# Uso de Network Flow Monitor
Network Flow Monitor proporciona visibilidad casi en tiempo real del rendimiento de la red para el tráfico entre recursos de computación (Amazon EC2 y Amazon Elastic Kubernetes Service), el tráfico hacia otros servicios de AWS (Amazon S3 y Amazon DynamoDB) y el tráfico hacia la periferia de otra Región de AWS. Network Flow Monitor recopila datos de agentes de software livianos que se instalan en sus instancias. Estos agentes recopilan estadísticas de rendimiento de las conexiones TCP y envían estos datos al servicio de backend de Network Flow Monitor, que calcula los principales contribuyentes de cada tipo de métrica.
Network Flow Monitor también determina si AWS es la causa de un problema de red detectado y reporta esa información sobre los flujos de red que usted decide supervisar.
Si inicia sesión con una cuenta de administración o de administrador delegado, puede ver la información de rendimiento de la red para los flujos de red de los recursos en una sola cuenta, o puede configurar Network Flow Monitor con AWS Organizations para ver la información de rendimiento de varias cuentas de una organización.
Network Flow Monitor está diseñado para operadores de redes y desarrolladores de aplicaciones que desean obtener información en tiempo real sobre el rendimiento de la red. En la consola de Network Flow Monitor en CloudWatch, puede ver los datos de rendimiento del tráfico de red de sus recursos que se han agregado desde los agentes y han sido agrupados en diferentes categorías. Por ejemplo, puede ver los datos de los flujos entre zonas de disponibilidad o entre VPC. A continuación, puede crear monitores para flujos específicos de los que desee ver más detalles o hacer un seguimiento más exhaustivo a lo largo del tiempo.
Con un monitor, puede visualizar rápidamente la pérdida de paquetes y la latencia de sus conexiones de red durante el periodo de tiempo que especifique. Para cada monitor, Network Flow Monitor también genera un indicador de estado de la red (NHI). El valor NHI le informa si hubo problemas con la red de AWS en los flujos de red rastreados por el monitor durante el periodo de tiempo que está evaluando. Con la información del NHI, puede decidir rápidamente si desea centrar los esfuerzos de resolución en un problema de red de AWS o en los problemas de red originados por sus cargas de trabajo.
Para ver un ejemplo de configuración y uso de Network Flow Monitor, consulte la siguiente entrada del blog: [Visualizing network performance of your AWS Cloud workloads with Network Flow Monitor](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/).
# ¿Qué es Network Flow Monitor?
Network Flow Monitor es una característica de supervisión de red de Amazon CloudWatch. Network Flow Monitor usa agentes totalmente administrados que se instalan en las cargas de trabajo de AWS para obtener métricas de rendimiento y disponibilidad sobre los flujos de red. Con Network Flow Monitor, puede acceder prácticamente en tiempo real a las métricas de sus cargas de trabajo reales, lo que incluye las retransmisiones y los datos transferidos. También puede identificar si se ha producido un problema de red de AWS subyacente en los flujos de red rastreados por un monitor mediante la comprobación de los valores del indicador de estado de la red (NHI).
**Características principales de Network Flow Monitor**
+ Con Network Flow Monitor, recibe métricas prácticamente en tiempo real sobre la latencia y la pérdida de paquetes que sufre el tráfico basado en TCP en su red de VPC, de modo que puede rastrear e investigar los problemas de red relacionados con el tráfico de carga de trabajo.
+ Cuando sus cargas de trabajo de AWS sufren una degradación de la red, Network Flow Monitor lo ayuda a determinar si el problema se debe a la carga de trabajo de la aplicación o a la infraestructura de AWS subyacente. De este modo, puede centrar rápidamente la resolución de problemas en la zona en la que se produce el problema.
**Cómo usar Network Flow Monitor**
Con Network Flow Monitor, puede instalar agentes ligeros en sus instancias, que recopilan y agregan métricas de rendimiento. Los agentes de Network Flow Monitor analizan el tráfico TCP y, a continuación, exportan las métricas de rendimiento al backend del servicio de Network Flow Monitor.
Los agentes recopilan las siguientes métricas para sus cargas de trabajo: tiempo de ida y vuelta (RTT) de TCP, tiempos de espera de retransmisión de TCP, retransmisiones de TCP y datos (bytes) transferidos. Tras instalar los agentes en las instancias, los agentes detectan las cargas de trabajo correspondientes alojadas en las instancias. A continuación, los agentes generan métricas de rendimiento de la red y las envían al backend de Network Flow Monitor. Las métricas se agrupan en categorías, como subredes, zonas de disponibilidad, VPC y servicios de AWS.
Las métricas de rendimiento de los principales contribuyentes (por tipo de métrica) de todos los flujos de red incluidos en el ámbito de Network Flow Monitor se muestran en la pestaña **Información sobre la carga de trabajo** de la Consola de administración de AWS. Al revisar las tablas y los gráficos de los principales contribuyentes, puede determinar cuáles son las deficiencias que desee solucionar y qué cargas de trabajo desea supervisar de forma continua mediante la creación de un monitor.
Con un monitor, puede supervisar cargas de trabajo específicas más de cerca a lo largo del tiempo y ver información detallada sobre flujos de red específicos. Además de ver las métricas de rendimiento de los principales contribuyentes a los flujos de red que ha seleccionado, puede ver información sobre las rutas de red con los saltos de red que ha atravesado un flujo de red para ayudarlo a solucionar problemas. Además, Network Flow Monitor genera un indicador de estado de la red (NHI) para los monitores. Un valor NHI de **Degradado** indica que hubo problemas en la red de AWS en al menos uno de los flujos de red rastreados por el monitor durante el periodo de tiempo que seleccionó.
Además de revisar la información de los monitores que cree, le recomendamos que revise periódicamente las métricas de la página **Información sobre la carga de trabajo** para consultar los principales contribuyentes que recientemente han contribuido a las métricas de rendimiento de sus flujos de red. Al revisar la información más reciente, considere si sería útil agregar o eliminar cargas de trabajo de sus monitores actuales o crear monitores nuevos.
**Topics**
+ [Regiones de AWS compatible](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Componentes](CloudWatch-NetworkFlowMonitor-components.md)
+ [Funcionamiento](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Precios](CloudWatch-NetworkFlowMonitor.pricing.md)
# Compatible con Regiones de AWS para Network Flow Monitor
Network Flow Monitor está disponible actualmente en las siguientes Regiones de AWS:
| Nombre de la región | Región |
| --- | --- |
| Asia-Pacífico (Mumbai) | ap-south-1 |
| Asia-Pacífico (Osaka) | ap-northeast-3 |
| Asia-Pacífico (Seúl) | ap-northeast-2 |
| Asia-Pacífico (Singapur) | ap-southeast-1 |
| Asia-Pacífico (Sídney) | ap-southeast-2 |
| Asia-Pacífico (Tokio) | ap-northeast-1 |
| Canadá (centro) | ca-central-1 |
| Europa (Fráncfort) | eu-central-1 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Londres) | eu-west-2 |
| Europa (París) | eu-west-3 |
| Europa (Estocolmo) | eu-north-1 |
| América del Sur (São Paulo) | sa-east-1 |
| Este de EE. UU. (Norte de Virginia) | us-east-1 |
| Este de EE. UU. (Ohio) | us-east-2 |
| Oeste de EE. UU. (Norte de California) | us-west-1 |
| Oeste de EE. UU. (Oregón) | us-west-2 |
# Componentes y características de Network Flow Monitor
Network Flow Monitor usa o hace referencia a los siguientes conceptos.
**Agentes**
Un *agente* de Network Flow Monitor es una aplicación de software que se instala en los recursos de computación de AWS (Amazon EC2 y Amazon EKS). La aplicación tiene dos partes:
+ La primera parte recibe eventos relacionados con las conexiones TCP y se registra en el núcleo de Linux mediante eBPF. eBPF es la capacidad extendida de Berkeley Packet Filter (eBPF) de Linux que permite a un programa designado recibir ciertos eventos generados por el núcleo de Linux.
+ La segunda parte agrega las estadísticas recopiladas por la parte de eBPF. El agente envía las métricas agregadas al backend de Network Flow Monitor aproximadamente cada 30 segundos, con una posible fluctuación de 5 segundos (en otras palabras, de 25 a 35 segundos).
Para obtener más información sobre los agentes de , consulte [Funcionamiento](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).
**Colaboradores principales**
Los *principales contribuyentes* son los flujos de red que tienen los valores más altos para una métrica específica (como las retransmisiones) en el ámbito de Network Flow Monitor o entre los flujos de red que se están rastreando en un monitor. Revisar los flujos con las cifras más altas reportadas para medir las métricas de rendimiento puede ayudarlo a determinar si hay deficiencias que investigar. Network Flow Monitor devuelve las métricas de rendimiento de los principales contribuyentes en el ámbito de la supervisión para obtener *información sobre la carga de trabajo*. Además, si crea un monitor, Network Flow Monitor devuelve las métricas de rendimiento de los principales contribuyentes de los flujos de red que elija para el monitor.
**Recursos locales y remotos**
Un *recurso local* es la ubicación del host (o una ubicación de varios hosts) donde está instalado un agente de Network Flow Monitor. Puede ser una subred, una VPC, una zona de disponibilidad, un clúster de Amazon EKS o una Región de AWS. Por ejemplo, piense en una carga de trabajo que consiste en una interacción entre un servicio web y una base de datos de backend, por ejemplo, DynamoDB. En esta situación, el recurso local es la subred de la instancia de EC2 que aloja el servicio web, que también ejecuta el agente. Un flujo de red suele ser direccional, aunque se puede configurar para que sea bidireccional.
Un *recurso remoto* es el otro extremo de un flujo de red. En este ejemplo de un servicio web con una base de datos de backend, DynamoDB es el recurso remoto. Un recurso remoto puede ser una subred, una VPC, una zona de disponibilidad, un servicio de AWS o una Región de AWS. Si especifica una región como recurso remoto, Network Flow Monitor mide el rendimiento del flujo de red hasta la periferia de la región. No mide el rendimiento hasta puntos de conexión específicos dentro de la región.
Un recurso se identifica por el ARN del recurso, el nombre del servicio de AWS o, en el caso de una zona de disponibilidad o región, por el nombre de la zona o región.
**Información sobre la carga de trabajo**
La *información sobre la carga de trabajo* incluye las métricas de rendimiento devueltas para todos los flujos de red incluidos en su ámbito. En la Consola de administración de AWS, la página **Información sobre la carga de trabajo** proporciona datos de rendimiento sobre las cargas de trabajo en las que se han instalado agentes de Network Flow Monitor en instancias de carga de trabajo. La página **Información sobre la carga de trabajo** proporciona una vista de sus aplicaciones que incluye la cantidad de datos transferidos y varios otros indicadores, agrupados en categorías de cargas de trabajo. Por ejemplo, puede ver todas las métricas de las cargas de trabajo con tráfico entre zonas de disponibilidad (AZ) o dentro de una zona de disponibilidad. Con esta información, puede seleccionar las cargas de trabajo para las que desea crear un monitor a fin de consultar más detalles y hacer un seguimiento continuo del rendimiento de la red.
**Monitores**
Cree un *monitor* para poder supervisar, de forma continua, el rendimiento de la red para una o varias cargas de trabajo específicas y consultar información más detallada sobre los flujos de la red. Para cada monitor, Network Flow Monitor publica métricas de rendimiento integrales y un indicador de estado de la red (NHI), que puede usar para determinar la atribución de las deficiencias. Le recomendamos que revise la información de la página **Información sobre la carga de trabajo** para ver en qué flujos de red quiere centrarse y, a continuación, cree un monitor para esos flujos. Luego, al revisar periódicamente **Información sobre la carga de trabajo**, podrá decidir si tiene los monitores que necesita o si sería útil crear nuevos monitores.
**Indicador de estado de la red (NHI)**
El *indicador de estado de la red* (NHI) es un valor binario que le informa si hubo problemas con la red de AWS en uno o más de los flujos de red rastreados por un monitor durante el periodo de tiempo de su elección. Cuando el valor del NHI es 1 o **Degradado**, significa que se produjo un problema de red de AWS en al menos un flujo de red. Con el indicador NHI, puede decidir rápidamente si desea centrar los esfuerzos de resolución en un problema de red de AWS o en los problemas de red originados por sus cargas de trabajo.
Para obtener más información, consulte [Visualización de métricas de Network Flow Monitor en CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
**Ámbito**
En Network Flow Monitor, el *ámbito* es la cuenta o las cuentas que puede observar cuando analiza los indicadores de rendimiento de la red. Si inicia sesión como una cuenta de administración y configura AWS Organizations con CloudWatch, puede establecer el ámbito en más de una cuenta de su organización (hasta 100 cuentas en total). De lo contrario, si inicia sesión con una Cuenta de AWS que no tiene permisos de administración en Organizations, o si no ha configurado Organizations con CloudWatch, Network Flow Monitor establece su ámbito en la cuenta con la que ha iniciado sesión.
