitor.amazonaws.com`

## Erstellen einer serviceverknüpften Rolle für Network Flow Monitor
<a name="create-service-linked-role-network-flow-monitor"></a>

Sie müssen die serviceverknüpften Rollen für Network Flow Monitor nicht manuell erstellen. Wenn Sie Network Flow Monitor zum ersten Mal initialisieren, erstellt Network Flow Monitor **AWSServiceRoleForNetworkFlowMonitor**und **AWSServiceRoleForNetworkFlowMonitor\$1Topology**für Sie.

Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.

## Bearbeiten einer serviceverknüpften Rolle für Network Flow Monitor
<a name="edit-service-linked-role-network-flow-monitor"></a>

Nachdem Network Flow Monitor eine serviceverknüpfte Rolle in Ihrem Konto erstellt hat, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für Network Flow Monitor
<a name="delete-service-linked-role-network-flow-monitor"></a>

Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für die serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Falls der Service Network Flow Monitor die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies der Fall ist, warten Sie einige Minuten und versuchen Sie es erneut.

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die oder die **AWSServiceRoleForNetworkFlowMonitor\$1Topology**serviceverknüpfte **AWSServiceRoleForNetworkFlowMonitor**Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Aktualisierungen der serviceverknüpften Rolle von Network Flow Monitor
<a name="security-iam-awsmanpol-updates-network-flow-monitor"></a>

Aktualisierungen der AWS verwalteten Richtlinien für die mit dem Service verknüpften Rollen von Network Flow Monitor finden Sie unter [CloudWatch Aktualisierungen](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) der verwalteten Richtlinien. `CloudWatchNetworkFlowMonitorServiceRolePolicy` `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` AWS Abonnieren Sie den RSS-Feed auf der Seite CloudWatch [Dokumentenverlauf CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html), um automatische Benachrichtigungen über verwaltete Richtlinienänderungen in zu erhalten.