Una vez que haya configurado Organizations, para cambiar el ámbito, agregue o quite cuentas. Sin embargo, siempre que cambie el ámbito, Network Flow Monitor debe crear una nueva topología de los recursos del ámbito. Para obtener más información, consulte [Adición de varias cuentas a su ámbito](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).
Network Flow Monitor genera un **ID de ámbito** único para el ámbito. Las consultas de datos de métricas usan el ID de ámbito para determinar los recursos para los que Network Flow Monitor genera métricas. (Debe instalar agentes para recopilar y enviar datos de métricas antes de poder ver las métricas de rendimiento de una cuenta con Network Flow Monitor).
**ID de la consulta**
Network Flow Monitor genera un *ID de consulta* único para cada consulta que se crea para recuperar los datos de las métricas de rendimiento: por ejemplo, una consulta de los principales contribuyentes de un monitor. Al usar un ID de consulta con una llamada a la API en Network Flow Monitor, puede comprobar el estado de una consulta, detenerla, volver a ejecutarla o trabajar con la consulta de otras formas.
**Métricas de desempeño**
Network Flow Monitor recopila y calcula *métricas de rendimiento* integrales, como el tiempo de ida y vuelta (RTT) de TCP, las retransmisiones de TCP, los tiempos de espera de las retransmisiones de TCP y los bytes transferidos por cada flujo que se encuentre en el ámbito de Network Flow Monitor. El servicio agrega estas métricas y las devuelve al backend del servicio. Puede ver los principales contribuyentes por tipo de métrica. Cuando vea una anomalía en Network Flow Monitor, también puede comprobar el indicador de estado de la red (NHI) para ver si hay algún problema subyacente en la red de AWS.
Tenga en cuenta que los datos de RTT pueden ser escasos, ya que el RTT no siempre se calcula.
También puede usar las características de Amazon CloudWatch para crear paneles de control, alarmas y notificaciones en función de estas métricas. Por ejemplo, puede obtener información sobre cómo configurar alarmas con las métricas de Network Flow Monitor consultando la información incluida en [Creación de alarmas con Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md).
# Funcionamiento
En esta sección, se proporciona información sobre varios aspectos de cómo funciona Network Flow Monitor.
**Cómo recopilan estadísticas los agentes de Network Flow Monitor**
Los agentes de Network Flow Monitor se instalan en recursos de computación de AWS (Amazon EC2 y Amazon EKS), donde recopilan métricas de rendimiento y las envían al backend de Network Flow Monitor. Los agentes no tienen acceso a la carga útil de sus conexiones TCP. Los agentes reciben solo lo que se denomina la estructura “bpf\$1sock\$1ops” del núcleo de Linux. Esta estructura proporciona la dirección IP local y remota, el puerto TCP de origen y destino, así como contadores y tiempos de ida y vuelta. Para obtener una lista de las estadísticas de TCP recopiladas y publicadas por el agente, consulte [Visualización de métricas de Network Flow Monitor en CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
El agente usa la API `Publish` de Network Flow Monitor para enviar métricas al servidor backend de Network Flow Monitor.
*Nota:* Network Flow Monitor admite aproximadamente hasta 5 millones de flujos por minuto. Se trata de aproximadamente 5000 instancias (nodos de Amazon EKS y Amazon EC2) con el agente de NFM instalado. La instalación de agentes en más de 5000 instancias puede afectar al rendimiento de la supervisión hasta que se disponga de capacidad adicional.
**Cómo se clasifican los flujos de red en Network Flow Monitor**
Network Flow Monitor clasifica los flujos de red en clasificaciones en función de dónde se originan y terminan los flujos.
# Precios de Network Flow Monitor
Con Network Flow Monitor, no hay costos iniciales ni compromisos a largo plazo. Los precios de Network Flow Monitor tienen dos componentes: los recursos supervisados (agentes instalados y que envían datos activamente) y las métricas de CloudWatch vendidas. Tenga en cuenta que también se le cobrarán los precios estándar de CloudWatch por cualquier métrica, panel de control, alarma o información adicional que cree.
Para obtener más información acerca de los precios de Network Flow Monitor y Amazon CloudWatch, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).
# Introducción a Network Flow Monitor
Para ayudarlo a comenzar, en la sección se proporciona una descripción general de los pasos para configurar Network Flow Monitor y así obtener información valiosa. Para obtener más información, consulte las secciones adicionales de esta guía sobre la inicialización de Network Flow Monitor, la implementación de agentes y la creación de monitores.
+ Inicialice Network Flow Monitor para aceptar permisos de rol vinculado a servicios y crear un *ámbito* de supervisión en Network Flow Monitor y una topología inicial. Si desea observar el rendimiento de la red para los flujos de red de instancias en varias cuentas, debe integrarse con AWS Organizations y, a continuación, añadir las cuentas a su ámbito. Para obtener más información, consulte [Inicialización de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Implemente *agentes* en sus instancias mediante el uso de AWS Systems Manager o la configuración de Kubernetes, en función de cómo se implementen sus recursos. Si instala agentes en instancias de EC2 en una VPC, asegúrese de habilitar los permisos para que los agentes de cada instancia envíen métricas al backend de Network Flow Monitor. Para obtener más información, consulte [Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents.md).
+ Revise las métricas de los principales contribuyentes respecto a los flujos de red devueltos por los agentes para obtener *información sobre la carga de trabajo*. La información sobre la carga de trabajo proporciona una visión de alto nivel del rendimiento de los flujos de red en el ámbito que se supervisa.
+ En función de los flujos de red sobre los que desee ver información de red detallada, cree uno o más *monitores*. Para cada monitor, especifique los recursos locales y remotos entre los que desea supervisar los flujos de red. Con un monitor, puede ver las métricas y la información detallada, incluido el indicador de estado de la red, así como ver las rutas de red de flujos de red específicos, durante los periodo de tiempo que seleccione.
+ Periódicamente:
+ revise la información del flujo de red en los monitores que ha creado para obtener información sobre las deficiencias de la red en sus cargas de trabajo y ayudar a solucionarlas.
+ Revise la información sobre la carga de trabajo de los flujos de red que está supervisando para determinar si los monitores que se crearon cubren los flujos de red más pertinentes o si sería útil crear nuevos monitores.
# Operaciones de la API de Network Flow Monitor
La siguiente tabla enumera las operaciones de la API de Network Flow Monitor que puede utilizar con Network Flow Monitor. En la tabla también se incluyen enlaces a la documentación pertinente.
| Action | Operación de la API | Más información |
| --- | --- | --- |
| Crear un monitor de flujo. | Consulte [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html) | Consulte [Creación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| Generar métricas para un ámbito de recursos. | Consulte [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html) | Consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Eliminar un monitor. | Consulte [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html) | Consulte [Eliminación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Eliminar un ámbito definido. | Consulte [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html) | Consulte [Eliminación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Obtener información sobre un monitor. | Consulte [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html) | Consulte [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Obtener los datos de consulta de los principales colaboradores en un monitor específico. | Consulte [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html) | Consulte [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Consultar los principales colaboradores de un ámbito definido para obtener información sobre la carga de trabajo. | Consulte [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html) | Consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Consultar los datos de información sobre la carga de trabajo de los principales colaboradores en un ámbito específico. | Consulte [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html) | Consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Comprobar el estado de una consulta para los principales colaboradores de un monitor para asegurarse de que se ha realizado correctamente antes de revisar los resultados. | Consulte [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html) | N/A |
| Comprobar el estado de una consulta sobre información de cargas de trabajo para los principales colaboradores para asegurarse de que se haya completado correctamente antes de revisar los resultados. | Consulte [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html) | N/A |
| Comprobar el estado de una consulta sobre datos de información de cargas de trabajo de los principales colaboradores para asegurarse de que se ha realizado correctamente antes de revisar los resultados. | Consulte [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData) | N/A |
| Obtener información sobre una cuanta, o ámbito, incluidos el nombre, el estado, las etiquetas y los detalles del destino. | Consulte [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope) | Consulte [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Enumerar todos los monitores de una cuenta. | Consulte [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors) | [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Enumerar todos los ámbitos de una cuenta. | Consulte [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes) | N/A |
| Enumerar todas las etiquetas de un recurso específico. | Consulte [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource) | Consulte [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Consultar los datos de consulta de los principales colaboradores de un monitor. | Consultar [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors) | Consulte [Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Iniciar una consulta para recopilar datos de información sobre cargas de trabajo de los principales colaboradores. | Consulte [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors) | Consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Detener una consulta de los principales colaboradores en un monitor. | Consulte [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors) | N/A |
| Detener una consulta sobre los datos de información de cargas de trabajo de los principales colaboradores. | Consulte [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors) | N/A |
| Detener una consulta sobre los datos de información de cargas de trabajo de los principales colaboradores. | Consulte [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData) | N/A |
| Agregue una etiqueta a un recurso. | Consulte [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource) | Consulte [Edición de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Eliminar una etiqueta de un recurso. | Consulte [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource) | Consulte [Edición de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Actualizar un monitor para agregar o eliminar recursos locales o remotos. | Consulte [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor) | Consulte [Edición de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Modificar un ámbito para agregar o eliminar recursos sobre los que Network Flow Monitor generará métricas. | Consulte [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope) | N/A |
# Ejemplos de uso de la CLI con Network Flow Monitor
Esta sección incluye ejemplos de uso de la AWS Command Line Interface con las operaciones de Network Flow Monitor.
Antes de comenzar, asegúrese de iniciar sesión para usar la AWS CLI con la cuenta de AWS que proporciona el ámbito que desea utilizar para supervisor los flujos de red. Para obtener más información sobre el uso de acciones de la API con Network Flow Monitor, consulte la [Guía de referencia de la API de Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Creación de un monitor](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Consultar detalles de supervisión](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Creación de un ámbito](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Eliminación de un monitor](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Eliminar un alcance](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Cómo obtener información sobre un monitor](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Cómo recuperar datos sobre consultas específicas](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Cómo consultar información sobre el ámbito](#CloudWatch-NFM-get-scope)
+ [Cómo consultar una lista de los monitores de una cuenta](#CloudWatch-NFM-list-monitors)
+ [Cómo consultar una lista de los ámbitos de una cuenta](#CloudWatch-NFM-list-scopes)
+ [Cómo consultar la lista de etiquetas de un monitor](#CloudWatch-NFM-list-tags-for-resource)
+ [Cómo iniciar y detener consultas](#CloudWatch-NFM-query-monitors)
+ [Cómo etiquetar un monitor](#CloudWatch-NFM-tag-resource)
+ [Cómo eliminar una etiqueta de un monitor](#CloudWatch-NFM-untag-resource)
+ [Actualización de un monitor existente](#CloudWatch-NFM-update-monitor)
## Creación de un monitor
Para crear un monitor con la AWS CLI, use el comando `create-monitor`. En el siguiente ejemplo, se crea un monitor llamado `demo` en la cuenta especificada.
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
Salida:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
Para obtener más información, consulte [Creación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).
## Consultar detalles de supervisión
Para ver información sobre un monitor con la AWS CLI, utilice el comando `get-monitor`.
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
Salida:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## Creación de un ámbito
En el siguiente ejemplo de `create-scope`, se crea un ámbito que define el conjunto de recursos para los cuales Network Flow Monitor generará métricas de tráfico de red.
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
Salida:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Eliminación de un monitor
En el siguiente ejemplo de `delete-monitor`, se elimina un monitor llamado `Demo` en la cuenta.
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Eliminación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
## Eliminar un alcance
En el siguiente ejemplo de `delete-scope`, se elimina el ámbito especificado.
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Cómo obtener información sobre un monitor
En el siguiente ejemplo de `get-monitor`, se muestra información acerca del monitor denominado `demo` en la cuenta especificada.
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
Salida:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Cómo recuperar datos sobre consultas específicas
En las siguientes secciones se ofrecen ejemplos de comandos de la CLI para recuperar los estados de las consultas.
### get-query-results-workload-insights-top-contributors-data
En el ejemplo de `get-query-results-workload-insights-top-contributors-data`, se devuelven los datos de la consulta especificada.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Salida:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
En el siguiente ejemplo de `get-query-results-workload-insights-top-contributors`, se devuelven los datos de la consulta especificada.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Salida:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-top-contributors
En el siguiente ejemplo de `get-query-status-monitor-top-contributors`, se muestra el estado actual de la consulta en la cuenta especificada.
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Salida:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
En el siguiente ejemplo de `get-query-status-workload-insights-top-contributors-data`, se muestra el estado actual de la consulta en la cuenta especificada.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Salida:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
En el siguiente ejemplo de `get-query-results-workload-insights-top-contributors`, se muestra el estado actual de la consulta en la cuenta especificada.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Salida:
```
{
"status": "SUCCEEDED"
}
```
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Cómo consultar información sobre el ámbito
En el siguiente ejemplo de `get-scope`, se muestra información sobre un ámbito, como el estado, las etiquetas, el nombre y los detalles del destino.
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
Salida:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Cómo consultar una lista de los monitores de una cuenta
En el ejemplo de `list-monitors`, se devuelven todos los monitores de la cuenta especificada.
```
aws networkflowmonitor list-monitors
```
Salida:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Cómo consultar una lista de los ámbitos de una cuenta
En el siguiente ejemplo de `list-scopes`, se enumeran todos los ámbitos de la cuenta especificada.
```
aws networkflowmonitor list-scopes
```
Salida:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Cómo consultar la lista de etiquetas de un monitor
En el siguiente ejemplo de `list-tags-for-resource`, se devuelven todas las etiquetas asociadas al recurso especificado.
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
Salida:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Para obtener más información, consulte [Etiquetado de los recursos de Amazon CloudWatch](CloudWatch-Tagging.md).
## Cómo iniciar y detener consultas
Las siguientes secciones proporcionan ejemplos de comandos de la CLI para iniciar y detener consultas en Network Flow Monitor.
### start-query-monitor-top-contributors
En el siguiente ejemplo de `start-query-monitor-top-contributors`, se inicia la consulta que devuelve un ID de consulta para recuperar los colaboradores principales.
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Salida:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors-data
En el siguiente ejemplo de `start-query-workload-insights-top-contributors-data`, se inicia la consulta que devuelve un ID de consulta para recuperar los colaboradores principales.
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Salida:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors
En el siguiente ejemplo de `start-query-workload-insights-top-contributors`, se inicia la consulta que devuelve un ID de consulta para recuperar los colaboradores principales.
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Salida:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-monitor-top-contributors
En el siguiente ejemplo de `stop-query-monitor-top-contributors`, se detiene la consulta en la cuenta especificada.
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors-data
El siguiente `stop-query-workload-insights-top-contributors-data` detiene la consulta en la cuenta especificada.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors
En el siguiente ejemplo de `stop-query-workload-insights-top-contributors`, se detiene la consulta en la cuenta especificada.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Evaluación de los flujos de red con información sobre la carga de trabajo](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Cómo etiquetar un monitor
El siguiente `tag-resource` agrega una etiqueta al monitor en la cuenta especificada.
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Etiquetado de los recursos de Amazon CloudWatch](CloudWatch-Tagging.md).
## Cómo eliminar una etiqueta de un monitor
En el siguiente ejemplo de `untag-resource`, se elimina una etiqueta del monitor en la cuenta especificada.
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
Este comando no genera ninguna salida.
Para obtener más información, consulte [Etiquetado de los recursos de Amazon CloudWatch](CloudWatch-Tagging.md).
## Actualización de un monitor existente
En el siguiente ejemplo de `update-monitor`, se actualiza el monitor denominado “Demo” en la cuenta especificada.
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
Salida:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Para obtener más información, consulte [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
# Uso de EKS
Con Network Flow Monitor, puede recopilar métricas de rendimiento para cargas de trabajo que utilizan Amazon Elastic Kubernetes Service (Amazon EKS). En este capítulo, se muestra cómo instalar el agente paso a paso y se describen los diferentes escenarios de EKS que puede supervisar. También encontrará descripciones detalladas de los metadatos que Network Flow Monitor proporciona a Amazon EKS en la consola para poder comprender el rendimiento de la red.
Para obtener los beneficios de la supervisión del rendimiento de Network Flow Monitor, debe instalar antes el complemento del agente de AWS Network Flow Monitor para Amazon EKS. Para obtener más información, consulte [Instalación del complemento AWS Network Flow Monitor Agent para EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
Si desea supervisar un único clúster de EKS con una visibilidad mejorada del tráfico de carga de trabajo e información sobre el rendimiento dentro del clúster y con destinos externos, consulte [Observabilidad de red de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).
**Topics**
+ [Instalación del complemento AWS Network Flow Monitor Agent para EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Metadatos de la ruta de red adicionales incluidos para Amazon EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# Instalación del complemento AWS Network Flow Monitor Agent para EKS
Siga los pasos descritos en esta sección para instalar el complemento AWS Network Flow Monitor Agent para Amazon Elastic Kubernetes Service (Amazon EKS) y enviar las métricas de Network Flow Monitor al backend de Network Flow Monitor desde los clústeres de Kubernetes. Tras completar los pasos, los pods de AWS Network Flow Monitor Agent se ejecutarán en todos los nodos del clúster de Kubernetes.
Si usa clústeres de Kubernetes autoadministrados, los pasos de instalación que debe seguir se encuentran en la sección anterior: [Instalación de agentes para instancias de Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md).
Tenga en cuenta que las [listas de prefijos administradas por el cliente](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) no son compatibles con Network Flow Monitor.
Puede instalar el complemento mediante la consola o mediante los comandos de la API con la AWS Command Line Interface.
**Topics**
+ [Requisitos previos para la instalación del complemento](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Instalación del complemento mediante la consola](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Instalación del complemento mediante la CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Configuración para herramientas de terceros](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## Requisitos previos para la instalación del complemento
Independientemente de si usa la consola o la CLI para instalar el complemento AWS Network Flow Monitor Agent, existen varios requisitos para la instalación del complemento con Kubernetes.
**Confirme que su versión de Kubernetes es compatible**
La instalación de agentes de Network Flow Monitor requiere la versión 1.25 de Kubernetes o una versión más reciente.
**Instalación del complemento Amazon EKS Pod Identity Agent**
Puede instalar el complemento Amazon EKS Pod Identity Agent en la consola o mediante la CLI.
Las asociaciones de Pod Identity de Amazon EKS ofrecen la posibilidad de administrar las credenciales para las aplicaciones, de un modo similar a cómo los perfiles de instancia de Amazon EC2 proporcionan credenciales a instancias de Amazon EC2. Pod Identity de Amazon EKS proporciona credenciales a sus cargas de trabajo con una API de autenticación de Amazon EKS adicional y un pod de agente que se ejecuta en cada nodo.
Para obtener más información y ver los pasos para instalar el complemento Pod Identity de Amazon EKS, consulte [Configuración del agente de Pod Identity de Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) en la Guía del usuario de Amazon EKS.
## Instalación del complemento AWS Network Flow Monitor Agent mediante la consola
Siga los pasos descritos en esta sección para instalar y configurar el complemento AWS Network Flow Monitor Agent en la consola de Amazon EKS.
Si ya se instaló el complemento y tiene problemas para actualizarlo a una nueva versión, consulte [Resolución de problemas durante la instalación de los agentes de EKS](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation).
Antes de comenzar, asegúrese de haber instalado el complemento Amazon EKS Pod Identity Agent. Para obtener más información, consulte la [sección anterior](#NFMPodIdentity).
**Instalación del complemento mediante la consola**
1. En la Consola de administración de AWS, vaya a la consola de Amazon EKS.
1. En la página de instalación de complementos, en la lista de complementos, elija **AWS Network Flow Monitor Agent**.
1. Configure los ajustes del complemento.
1. Para **Acceso al complemento**, seleccione **EKS Pod Identity**.
1. Para que usar el rol de IAM con el complemento, use un rol que tenga la siguiente política administrada de AWS asociada: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Esta política permite a un agente enviar informes de telemetría al punto de conexión de Network Flow Monitor. Si aún no tiene un rol con la política asociada, cree un rol seleccionando **Crear rol recomendado** y siguiendo los pasos descritos en la consola de IAM.
1. Elija **Siguiente**.
1. En la página **Revisar y agregar**, asegúrese de que la configuración del complemento es correcta y, a continuación, seleccione **Crear**.
## Instalación del complemento AWS Network Flow Monitor Agent mediante la AWS Command Line Interface
Siga los pasos descritos en esta sección para instalar el complemento AWS Network Flow Monitor Agent para Amazon EKS mediante la AWS Command Line Interface.
**1. Instalación del complemento EKS Pod Identity Agent**
Antes de comenzar, asegúrese de haber instalado el complemento Amazon EKS Pod Identity Agent. Para obtener más información, consulte la [sección anterior](#NFMPodIdentity).
**2. Creación del rol de IAM requerido**
El complemento AWS Network Flow Monitor Agent debe tener permiso para enviar métricas al backend de Network Flow Monitor. Debe asociar un rol a los permisos necesarios al crear el complemento. Cree un rol que tenga la siguiente política administrada de AWS asociada: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Necesita el ARN de este rol de IAM para instalar el complemento.
**3. Instalación del complemento AWS Network Flow Monitor Agent**
Para instalar el complemento AWS Network Flow Monitor Agent en su clúster, ejecute el siguiente comando:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
El resultado debería ser similar al siguiente:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. Aseguración de que el complemento esté activo**
Revise el complemento AWS Network Flow Monitor Agent instalado para asegurarse de que esté activo en su clúster. Ejecute el siguiente comando para verificar que el estado sea `ACTIVE`:
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
El resultado debería ser similar al siguiente:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# Configuración del complemento para herramientas de supervisión de terceros
Puede configurar el complemento de Network Flow Monitor para que muestre un servidor de OpenMetrics durante la instalación. Esto permite la integración con herramientas de supervisión de terceros, como Prometheus, lo que le permite recopilar y analizar las métricas de flujo de red junto con su infraestructura de supervisión existente. [Obtenga más información sobre OpenMetrics](https://openmetrics.io/). Esta característica está disponible a partir de la versión 1.1.0 del complemento.
Para activar el servidor de OpenMetrics, agregue OPEN\$1METRICS, OPEN\$1METRICS\$1ADDRESS y OPEN\$1METRICS\$1PORT a los valores de configuración del complemento para EKS de Network Flow Monitor. En esta guía, se explicará cómo hacerlo mediante la CLI y la consola. Consulte [Amazon EKS add-ons advanced configuration](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/) para obtener información adicional sobre la adición de valores de configuración.
## Configuración de la CLI
Al utilizar AWS Command Line Interface, puede proporcionar los valores de configuración como parámetro:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## Configuración de la consola
Al utilizar la consola de Amazon EKS, estos valores se pueden agregar en Valores de configuración opcionales, como parte de los valores de configuración.
**JSON de muestra:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**YAML de muestra:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## Parámetros de OpenMetrics del complemento para EKS de Network Flow Monitor
+ **OPEN\$1METRICS:**
+ Active o desactive las métricas abiertas. Se desactivan si no se proporciona.
+ Tipo: cadena
+ Valores: [“on”, “off”]
+ **OPEN\$1METRICS\$1ADDRESS:**
+ Dirección IP de escucha para el punto de conexión de métricas abiertas. El valor predeterminado es 127.0.0.1 si no se proporciona.
+ Tipo: cadena
+ **OPEN\$1METRICS\$1PORT:**
+ Puerto de escucha para el punto de conexión de métricas abiertas. El valor predeterminado es 80 si no se proporciona.
+ Tipo: número entero
+ Intervalo: [0..65535]
**Importante:** Al configurar OPEN\$1METRICS\$1ADDRESS en 0.0.0.0, se podrá acceder al punto de conexión de las métricas desde cualquier interfaz de red. Considere la posibilidad de utilizar 127.0.0.1 para el acceso exclusivo del host local o implemente los controles de seguridad de red adecuados para restringir el acceso solo a los sistemas de supervisión autorizados.
## Solución de problemas
Si encuentra problemas con la configuración del servidor de OpenMetrics, utilice la siguiente información para diagnosticar y resolver los problemas comunes.
### No se muestran las métricas
Problema: el servidor de OpenMetrics está configurado, pero las métricas no aparecen en la herramienta de supervisión.
Pasos para la solución de problemas:
1. Compruebe que el servidor de OpenMetrics esté activado en la configuración del complemento:
+ Compruebe que OPEN\$1METRICS esté configurado como “on” en los valores de configuración. Consulte [describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html).
+ Confirme que la versión del complemento sea v1.1.0 o posterior en *Configurar las opciones de complementos seleccionados*.
1. Pruebe el punto de conexión de las métricas directamente:
+ Acceda a las métricas en http://*pod-ip:port*/metrics (sustituya pod-ip por la dirección IP real del pod y port, por el puerto configurado).
+ Si no puede acceder al punto de conexión, compruebe la configuración de la red y del grupo de seguridad.
1. Valide la configuración de la herramienta de supervisión. Consulte la guía del usuario de las herramientas de supervisión para obtener detalles sobre cómo hacer lo siguiente:
+ Asegúrese de que la herramienta de supervisión (como Prometheus) esté configurada para raspar el punto de conexión correcto.
+ Compruebe que la configuración del intervalo y el tiempo de espera de raspado sean adecuados.
+ Verifique que la herramienta de supervisión tenga acceso de red a la dirección IP del pod.
### Faltan métricas en pods específicos
Problema: las métricas están disponibles en algunos pods del clúster, pero no en otros.
Pasos para la solución de problemas:
El complemento de Network Flow Monitor no admite los pods que utilizan hostNetwork: true. Si la especificación del pod incluye esta configuración, las métricas no estarán disponibles en esos pods.
Solución alternativa: si es posible, elimine la configuración hostNetwork: true de la especificación del pod. Si necesita una red de host para la aplicación, considere la posibilidad de utilizar métodos de supervisión alternativos para esos pods específicos.
### Errores de conexión rechazada
Problema: al intentar acceder al punto de conexión de las métricas, aparece un error que indica que se ha rechazado la conexión.
Pasos para la solución de problemas:
1. Verifique la configuración de OPEN\$1METRICS\$1ADDRESS:
+ Si está establecida en 127.0.0.1, solo se puede acceder al punto de conexión desde el pod.
+ Si está establecida en 0.0.0.0, se debe poder acceder al punto de conexión desde otros pods del clúster.
+ Asegúrese de que la herramienta de supervisión pueda acceder a la dirección configurada.
1. Compruebe la configuración de OPEN\$1METRICS\$1PORT:
+ Verifique que otro servicio no esté utilizando el número de puerto.
+ Asegúrese de que el puerto esté dentro del intervalo válido (1-65535).
+ Confirme que los grupos de seguridad o las políticas de red permitan el tráfico en este puerto.
### Pasos de verificación
Haga lo siguiente para confirmar que la configuración de OpenMetrics funcione correctamente:
1. Compruebe el estado del complemento::
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. Verifique el estado del pod:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. Pruebe el punto de conexión de las métricas desde el clúster:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
Sustituya 9109 por el número de puerto configurado y el nombre del pod, por un nombre de pod del complemento.
# Metadatos de la ruta de red adicionales incluidos para Amazon EKS
Cuando Network Flow Monitor recopila métricas de rendimiento para los flujos de red entre los componentes de Amazon EKS, incluye información de metadatos adicional sobre la ruta de red para poder comprender mejor el rendimiento de las rutas de red de la carga de trabajo.
Para ver información detallada sobre el rendimiento del flujo de red de Amazon EKS, cree un monitor para los flujos de red que le interesen y, a continuación, consulte los detalles en la pestaña **Explorador histórico**.
Con Network Flow Monitor, puede medir el rendimiento de la red entre los siguientes componentes de Amazon EKS para comprender mejor el rendimiento de la carga de trabajo con la configuración de Amazon EKS y determinar dónde hay cuellos de botella o deficiencias.
+ De pod a pod en el mismo nodo
+ De nodo a nodo en el mismo clúster
+ De pod a pod en un clúster diferente
+ De nodo a nodo en clústeres diferentes
+ Con y sin equilibrador de carga de red
En la siguiente tabla se muestra la información que devuelve Network Flow Monitor para cada escenario de flujo de red.
| **Información de conexión** | **Información sobre metadatos** | | **Local** | **Remoto** | **Escenario** | **Iniciado por** | **Local** | **Remoto** | **Nombre de pod** | **Servicio de** | **Espacio de nombres** | **Nombre de pod** | **Servicio de** | **Espacio de nombres** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Pod local que se conecta a la IP del clúster de otro servicio de clúster interno | Local | Dirección IP del pod local | Dirección IP del pod remoto (a través de la dirección IP del clúster) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ |
| Pod local en un espacio de nombres de red de un nodo que se conecta a la IP del clúster de otro servicio de clúster interno | Local | Dirección IP del nodo local | Dirección IP del pod remoto (a través de la dirección IP del clúster) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ |
| Conexión de un pod local a la dirección IP de un pod individual de otro pod (servicio sin periféricos) | Local | Dirección IP del pod local | Dirección IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Conexión de un pod local a la dirección IP de un pod individual de otro pod en un espacio de nombres de red de un nodo (servicio sin periféricos) | Local | Dirección IP del pod local | Dirección IP del nodo remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod local que se conecta al pod remoto de otro clúster | Local | Dirección IP del pod local | Dirección IP del pod remoto (otro clúster) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Pod local que se conecta a una dirección de red externa | Local | Dirección IP del pod local | Dirección IP externa | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| Pod local que funciona en un espacio de nombres de red de un nodo y se conecta a una dirección IP de red externa | Local | Dirección IP del nodo local | Dirección IP externa | ✓ ² | ✓ ² | ✓ ² | N/A | N/A | N/A |
| Pod remoto que se conecta al pod local a través de la dirección IP del clúster | Remoto | Dirección IP del pod local (a través de la dirección IP del clúster) | Dirección IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod remoto en un espacio de nombres de red del nodo que se conecta a un pod local | Remoto | Dirección IP del pod local (a través de la dirección IP del clúster) | Dirección IP del nodo remoto | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ |
| Pod remoto que se conecta a un pod local (servicio sin periféricos) | Remoto | Dirección IP del pod local | Dirección IP del pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod externo que se conecta a un pod local | Remoto | Dirección IP del pod local | Dirección IP del pod remoto | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Recurso externo que se conecta a través de NodePort o un equilibrador de carga a un pod local | Remoto | Dirección IP del pod local | Dirección IP externa ⁴ | ✓ | ✓ | ✓ | N/A | N/A | N/A |
| Recurso externo que se conecta a través de NodePort o un equilibrador de carga a un pod local que opera en un espacio de nombres de la red de nodos | Remoto | Dirección IP del nodo local | Dirección IP externa ⁴ | ✓ | ✓ | ✓ | N/A | N/A | N/A |
Tenga en cuenta la siguiente información adicional correspondiente a los elementos marcados con notas a pie de página de la tabla anterior.
1. El nombre del pod no es visible en este escenario en el caso de los pods con otros propietarios, como un servicio de Kubernetes administrado por el plano de control de EKS.
1. El nombre, el servicio y el espacio de nombres del pod local no se resuelven si hay otros pods en el espacio de nombres de la red de nodos.
1. El nombre, el servicio y el espacio de nombres del pod remoto no se resuelven si hay otros pods en el espacio de nombres de la red de nodos.
1. Si el servicio utiliza NodePort o LoadBalancer en modo de instancia y se ha configurado `ExternalTrafficPolicy` como `Cluster`, esta dirección IP se indicará como la dirección IP del nodo que recibe la conexión de NodePort.
# Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas
Para proporcionar métricas de rendimiento para los flujos de red en sus cargas de trabajo de AWS, Network Flow Monitor se basa en los *agentes* que instale, los cuales envían las métricas a Network Flow Monitor. Debe instalar los agentes de Network Flow Monitor en sus instancias y, a continuación, configurar los permisos correctos para los agentes, de modo que estos puedan enviar métricas al backend de Network Flow Monitor.
Un agente es una aplicación de software ligera que se instala en los recursos, como las instancias de EC2 en una VPC. Los agentes envían métricas de rendimiento al backend de Network Flow Monitor de forma continua. A continuación, puede ver las métricas en la página **Información sobre la carga de trabajo** de la consola de Network Flow Monitor. También puede hacer un seguimiento de las métricas detalladas de un flujo de red específico, o de un conjunto de flujos, mediante la creación de un monitor.
Los pasos que debe seguir para implementar agentes en sus instancias dependen del tipo de instancia: instancias de Amazon EKS Kubernetes, instancias de EC2 de VPC o instancias de Kubernetes (no EKS) autoadministradas.
+ Para obtener información sobre cómo trabajar con Amazon EKS, lo que incluye la instalación de agentes en EKS, consulte [Uso de EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Para obtener información sobre la instalación de agentes en instancias de EC2 de VPC y de Kubernetes autoadministradas, consulte las secciones de este capítulo.
Puede establecer una conexión privada entre la VPC y los agentes de Network Flow Monitor mediante AWS PrivateLink. Para obtener más información, consulte [Uso de CloudWatch, CloudWatch Synthetics y CloudWatch Network Monitoring con los puntos de conexión de VPC de tipo interfaz](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Versiones de Linux compatibles con agentes de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Instalación y administración de agentes de instancias de EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Instalación de agentes para instancias de Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Versiones de Linux compatibles con agentes de Network Flow Monitor
Las instancias en las que instale los agentes deben ejecutar versiones y distribuciones de Linux compatibles. Network Flow Monitor permite que los agentes se ejecuten únicamente en Linux y la versión del núcleo de Linux debe ser 5.8 o posterior. Se admiten las siguientes distribuciones de Linux. Tenga en cuenta que los agentes se prueban para que funcionen en las versiones más recientes de estas distribuciones.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Distribuciones de Debian para x86 y aarch64
# Instalación y administración de agentes de instancias de EC2
Siga los pasos que se indican en esta sección para instalar agentes de Network Flow Monitor para cargas de trabajo en instancias de Amazon EC2. Puede instalar los agentes mediante SSM o descargando e instalando paquetes prediseñados para el agente de Network Flow Monitor mediante la línea de comandos.
Independientemente del método que utilice para instalar agentes en instancias de EC2, debe configurar los permisos para que los agentes puedan enviar métricas de rendimiento al backend de Network Flow Monitor.
**Topics**
+ [Configuración de permisos para los agentes](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agentes de instancias de EC2 con SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Descargar e instalar el agente](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Configuración de permisos para los agentes
Para permitir que los agentes envíen métricas al backend de ingesta de Network Flow Monitor, las instancias de EC2 en las que se ejecutan los agentes deben usar un rol que tenga una política asociada con los permisos correctos. Para proporcionar los permisos necesarios, use un rol que tenga adjunta la siguiente política administrada de AWS: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Adjunte esta política a los roles de IAM de las instancias de EC2 en las que planea instalar los agentes de Network Flow Monitor.
Se recomienda agregar los permisos antes de instalar los agentes en las instancias de EC2. Puede optar por esperar hasta que se instalen los agentes, pero los agentes no podrán enviar métricas al servicio hasta que se otorguen los permisos.
**Adición de permisos para agentes de Network Flow Monitor**
1. En la Consola de administración de AWS, en la consola de Amazon EC2, localice las instancias de EC2 en las que planea instalar los agentes de Network Flow Monitor.
1. Adjunte la política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) al rol de IAM para cada instancia.
Si una instancia no tiene un rol de IAM asociado, elija un rol de la siguiente manera:
1. En **Acciones**, seleccione **Seguridad**.
1. Elija **Modificar rol de IAM** o cree un nuevo rol seleccionando **Crear nuevo rol de IAM**.
1. Elija un rol para la instancia y adjunte la política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html).
# Instalación de agentes en instancias de EC2 con SSM
Los agentes del Network Flow Monitor proporcionan métricas de rendimiento sobre los flujos de red. Siga los pasos que se indican en esta sección para instalar agentes Network Flow Monitor en instancias de EC2 y trabajar con estos, mediante AWS Systems Manager. Si usa Kubernetes, pase a las siguientes secciones para obtener información sobre la instalación de agentes con clústeres de Amazon EKS o clústeres de Kubernetes autoadministrados.
Network Flow Monitor le proporciona un paquete de distribuidor en System Manager que puede usar para instalar o desinstalar agentes. Además, Network Flow Monitor proporciona un documento para activar o desactivar los agentes mediante el comando Tipo de documento. Use los procedimientos estándar de Systems Manager para usar el paquete y el documento o siga los pasos que se proporcionan aquí para obtener orientación detallada.
Para obtener más información general sobre el uso de Systems Manager, consulte la siguiente documentación:
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distribuidor de](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Complete los pasos de las siguientes secciones para configurar los permisos, la instalación y el uso de agentes de Network Flow Monitor.
**Contenido**
+ [Instalación o desinstalación de agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Activación o desactivación de agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Instalación o desinstalación de agentes mediante Systems Manager
Network Flow Monitor proporciona un paquete de Distributor en AWS Systems Manager para instalar los agentes de Network Flow Monitor: **AmazonCloudWatchNetworkFlowMonitorAgent**. Para acceder al paquete y ejecutarlo con el fin de instalar los agentes, siga los pasos proporcionados aquí.
**Cómo instalar agentes en instancias de EC2**
1. En la Consola de administración de AWS, en AWS Systems Manager, dentro de **Herramientas de nodos**, elija **Distributor**.
1. En **Propiedad de Amazon**, busque el paquete de Network Flow Monitor, **AmazonCloudWatchNetworkFlowMonitorAgent**, y selecciónelo.
1. En el flujo de **Ejecutar comando**, elija **Instalar una vez** o **Instalar según lo programado**.
1. En la sección **Selección de destino**, elija cómo desea seleccionar las instancias de EC2 para instalarles los agentes. Puede seleccionar instancias en función de las etiquetas, elegir las instancias manualmente o basar la elección en grupos de recursos.
1. En la sección **Parámetros del comando**, en **Acción**, elija **Instalar**.
1. Si es necesario, desplácese hacia abajo y, a continuación, elija **Ejecutar** para iniciar la instalación.
Si la instalación se completa correctamente y las instancias tienen permisos para acceder a los puntos de conexión de Network Flow Monitor, el agente empezará a recopilar métricas y a enviar informes al backend de Network Flow Monitor.
Los agentes que están activos (enviando datos de métricas) conllevan costos de facturación. Para obtener más información acerca de los precios de Network Flow Monitor y Amazon CloudWatch, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/). Si no necesita datos de métricas por un tiempo, puede desactivar los agentes. Para obtener más información, consulte [Activación o desactivación de agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Si ya no necesita los agentes de Network Flow Monitor, puede desinstalarlos de las instancias de EC2.
**Cómo desinstalar agentes de las instancias de EC2**
1. En la Consola de administración de AWS, en AWS Systems Manager, dentro de **Herramientas de nodos**, elija **Distributor**.
1. En **Propiedad de Amazon**, busque el paquete de Network Flow Monitor, **AmazonCloudWatchNetworkFlowMonitorAgent**, y selecciónelo.
1. En la sección **Parámetros del comando**, en **Acción**, elija **Desinstalar**.
1. Seleccione las instancias de EC2 de las que desee desinstalar agentes.
1. Si es necesario, desplácese hacia abajo y, a continuación, elija **Ejecutar** para iniciar la desinstalación.
## Activación o desactivación de agentes mediante Systems Manager
Después de instalar un agente de Network Flow Monitor con el SSM, debe activarlo para recibir las métricas de flujo de red de la instancia en la que está instalado. Los agentes que están activos (enviando datos de métricas) conllevan costos de facturación. Para obtener más información acerca de los precios de Network Flow Monitor y Amazon CloudWatch, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/). Si no necesita datos de métricas por un tiempo, puede desactivar los agentes para evitar que se le continúe facturando por este.
Network Flow Monitor proporciona un documento en AWS Systems Manager que puede usar para activar o desactivar los agentes que haya instalado en sus instancias de EC2. Cuando ejecuta este documento para administrar los agentes, puede activarlos para comenzar a recibir métricas de rendimiento. O bien, puede desactivarlos para detener temporalmente el envío de métricas, sin necesidad de desinstalar los agentes.
El documento del SSM que puede utilizar para activar o desactivar los agentes se llama **AmazonCloudWatch-NetworkFlowMonitorManageAgent**. Para acceder al documento y ejecutarlo, siga los pasos del procedimiento.
**Activación o desactivación de agentes de Network Flow Monitor**
1. En la Consola de administración de AWS, en AWS Systems Manager, dentro de **Herramientas de administración de cambios**, elija **Documentos**.
1. En **Propiedad de Amazon**, busque el documento de Network Flow Monitor, **AmazonCloudWatch-NetworkFlowMonitorManageAgent**, y selecciónelo.
1. En la sección **Selección de destino**, elija cómo desea seleccionar las instancias de EC2 para instalarles los agentes. Puede seleccionar instancias en función de las etiquetas, elegir las instancias manualmente o basar la elección en grupos de recursos.
1. En la sección **Parámetros del comando**, en **Acción**, elija **Activar** o **Desactivar**, según la acción que desee efectuar para los agentes.
1. Si es necesario, desplácese hacia abajo y, a continuación, elija **Ejecutar** para iniciar la instalación.
# Descarga de paquetes prediseñados del agente de Network Flow Monitor mediante la línea de comandos
Puede usar la línea de comandos para instalar el agente de Network Flow Monitor como un paquete en Amazon Linux 2023 o descargar e instalar paquetes prediseñados del agente de Network Flow Monitor.
Antes o después de haber descargado un paquete prediseñado, puede verificar la firma del paquete. Para obtener más información, consulte [Verificación de la firma del paquete de agente de Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Elija una de las siguientes instrucciones, en función del sistema operativo Linux que utilice y del tipo de instalación que desee.
**AMI de Amazon Linux**
El agente de Network Flow Monitor está disponible como un paquete en Amazon Linux 2023. Si está utilizando este sistema operativo, puede instalar el paquete al introducir el siguiente comando:
`sudo yum install network-flow-monitor-agent`
Asimismo, debe asegurarse de que el rol de IAM asociado a la instancia tenga adjunta la política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy). Para obtener más información, consulte [Configuración de permisos para los agentes](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Instale el paquete para su arquitectura mediante uno de los siguientes comandos:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton)**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Verifique que el agente de Network Flow Monitor se ha instalado correctamente ejecutando el siguiente comando y comprobando que la respuesta muestre que el agente está habilitado y activo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**Distribuciones basadas en DEB (Debian, Ubuntu)**
Instale el paquete para su arquitectura mediante uno de los siguientes comandos:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton)**: `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Instale el paquete mediante el siguiente comando: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Verifique que el agente de Network Flow Monitor se ha instalado correctamente ejecutando el siguiente comando y comprobando que la respuesta muestre que el agente está habilitado y activo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Verificación de la firma del paquete de agente de Network Flow Monitor
Los paquetes de instaladores deb y rpm del agente de Network Flow Monitor para instancias de Linux están firmados criptográficamente. Puede utilizar la clave pública para verificar que el paquete del agente sea original y que no se haya modificado. Si hay algún tipo de daño o alteración en los archivos, se produce un error en la verificación. Puede verificar la firma del paquete del instalador con RPM o GPG. La siguiente información es para las versiones 0.1.3 o posteriores del agente de Network Flow Monitor.
Para buscar el archivo de firma adecuado para cada arquitectura y sistema operativo, use la siguiente tabla.
| Arquitectura | Plataforma | Enlace de descarga | Enlace de archivo de firma |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig |
Siga estos pasos para verificar la firma del agente de Network Flow Monitor.
**Verificación de la firma del agente de Network Flow Monitor para el paquete de Amazon S3**
1. Instale GnuPG para poder ejecutar el comando gpg. Se requiere GnuPG para verificar la autenticidad y la integridad de un agente de Network Flow Monitor descargado para un paquete de Amazon S3. GnuPG se instala de forma predeterminada en las imágenes de máquina de Amazon (AMI) de Amazon Linux.
1. Copie la siguiente clave pública y guárdela en un archivo denominado `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importe la clave pública a su conjunto de claves y anote el valor devuelto.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Anote el valor de clave, ya que lo necesitará en el siguiente paso. En este ejemplo, el valor clave es `3B789C72`.
1. Verifique la huella mediante la ejecución del siguiente comando: Asegúrese de sustituir el *valor de clave* por el valor del paso anterior. Le recomendamos que utilice GPG para verificar la huella digital, incluso si utiliza RPM para verificar el paquete del instalador.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
La cadena de huella debería ser igual a la siguiente:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Si la cadena de huellas digitales no coincide, no instale el agente. Contáctese con Amazon Web Services.
Después de haber verificado la huella, puede utilizarla para verificar la firma del paquete de agente de Network Flow Monitor.
1. Descargue el archivo de firma del paquete según la arquitectura y el sistema operativo de su instancia si aún no lo ha hecho.
1. Verifique la firma del paquete del instalador. Asegúrese de reemplazar `signature-filename` y `agent-download-filename` por los valores que especificó cuando descargó el archivo de firma y el agente, como se muestra en la tabla que figura más arriba en este tema.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Si el resultado incluye la expresión `BAD signature`, asegúrese de haber realizado el procedimiento correctamente. Si sigue recibiendo esta respuesta, póngase en contacto con [Soporte de AWS](https://aws.amazon.com/premiumsupport/) y evite usar el archivo descargado.
Tenga en cuenta la advertencia sobre confianza. Una clave solo es de confianza si la ha firmado usted o alguien en quien confíe. Esto no significa que la firma no sea válida, solo que no ha verificado la clave pública.
A continuación, siga estos pasos para verificar el paquete RPM.
**Verificación de la firma del paquete RPM**
1. Copie la siguiente clave pública y guárdela en un archivo denominado `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importe la clave pública en su llavero.
```
PS> rpm --import nfm-agent.gpg
```
1. Verifique la firma del paquete del instalador. Asegúrese de reemplazar `agent-download-filename` por los valores que especificó cuando descargó el agente, como se muestra en la tabla que figura más arriba en este tema.
```
PS> rpm --checksig agent-download-filename
```
Por ejemplo, para la arquitectura x86\$164 en Amazon Linux 2023, use el siguiente comando:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Este comando devuelve un resultado similar al siguiente.
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Si el resultado incluye la expresión `NOT OK (MISSING KEYS: (MD5) key-id)`, asegúrese de haber realizado el procedimiento de forma correcta. Si sigue recibiendo esta respuesta, comuníquese con [Soporte de AWS](https://aws.amazon.com/premiumsupport/) y no instale el agente.
# Instalación de agentes para instancias de Kubernetes autoadministradas
Siga los pasos de esta sección para instalar agentes de Network Flow Monitor para cargas de trabajo en clústeres de Kubernetes autoadministrados. Tras completar los pasos, los pods de agente de Network Flow Monitor se ejecutarán en todos los nodos del clúster de Kubernetes autoadministrado.
Si usa Amazon Elastic Kubernetes Service (Amazon EKS), los pasos de instalación que debe seguir se encuentran en la siguiente sección: [Instalación del complemento AWS Network Flow Monitor Agent para EKS](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
**Topics**
+ [Antes de empezar](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Descarga de gráficos de Helm e instalación de agentes](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Configuración de permisos de entrega de métricas para agentes](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Antes de empezar
Antes de iniciar el proceso de instalación, siga los pasos de esta sección para asegurarse de que su entorno está configurado para instalar correctamente los agentes en los clústeres de Kubernetes correctos.
**Confirme que su versión de Kubernetes es compatible**
La instalación de agentes de Network Flow Monitor requiere la versión 1.25 de Kubernetes o una versión más reciente.
**Asegúrese de instalar las herramientas necesarias**
Los scripts que use para este proceso de instalación requieren a su vez la instalación de las siguientes herramientas. Si aún no tiene las herramientas instaladas, consulte los enlaces proporcionados para obtener más información.
+ La AWS Command Line Interface (CLI). Para obtener más información, consulte [Installing or updating to the latest version of the AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la Guía de referencia de AWS Command Line Interface.
+ El administrador de paquetes Helm. Para obtener más información sobre el cifrado, consulte [Instalación de Helm](https://helm.sh/docs/intro/install/) en el sitio web de Helm.
+ La herramienta de línea de comandos de `kubectl`. Para obtener más información, consulte [Instalación de kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) en el sitio web de Kubernetes.
+ La dependencia del comando `make` de Linux. Para obtener más información, consulte la siguiente entrada del blog: [Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/). Por ejemplo, lleve a cabo una de las siguientes acciones:
+ Para las distribuciones basadas en Debian, como Ubuntu, use el siguiente comando: `sudo apt-get install make`
+ Para las distribuciones basadas en RPM, como CentOS, use el siguiente comando: `sudo yum install make`
**Asegúrese de tener variables de entorno de KubeConfig válidas y que se hayan configurado correctamente**
La instalación de agentes de Network Flow Monitor usa la herramienta de administración de paquetes Helm, que usa la variable kubeconfig, `$HELM_KUBECONTEXT`, para determinar los clústeres de Kubernetes de destino con los que se va a trabajar. Además, tenga en cuenta que cuando Helm ejecuta scripts de instalación, de forma predeterminada, hace referencia al archivo estándar `~/.kube/config`. Puede cambiar las variables del entorno de configuración para usar un archivo de configuración diferente (mediante la actualización de `$KUBECONFIG`) o para definir el clúster de destino con el que quiere trabajar (mediante la actualización de `$HELM_KUBECONTEXT`).
**Creación de un espacio de nombres de Kubernetes para Network Flow Monitor**
La aplicación Kubernetes del agente de Network Flow Monitor instala sus recursos en un espacio de nombres específico. El espacio de nombres debe existir para que la instalación se complete correctamente. Para asegurarse de que el espacio de nombres necesario está activo, puede elegir una de las siguientes opciones:
+ Cree el espacio de nombres predeterminado, `amazon-network-flow-monitor`, antes de empezar.
+ Cree un espacio de nombres diferente y, a continuación, defínalo en la variable de entorno `$NAMESPACE` cuando ejecute la instalación para crear destinos.
# Descarga de gráficos de Helm e instalación de agentes
Puede descargar los gráficos de Helm del agente de Network Flow Monitor desde el repositorio público de AWS mediante el siguiente comando. Asegúrese de autenticarse primero con su cuenta de GitHub.
`git clone https://github.com/aws/network-flow-monitor-agent.git`
En el directorio `./charts/amazon-network-flow-monitor-agent`, puede encontrar los gráficos de Helm y el Makefile del agente de Network Flow Monitor, que contienen los objetivos make de instalación que se usan para instalar los agentes. Los agentes de Network Flow Monitor se instalan mediante el siguiente destino de Makefile: `helm/install/customer`
Puede personalizar la instalación si lo desea, por ejemplo, por medio de uno de los siguientes procedimientos:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Para comprobar que los pods de aplicaciones de Kubernetes para los agentes de Network Flow Monitor se crearon e implementaron correctamente, compruebe que su estado es `Running`. Puede comprobar el estado de los agentes ejecutando el siguiente comando: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Configuración de permisos de entrega de métricas para agentes
Después de instalar los agentes para Network Flow Monitor, debe permitir que los agentes envíen métricas de red a las API de ingesta de Network Flow Monitor. Los agentes de Network Flow Monitor deben tener permiso para acceder a las API de ingesta de Network Flow Monitor para poder entregar las métricas de flujo de red que hayan recopilado para cada instancia. Para conceder este acceso, debe implementar roles de IAM para las cuentas de servicio (IRSA).
Para permitir que los agentes envíen métricas de red a Network Flow Monitor, siga los pasos descritos en esta sección.
1. **Implemente roles de IAM para cuentas de servicio**
Los roles de IAM para cuentas de servicio ofrecen la posibilidad de administrar las credenciales para las aplicaciones, de un modo similar a cómo los perfiles de instancia de Amazon EC2 proporcionan credenciales a instancias de Amazon EC2. La implementación de las IRSA es la forma recomendada de proporcionar todos los permisos necesarios a los agentes de Network Flow Monitor para acceder correctamente a las API de ingesta de Network Flow Monitor. Para obtener más información, consulte [Roles de IAM para cuentas de servicio](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) en la Guía del usuario de Amazon EKS.
Al configurar las IRSA para los agentes de Network Flow Monitor, use la siguiente información:
+ **ServiceAccount: **cuando defina la política de confianza de su rol de IAM, para `ServiceAccount`, especifique `aws-network-flow-monitor-agent-service-account`.
+ **Espacio de nombres: **para el `namespace`, especifique `amazon-network-flow-monitor`.
+ **Implementación temporal de credenciales: **al configurar los permisos después de implementar los pods de agente de Network Flow Monitor y actualizar la `ServiceAccount` con su rol de IAM, Kubernetes no implementa las credenciales del rol de IAM. Para garantizar que los agentes de Network Flow Monitor adquieran las credenciales de rol de IAM que especificó, debe reiniciar `DaemonSet`. Por ejemplo, use un comando como el siguiente:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Confirmar que el agente de Network Flow Monitor acceda correctamente a las API de ingesta de Network Flow Monitor**
Puede comprobar que la configuración de los agentes funciona correctamente usando los registros HTTP 200 de los pods de agentes de Network Flow Monitor. En primer lugar, busque un pod de agente de Network Flow Monitor y, a continuación, busque en los archivos de registro las solicitudes HTTP 200 que se hayan completado correctamente. Por ejemplo, puede hacer lo siguiente:
1. Busque el nombre de un pod de agente de Network Flow Monitor. Por ejemplo, puede usar el comando siguiente:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Recopile todos los registros HTTP del nombre del pod que haya encontrado. Si ha cambiado el ESPACIO DE NOMBRES, asegúrese de usar el nuevo.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Si el acceso se concedió correctamente, debería ver entradas de registro similares a las siguientes:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Tenga en cuenta que el agente de Network Flow Monitor publica los informes de flujo de red cada 30 segundos mediante una llamada a las API de ingesta de Network Flow Monitor.
# Inicialización de Network Flow Monitor
Antes de poder ver las métricas de rendimiento de los flujos de red, debe inicializar Network Flow Monitor, que otorga los permisos necesarios y crea una topología inicial para su cuenta o cuentas. Si planea supervisar los recursos de varias cuentas, también debe configurar AWS Organizations con Amazon CloudWatch. A continuación, debe especificar las cuentas para el ámbito de Network Flow Monitor, de modo que pueda crear una topología inicial para todas las cuentas de las que realizará un seguimiento de las métricas de rendimiento.
Además, debe instalar agentes en sus instancias para enviar las métricas de rendimiento al servidor de ingesta de copias de Network Flow Monitor. Para obtener más información, consulte [Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents.md).
Los pasos que debe seguir para inicializar Network Flow Monitor varían en función de si está midiendo las métricas de rendimiento de los recursos de una sola cuenta o si desea supervisar las métricas de los recursos que son propiedad de varias cuentas de su organización.
+ [Inicialización de la supervisión de una sola cuenta](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Inicialización de la supervisión de varias cuentas](CloudWatch-NetworkFlowMonitor-multi-account.md)
# Inicialización de Network Flow Monitor para la supervisión de una sola cuenta
Para inicializar Network Flow Monitor para supervisar las métricas de rendimiento de la red, debe conceder los permisos, y Network Flow Monitor debe crear la topología inicial para su cuenta. Cuando supervisa los recursos en una sola cuenta, Network Flow Monitor establece su cuenta como el ámbito de supervisión de la red y crea una topología para ese ámbito.
Al inicializar Network Flow Monitor, ocurre lo siguiente:
+ Se otorgan permisos para que Network Flow Monitor utilice los roles vinculados a servicios necesarios para su cuenta. Network Flow Monitor requiere que le conceda permisos específicos para que la característica pueda enviar métricas a Amazon CloudWatch en su nombre, así como para crear topologías de flujos de red. Para obtener más información, consulte [Roles vinculados a servicios para Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
+ Se establece el ámbito de supervisión de Network Flow Monito en la cuenta de AWS con la que ha iniciado sesión. Para obtener más información, consulte **Ámbito** en [Componentes y características de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
+ Crea una topología inicial para su ámbito.
Siga estos pasos para inicializar Network Flow Monitor mediante la configuración de los roles vinculados al servicio que proporcionan los permisos necesarios, la configuración del ámbito de su cuenta y la creación de una topología para la supervisión del rendimiento del flujo de red.
**Inicialización de Network Flow Monitor**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En la sección **Introducción a Network Flow Monitor**, en el paso 1, elija **Comenzar inicialización**.
1. En la página **Configurar Network Flow Monitor**, desplácese hacia abajo y, a continuación, seleccione **Inicializar Network Flow Monitor**.
Completar la inicialización puede tardar entre 20 y 30 minutos.
Después de inicializar Network Flow Monitor para su cuenta, antes de poder ver las métricas de rendimiento del flujo de red, también debe instalar los agentes de Network Flow Monitor para sus recursos que envían las métricas de rendimiento al servidor de ingesta respaldado de Network Flow Monitor. Para obtener más información, consulte [Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents.md).
# Inicialización de Network Flow Monitor para la supervisión de varias cuentas
Si desea supervisar los flujos de red en Network Flow Monitor para recursos que son propiedad de diferentes cuentas, primero debe configurar Amazon CloudWatch con AWS Organizations. Para usar varias cuentas en Network Flow Monitor, debe activar el acceso de confianza para CloudWatch y, además, se recomienda registrar un administrador delegado.
Además, si planea crear monitores para los flujos de red desde la consola, debe añadir una política de Network Flow Monitor al rol asociado a sus recursos. La política le permite ver los recursos de otras cuentas en la consola, de modo que puede añadir los recursos de varias cuentas a un monitor.
Para supervisar los flujos de red de recursos que son propiedad de diferentes cuentas, hay que seguir algunos pasos de configuración adicionales. En primer lugar, como cuenta de administración, debe configurar CloudWatch con AWS Organizations para activar el acceso de confianza y, normalmente, también registrará una cuenta de administrador delegado. A continuación, con la cuenta de administrador delegado, puede añadir más cuentas a su organización para establecer el ámbito de la observabilidad de la red a fin de incluir recursos en esas cuentas. (También puede añadir varias cuentas con una cuenta de administración, pero en Organizations se recomienda usar la cuenta de administrador delegado cuando trabaja con los recursos de un servicio. En las instrucciones que aparecen aquí para Network Flow Monitor, proporcionamos los pasos que siguen esa recomendación).
Tenga en cuenta que si no necesita supervisar los flujos de red para las instancias de varias cuentas, puede usar Network Flow Monitor con una sola cuenta. El ámbito de Network Flow Monitor se establece automáticamente en la cuenta de AWS con la que inicie sesión.
Siga las instrucciones que se detallan en las siguientes secciones para completar estos pasos.
**Topics**
+ [Descripción general de la configuración de varias cuentas](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Configure AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Adición de varias cuentas](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Adición de permisos para la consola](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## Descripción general de los pasos para usar varias cuentas en Network Flow Monitor
Para empezar a utilizar Network Flow Monitor, cualquier cuenta que no haya utilizado Network Flow Monitor anteriormente debe inicializarlo. Al inicializar Network Flow Monitor para una cuenta, este añade los permisos de rol vinculados al servicio necesarios y crea un ámbito de la cuenta o cuentas que se incluirán en la observabilidad de la red. Para trabajar con varias cuentas en Network Flow Monitor, hay pasos adicionales para integrarse con AWS Organizations y luego añadir las cuentas con las que se trabajará.
En resumen, debe seguir estos pasos:
1. Inicie sesión en la Consola de administración de AWS como cuenta de administración y haga lo siguiente:
+ Complete los pasos necesarios para la integración con AWS Organizations en CloudWatch.
1. Inicie sesión en la Consola de administración de AWS como cuenta de administrador delegado y haga lo siguiente:
+ Inicialice Network Flow Monitor, incluida la adición de cuentas para incluirlas en su ámbito.
+ Agregue los permisos necesarios para acceder a los recursos que se encuentran en otras cuentas desde la consola.
Si está configurando Network Flow Monitor para que funcione con varias cuentas y no está familiarizado con AWS Organizations, consulte los siguientes recursos para obtener información sobre algunos conceptos (como la cuenta de administración, el acceso de confianza y la cuenta de administrador delegado) y para aprender a integrar Organizations con CloudWatch.
+ [Administración de las cuentas de una organización con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) en la Guía del usuario de AWS Organizations.
+ [Amazon CloudWatch y AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) en la guía del usuario de AWS Organizations.
Siga los pasos de las siguientes secciones para obtener instrucciones específicas sobre la configuración de Network Flow Monitor para varias cuentas.
## Configuración de AWS Organizations en CloudWatch
Para configurar Network Flow Monitor con AWS Organizations, inicie sesión en la cuenta de administración y active el acceso de confianza para CloudWatch. A continuación, registre una cuenta de administrador delegado para inicializar Network Flow Monitor y añadir varias cuentas.
Si ya ha configurado Organizaciones en CloudWatch para activar el acceso de confianza para Organizations en CloudWatch y registrar una cuenta de administrador delegado, no necesita configurar nada más para Organizations específico de Network Flow Monitor. Puede iniciar sesión con la cuenta de administrador delegado de CloudWatch y, a continuación, inicializar Network Flow Monitor, lo que incluye añadir varias cuentas para el ámbito de observabilidad de la red.
Si aún no ha configurado Organizations en CloudWatch, siga los pasos que se indican aquí para activar el acceso de confianza y registrar una cuenta de administrador delegado.
### Activación del acceso de confianza en CloudWatch
Antes de poder utilizar Network Flow Monitor con más de una cuenta en su organización, debe activar el acceso de confianza para AWS Organizations en Amazon CloudWatch. Siga estos pasos para activar el acceso de confianza en la consola de CloudWatch.
**Activación del acceso de confianza**
1. Inicie sesión en la consola con la cuenta de administración de su organización.
1. Elija **Configuración** en el panel de navegación de la consola de CloudWatch.
1. Seleccione la pestaña **Organizaciones**.
1. En **Configuración de administración de la organización**, seleccione **Activar**. Aparecerá la página **Habilitar el acceso de confianza**.
1. Para revisar la política de roles, seleccione **Ver detalles de permisos**.
1. Elija **Habilitar acceso de confianza**.
Ahora, a medida que CloudWatch descubre los recursos, actualiza automáticamente la información sobre las cuentas para las que tiene permiso para acceder a los recursos en Network Flow Monitor.
### Registro de una cuenta de administrador delegado
Como práctica recomendada con AWS Organizations, la cuenta de administración de su organización debe registrar una cuenta de miembro como cuenta de administrador delegado para CloudWatch. Después de registrar una cuenta de administrador delegado en CloudWatch, los miembros de su organización pueden iniciar sesión con la cuenta de administrador delegado para supervisar el rendimiento de la red de los recursos en varias cuentas en Network Flow Monitor.
Con la cuenta de administrador delegado, puede añadir varias cuentas para el ámbito de observabilidad de la red en Network Flow Monitor. Aunque la cuenta de administración también puede crear un ámbito que incluya varias cuentas, le recomendamos que siga las prácticas recomendadas para AWS Organizations y que utilice una cuenta de administrador delegado para añadir varias cuentas en Network Flow Monitor. En el caso de las cuentas de miembros que no son la cuenta de administrador delegado, el ámbito se limita a la cuenta con la que se ha iniciado sesión, que se configura automáticamente para el ámbito.
Una cuenta de administrador delegado para Organizations es una cuenta de miembro que comparte el acceso de administrador para los permisos administrados por el servicio. La cuenta que decida registrar como administrador delegado debe ser una cuenta de miembro de su organización. Una cuenta de administrador delegado para su organización puede usarse fuera de CloudWatch, así que asegúrese de entender este tipo de cuenta antes de seguir este procedimiento. Para obtener más información, consulte [Amazon CloudWatch y AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) en la guía del usuario de AWS Organizations.
**Registro de un administrador delegado**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, seleccione **Configuración**.
1. Seleccione la pestaña **Organización**.
1. Elija **Registrar administrador delegado**.
1. En la ventana **Registrar administrador delegado**, en el campo **ID de cuenta de administrador delegado**, introduzca el ID de cuenta del miembro de la organización de 12 dígitos.
1. Elija **Registrar administrador delegado**. En la parte superior de la página, aparece un mensaje en el que se indica que la cuenta se registró correctamente. Aparecerá la página **Configuración de la organización**. Para ver información sobre la cuenta de administrador delegado, coloque el cursor sobre el número que aparece debajo de **Administradores delegados**.
Para eliminar o cambiar la cuenta de administrador delegado, primero anule el registro de la cuenta. Para obtener más información, consulte [Anulación del registro de un administrador delegado](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).
## Adición de varias cuentas a su ámbito
Para añadir cuentas a su ámbito de Network Flow Monitor, inicie sesión con la cuenta de administrador delegado. (Puede añadir cuentas a un ámbito si ha iniciado sesión con la cuenta de administración, pero se recomienda utilizar la cuenta de administrador delegado en AWS Organizations para trabajar con los recursos).
Después de iniciar sesión, siga los pasos para inicializar Network Flow Monitor, un proceso que autoriza los permisos de rol vinculados al servicio necesarios, le permite establecer el ámbito de la observabilidad de la red mediante la adición de cuentas y, a continuación, crea una topología inicial para las cuentas del ámbito que ha establecido. La cuenta con la que inicia sesión (en este caso, la cuenta de administrador delegado) se incluye automáticamente en el ámbito de Network Flow Monitor.
**Inicialización de Network Flow Monitor con varias cuentas en su ámbito**
1. Inicie sesión en la consola con la cuenta de administrador delegado de la organización.
1. En el panel de navegación de la consola de CloudWatch, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En **Introducción a Network Flow Monitor**, en el paso 1, seleccione **Comenzar inicialización**.
1. En la página **Network Flow Monitor**, en **Añadir cuentas**, elija **Añadir**. La cuenta con la que ha iniciado sesión se incluye automáticamente en el ámbito y ya aparece en la tabla **Cuentas incluidas** como **(esta cuenta)**.
1. En la página de diálogo **Añadir cuentas**, puede filtrar las cuentas y, a continuación, seleccionar hasta 99 cuentas adicionales para añadirlas a su ámbito. El número máximo de cuentas en un ámbito es 100.
1. Elija **Agregar**.
1. Elija **Inicialización de Network Flow Monitor**. Network Flow Monitor añade los permisos de roles vinculados al servicio necesarios, crea un ámbito que incluye todas las cuentas que especificó y, a continuación, crea una topología inicial de los recursos en las cuentas de su ámbito.
Para agregar o eliminar cuentas para su ámbito después de haber inicializado Network Flow Monitor, siga estos pasos.
Tenga en cuenta que, después de hacer un cambio en el ámbito, ya sea para agregar o eliminar cuentas, debe esperar unos 20 minutos antes de poder hacer otro cambio en él. Este retraso se debe a que Network Flow Monitor necesita un breve periodo de tiempo para actualizar su información de topología.
**Adición o eliminación de cuentas para el ámbito**
1. Inicie sesión en la consola con la cuenta de administrador delegado de la organización.
1. En el panel de navegación de la consola de CloudWatch, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En **Monitores**, seleccione un monitor.
1. En la pestaña **Detalles del monitor**, en **Cuentas incluidas**, elija **Agregar** o **Eliminar**.
1. Seleccione las cuentas que desee agregar al ámbito, hasta un total de 100 cuentas, o seleccione las cuentas que desee eliminar.
1. Complete los pasos del cuadro de diálogo de confirmación.
## Configuración de los permisos para el acceso a los recursos de varias cuentas (solo en la consola)
Si planea crear monitores para los flujos de red desde la consola, se requiere una política específica para cada cuenta de miembro en su ámbito. Esta política le permite ver los recursos de otras cuentas al añadir recursos locales y remotos a un monitor.
Para cada una de las cuentas de su ámbito, cree un rol, **NetworkFlowMonitorAccountResourceAccess**, y adjunte la política **AmazonEC2ReadOnlyAccess**. Para ver los detalles de permisos de la política, consulte [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) en la Guía de referencia de políticas administradas de AWS.
Esta política se suma a la política que debe agregar a cada instancia para que el agente de Network Flow Monitor pueda enviar las métricas de rendimiento de la instancia al servidor backend de ingesta de Network Flow Monitor. Para obtener más información acerca de los requisitos de los agentes, consulte [Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents.md).
El siguiente procedimiento proporciona un resumen de los pasos necesarios para crear el rol requerido para acceder a los recursos de su ámbito en la consola de Network Flow Monitor. Para obtener instrucciones generales sobre cómo crear un rol en IAM, consulte [Creación de un rol para delegar permisos a un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en la Guía del usuario de AWS Identity and Access Management.
**Creación de un rol para el acceso a los recursos en la consola de Network Flow Monitor**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM.
1. En el panel de navegación de la consola, elija **Roles** y, a continuación, seleccione **Create role** (Crear rol).
1. Especifique la entidad de confianza de la **cuenta de AWS**. Este tipo de entidad de confianza permite que las entidades principales de otras cuentas de AWS asuman el rol y accedan a los recursos de otras cuentas.
1. Elija **Siguiente**.
1. En la lista de políticas administradas por AWS, elija la política **AmazonEC2ReadOnlyAccess**.
1. Elija **Siguiente**.
1. Para el nombre del rol, escriba **NetworkFlowMonitorAccountResourceAccess**.
1. Revise el rol y, a continuación, elija **Crear rol**.
## Instalación de agentes en instancias
Para realizar un seguimiento del rendimiento de la red con Network Flow Monitor, debe inicializar el servicio, pero también debe instalar agentes de Network Flow Monitor en las instancias de EC2 de su carga de trabajo y añadir permisos para que los agentes envíen métricas de rendimiento de la red a Network Flow Monitor. Después de instalar los agentes, espere un tiempo breve (unos 20 minutos) para que los datos comiencen a enviarse al backend de Network Flow Monitor. A continuación, puede ver las métricas de rendimiento de la red en la pestaña **Información sobre la carga de trabajo** y también crear monitores para ver información detallada.
Por ejemplo, puede ver las métricas de rendimiento de los principales contribuyentes para los datos transferidos y los tiempos de espera de retransmisión, para los flujos de red entre sus recursos locales y remotos, recopilados por los agentes de Network Flow Monitor. Al ver y analizar estas métricas, puede elegir los flujos específicos de los que desee ver más detalles y hacer un seguimiento más detallado con un monitor. Al crear un monitor para flujos específicos, puede ver información detallada sobre ellos, como las métricas, ordenadas por los principales contribuyentes para cada tipo de métrica, y las rutas de red de cada flujo de red.
Con un monitor, Network Flow Monitor también proporciona un indicador del estado de la red (NHI), que puede utilizar para comprobar si los flujos de red de AWS que está rastreando se han deteriorado en el monitor durante el lapso de tiempo que haya seleccionado. Esa información puede ayudarlo a decidir dónde centrar sus esfuerzos de resolución de problemas de red.
Si desea obtener más información, así como instrucciones sobre la instalación de agentes, consulte [Instalación de agentes de Network Flow Monitor en instancias de EC2 y Kubernetes autoadministradas](CloudWatch-NetworkFlowMonitor-agents.md).
# Supervisión y análisis de los flujos de red en Network Flow Monitor
Con Network Flow Monitor, puede obtener información sobre los flujos de red y el rendimiento del tráfico que está supervisando en su ámbito. Comience por revisar la información sobre los principales colaboradores, por cada tipo de métrica, en la pestaña **Información sobre la carga de trabajo**. A continuación, cree monitores de modo que pueda explorar el rendimiento de la red en detalle, a lo largo de distintos lapsos de tiempo, de los flujos de red que seleccione en **Información sobre la carga de trabajo**.
Después de inicializar Network Flow Monitor e instalar agentes en las instancias, Network Flow Monitor genera métricas de rendimiento de los flujos de red de esas instancias. Consulte las secciones de este capítulo para obtener más información sobre cómo usar Network Flow Monitor para evaluar el rendimiento de la red en Network Flow Monitor, crear monitores para obtener información más detallada y obtener información sobre las métricas específicas que proporciona Network Flow Monitor.
Los pasos descritos en estas secciones usan la Consola de administración de AWS. También puede usar las operaciones de la API de Network Flow Monitor con la AWS Command Line Interface (AWS CLI) o los SDK de AWS para revisar la información sobre la carga de trabajo y las métricas de los principales contribuyentes, así como para crear y configurar un monitor. Para obtener más información, consulte los siguientes recursos:
+ Si tiene la intención de trabajar con Network Flow Monitor mediante la CLI, consulte [Ejemplos de uso de la CLI con Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md).
+ Para obtener información detallada sobre cómo trabajar con operaciones de la API de Network Flow Monitor, consulte la [Guía de referencia de la API de Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Evaluación de los flujos de red](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Creación y uso de los monitores](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Supervisión y análisis](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Eliminación del ámbito](CloudWatch-NetworkFlowMonitor-disable.md)
# Evaluación de los flujos de red con información sobre la carga de trabajo
Network Flow Monitor proporciona información sobre la carga de trabajo de los flujos de red en el ámbito para el que habilite la supervisión. Al mostrar los flujos de red de los principales colaboradores para cada tipo de métrica, puede ver qué flujos podrían estar experimentando problemas. Puede ver estas métricas de los principales colaboradores en la consola, en la pestaña **Información sobre la carga de trabajo**. En Network Flow Monitor, los principales contribuyentes son los flujos de red que tienen los valores más altos para cada métrica de rendimiento de la red.
**Colaboradores principales**
En la página **Información sobre la carga de trabajo** de la consola de Network Flow Monitor, este muestra las estadísticas de rendimiento de la red de los principales contribuyentes de los flujos de red entre todos los recursos del ámbito de supervisión en los que se implementaron los agentes.
Para compilar las listas de los principales contribuyentes, Network Flow Monitor determina los flujos de red del ámbito que tienen los valores más altos para las retransmisiones, los tiempos de espera de las retransmisiones y los datos transferidos. Estos flujos de red son los *principales contribuyentes* de cada tipo de métrica.
Para obtener información sobre la carga de trabajo, los principales colaboradores se determinan para todos los flujos de red sobre los que se está recibiendo información de rendimiento; es decir, los flujos de red de todos los recursos en el ámbito que tienen instalados agentes de Network Flow Monitor.
**Clasificaciones de flujos de red**
Network Flow Monitor clasifica las métricas en categorías locales o remotas designadas. Las métricas se agrupan en dos tipos de flujos:
+ **Flujos del indicador de estado de la red (NHI):** flujos que contribuyen a los cálculos del indicador de estado de la red (NHI):
+ Entre AZ (`INTER_AZ`). Siempre dentro de la misma VPC.
+ Dentro de AZ (`INTRA_AZ`). Siempre dentro de la misma VPC.
+ Entre VPC (`INTER_VPC`). Cruza el límite entre VPC.
+ Entre regiones (`INTER_REGION`). Es el rendimiento para flujos de red entre recursos de su región y la periferia de otra región.
+ Hacia buckets de Amazon S3 (`AMAZON_S3`)
+ Hacia Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ **Flujos de indicadores de estado ajenos a la red (NHI)**: flujos que no contribuyen a los cálculos del indicador de estado de la red (NHI):
+ Hacia Internet (`INTERNET`). Flujos que atraviesan una puerta de enlace de Internet y terminan en la Internet pública.
+ Hacia los servicios de AWS (`AWS_SERVICE`). Flujos que terminan en un servicio de AWS que no está completamente supervisado (como CloudFront o API Gateway).
+ Hacia una puerta de enlace de tránsito (`TRANSIT_GATEWAY`). Los flujos de esta clasificación son flujos que llegan a una puerta de enlace de tránsito, pero se desconoce el destino final del flujo.
+ Hacia una zona local (`LOCAL_ZONE`). Flujos que comienzan o terminan en una zona local.
+ Cualquier otro flujo que no se pueda clasificar de otra manera (`UNCLASSIFIED`).
**Métricas de desempeño**
Las métricas de rendimiento de **Información sobre la carga de trabajo** se muestran en tablas independientes para los siguientes tipos de métrica: retransmisiones, tiempos de espera de retransmisión y datos transferidos. Los datos proporcionados son para los principales contribuyentes de cada tipo. Note que después de instalar por primera vez los agentes de Network Flow Monitor, hay un periodo de espera (unos 20 minutos) antes de que pueda ver las métricas de rendimiento, mientras los agentes recopilan y envían datos al backend de Network Flow Monitor.
**Supervisión de flujos de red específicos**
Al revisar las métricas de rendimiento, cuando vea recursos o flujos de red específicos sobre los que desee obtener más información, puede crear un monitor que incluya solo esos flujos.
Con un monitor, puede hacer un seguimiento de grupos específicos de flujos de red durante un periodo de tiempo para obtener información sobre un aspecto de la carga de trabajo. También puede obtener información útil para la solución de problemas, como comprobar el indicador de estado de la red (NHI), para ver si los problemas que ve se deben a alguna deficiencia de AWS.
Para obtener más información, consulte [Creación y uso de monitores en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**Cobertura de varias cuentas**
Para trabajar con varias cuentas en Network Flow Monitor, debe configurar la integración de AWS Organizations en CloudWatch. Al configurar Organizations, puede añadir cuentas al ámbito de la cobertura de Network Flow Monitor. Luego, si tiene varias cuentas en el ámbito y cada una tiene recursos entre los que desea supervisar los flujos de red, puede especificar un ámbito que incluya todas las cuentas y, luego, ver las métricas de rendimiento recopiladas por los agentes de Network Flow Monitor que ha instalado en los recursos. Para obtener más información, consulte [Inicialización de Network Flow Monitor para la supervisión de varias cuentas](CloudWatch-NetworkFlowMonitor-multi-account.md).
# Creación y uso de monitores en Network Flow Monitor
Cree un monitor para ver los detalles sobre el rendimiento de la red para uno o varios flujos de red de una carga de trabajo. Para cada monitor, Network Flow Monitor publica métricas de rendimiento integrales y un indicador de estado de la red (NHI), además de generar rutas de red de los flujos de red individuales. Tras crear un monitor, puede ver la información proporcionada por el monitor en la consola, en la pestaña **Monitores**.
Los monitores de flujo pueden ayudarle a evaluar los problemas de rendimiento de red que afectan a las cargas de trabajo, incluidas las deficiencias dentro de una Región de AWS y problemas en la red global de AWS entre una región local y una remota. El indicador de estado de la red (NHI) que proporciona el monitor también refleja el estado de la red global de AWS en las rutas de red de la carga de trabajo entre regiones. Esto le ayuda a detectar rápidamente si las deficiencias en una región local, en la red global de AWS o en una región remota están afectando a las cargas de trabajo.
En el caso de las regiones remotas, los monitores pueden proporcionar visibilidad de la red para los flujos hacia la dirección IP pública de la región y para el tráfico privado que fluye hacia una región remota a través de la interconexión de VPC o la interconexión de Transit Gateway.
Tras crear un monitor, puede editarlo si quiere hacer cambios (a excepción de cambiar el nombre del monitor) o eliminarlo en cualquier momento.
En las siguientes secciones, se incluyen los procedimientos para crear, editar y eliminar monitores en la consola de Network Flow Monitor.
**Topics**
+ [Creación de un monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Edición de un monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Eliminación de un monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# Creación de un monitor en Network Flow Monitor
Al revisar los principales colaboradores en la pestaña **Información sobre la carga de trabajo**, si ve uno o varios flujos de red que desea seguir a lo largo del tiempo o sobre los que desea obtener más información, puede crear un monitor directamente desde **Información sobre la carga de trabajo**. Esto simplifica el proceso de creación de un monitor para flujos de red específicos.
O bien, si conoce los flujos de red específicos de los que desea hacer un seguimiento con un monitor, por ejemplo, para consultar la información de rendimiento de todos los flujos de red que van a otra Región de AWS, puede utilizar el asistente **Crear monitor** para crear un monitor desde cero. Cuando se crea un monitor de esta manera, se especifican todos los recursos locales y remotos que definen los flujos de red que desea supervisar.
Para conocer los procedimientos particulares, consulte las siguientes secciones:
+ [Creación de un monitor al especificar los flujos de red](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [Creación de un monitor al especificar los recursos locales y remotos](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## Creación de un monitor al especificar los flujos de red
Para crear un monitor mediante la selección de los flujos de red, comience en la pestaña **Información sobre la carga de trabajo**. Seleccione uno o más flujos de red en una de las tablas, en una sola región y, a continuación, elija crear un monitor con esos flujos.
Al crear un monitor de esta manera, el asistente **Crear monitor** rellena automáticamente los recursos locales y remotos y los muestra en un cuadro de diálogo modal. Puede elegir entre crear un monitor con esos recursos o editar la selección de recursos locales o remotos para agregar o quitar recursos según desee incluirlos.
Al revisar continuamente a los principales contribuyentes en **Información sobre la carga de trabajo**, podrá decidir si tiene los monitores que necesita o si sería útil crear nuevos monitores.
**importante**
Estos pasos están diseñados para completarse todos de una vez. No podrá guardar ningún trabajo en proceso para continuar más adelante.
**Para crear un monitor a partir de **Información sobre la carga de trabajo****
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. Elija **Información sobre la carga de trabajo**.
1. En una de las tablas **Colaboradores principales**, seleccione uno o más flujos de red y, a continuación, elija **Crear monitor**.
1. En la ventana modal que se abre, puede editar los recursos que definen los flujos de red que ha elegido o puede elegir **Crear monitor**.
## Creación de un monitor al especificar los recursos locales y remotos
Puede crear un monitor en cualquier momento para recursos locales y remotos específicos que definan los flujos de red de los que desee ver los detalles.
Por ejemplo, puede crear un monitor para una de las siguientes situaciones:
+ Un monitor que incluya los flujos de red de una VPC específica de una región local a otra VPC de la misma región. (Tenga en cuenta que no puede seleccionar un recurso específico, como una VPC, como punto de conexión del flujo de red —es decir, el recurso remoto— en otra región).
+ Para el recurso local, elija **Recursos específicos en esta *región***. A continuación, elija **VPC y subredes**, y luego, en la tabla, seleccione una VPC específica.
+ Para el recurso remoto, haga lo mismo: elija **Recursos específicos en esta *región***, luego elija **VPC y subredes**, y por último, seleccione una VPC específica.
+ Un monitor que incluya todos los flujos de red de la carga de trabajo de una región local a una zona de disponibilidad específica.
+ Para un recurso local, elija **En toda esta *región***.
+ Para un recurso remoto, elija **Zona de disponibilidad** y, luego, elija una zona de disponibilidad específica.
+ Un monitor que incluya todos los flujos de red para la carga de trabajo dentro de una región local.
+ Para un recurso local, elija **En toda esta *región***.
+ Para un recurso remoto, elija **En toda esta *región***.
+ Un monitor que incluya todos los flujos de red para la carga de trabajo de una región local a la periferia de otra región.
+ Para un recurso local, elija **En toda esta *región***.
+ Para un recurso remoto, elija **Otra región** y, a continuación, elija la región remota
**importante**
Estos pasos están diseñados para completarse todos de una vez. No podrá guardar ningún trabajo en proceso para continuar más adelante.
**Crear un monitor con la consola**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En la página de Network Flow Monitor, seleccione la pestaña **Monitores** y, a continuación, elija **Crear monitor**.
1. En **Nombre del monitor**, ingrese el nombre que desee utilizar para el monitor. Más adelante no podrá cambiar este nombre.
1. Elija **Siguiente**.
1. Seleccione los recursos locales (uno o más) para los flujos de red que desea supervisar.
+ Para supervisar los flujos de red de todos los recursos de su región, elija **En toda esta *región***.
+ Para elegir recursos locales específicos desde los que supervisar los flujos, elija **Recursos específicos de esta *región***. A continuación, en **Agregar recursos**, elija **Zonas de disponibilidad**, **Clústeres de EKS** o **VPC y subredes** y, a continuación, elija los recursos que se agregarán.
1. Elija **Siguiente**.
1. Seleccione los recursos remotos (uno o más) para los flujos de red que desea supervisar.
+ Para supervisar los flujos de red a todos los recursos de su región, elija **En toda esta *región***.
+ Para supervisar flujos de recursos remotos específicos, elija **Recursos específicos de esta *región***. En **Agregar recursos**, seleccione **VPC y subredes**, **Zonas de disponibilidad** o **Servicios de AWS** y, a continuación, elija los recursos que se agregarán.
+ Para supervisar los flujos de red hacia la periferia de otra región, elija **Otra región**.
1. Elija **Siguiente**.
1. Revise sus elecciones para confirmar los flujos de red que desea supervisar o edite las opciones para realizar cambios.
1. Elija **Crear monitor**.
Después de crear un monitor, puede editarlo o eliminarlo en cualquier momento para agregar o eliminar flujos de red. Seleccione un monitor y, a continuación, elija **Editar** o **Eliminar**. Tenga en cuenta que no puede cambiar el nombre de un monitor.
**Visualización del panel de control de Network Flow Monitor**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Monitorización de redes** y, a continuación, **Monitores de flujo**.
En la pestaña **Monitors** (Monitores) se observa una lista de los monitores que ha creado.
Para ver más información sobre un monitor concreto, selecciónelo.
# Edición de un monitor en Network Flow Monitor
Puede editar un monitor en cualquier momento para añadir o eliminar flujos de red.
Tenga en cuenta que no puede cambiar el nombre de un monitor después de crearlo.
**importante**
Estos pasos están diseñados para completarse todos de una vez. No podrá guardar ningún trabajo en proceso para continuar más adelante.
**Cómo editar un monitor con la consola**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En la pestaña **Monitores**, seleccione un monitor y, a continuación, en el menú **Acciones**, elija **Editar**.
1. Seleccione los recursos locales o remotos que desea agregar o eliminar para el monitor. Si tiene varias cuentas en su ámbito, especifique la cuenta en la que se encuentran los recursos y, a continuación, selecciónelos.
1. Cuando haya terminado de actualizar el monitor, seleccione **Siguiente** para revisar y confirmar los flujos de red que se van a supervisar.
1. Seleccione **Guardar monitor**.
# Eliminación de un monitor en Network Flow Monitor
Para eliminar un monitor en Network Flow Monitor, siga los siguientes pasos.
**Para eliminar un monitor**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En la pestaña **Monitores**, seleccione un monitor y, a continuación, en el menú **Acciones**, elija **Eliminar**.
1. En el cuadro de diálogo que aparece, escriba el texto de confirmación y, a continuación, elija **Eliminar**.
# Supervisión y análisis de los flujos de red en un monitor de Network Flow Monitor
Los datos y gráficos de Network Flow Monitor lo ayudan a visualizar y hacer un seguimiento de los problemas de la red. Puede crear monitores para ver información detallada sobre segmentos de red específicos para las cargas de trabajo de AWS, lo que incluye una vista de la ruta de red de flujos de red individuales. Después de crear uno o más monitores en Network Flow Monitor, puede observar el rendimiento y las métricas, así como explorar los datos históricos para detectar anomalías.
Para ver la información proporcionada por un monitor, en la pestaña **Monitores**, elija uno de la tabla **Monitores**. A continuación, seleccione una de las siguientes pestañas para obtener más información: **Descripción general**, **Explorador histórico** o **Detalles del monitor**.
**Pestaña Información general**
En la pestaña **Descripción general**, puede revisar lo siguiente para los lapsos de tiempo que especifique. Para ver un rango más amplio o más limitado de información histórica, que incluye el NHI y los datos resumidos del tráfico, ajuste la selección de lapsos de tiempo en la parte superior de la página.
+ **Indicador del estado de la red (NHI):** el NHI le avisa sobre si se produjeron problemas de red de AWS en uno o varios de los flujos de red rastreados por el monitor durante el lapso de tiempo que seleccionó para ver las métricas de rendimiento. El NHI es un valor binario, es decir, 1 o 0, que aparece en la consola como **Degradado** o **Sano**.
+ El NHI aparece como **Degradado** si hubo problemas con la parte de la red de AWS que atravesó cualquier flujo de red del monitor, en cualquier momento durante el lapso de tiempo que seleccione.
+ De lo contrario, el NHI aparece como **Sano**.
Si el NHI está **Degradado**, puede ver el gráfico de barras del **indicador del estado de la red** para obtener más información. El gráfico muestra cuándo, durante el lapso de tiempo seleccionado, se produjeron problemas de red de AWS con los flujos de red rastreados por el monitor.
+ **Resumen del tráfico:** observe las métricas generales de los flujos rastreados por este monitor durante el lapso de tiempo que haya seleccionado. Puede ver el tiempo medio de ida y vuelta, las sumas (totales) de los tiempos de espera y retransmisiones de las transmisiones y la cantidad promedio de datos transferidos por los flujos en el monitor. Tenga en cuenta que los datos de RTT pueden ser escasos, ya que el RTT no siempre se calcula.
**Pestaña Explorador histórico**
En la pestaña **Explorador histórico**, puede profundizar en la información sobre flujos específicos. Puede revisar las métricas y las rutas de red de los flujos de red de los principales contribuyentes durante lapsos de tiempo específicos. En las tablas de métricas, puede filtrar los datos por diferentes categorías de flujos, como los flujos entre zonas de disponibilidad (`INTER_AZ`).
+ **Métricas:** consulte información detallada de los principales contribuyentes de cada tipo de métrica para el que Network Flow Monitor agrega datos. Se proporcionan tablas separadas de los principales contribuyentes para los tiempos de espera de las retransmisiones, las retransmisiones, el tiempo de ida y vuelta y los datos transferidos.
+ **Rutas de red**: para tener una idea de dónde se producen las anomalías, puede ver la ruta de red de un flujo de red. Al elegir una métrica específica en una tabla de métricas, la ruta de red de ese flujo se muestra debajo de la tabla.
**Pestaña Detalles del monitor**
En la pestaña **Detalles del monitor**, puede ver detalles sobre el monitor, como el estado del monitor, el ARN, su fecha de creación y de actualización más reciente y los flujos que se incluyen.
Puede editar o eliminar un monitor desde cualquier página de la pestaña **Monitores**.
Como parte del uso habitual de Network Flow Monitor, le recomendamos que revise periódicamente los datos de la página **Información sobre la carga de trabajo** para determinar si hay nuevos flujos que muestren anomalías en las métricas de las que desee hacer un seguimiento más detallado a lo largo del tiempo. Cuando vea un conjunto de flujos en la página **Información sobre la carga de trabajo** del que desee obtener información detallada, selecciónelos y cree un monitor para ellos.
# Eliminación del ámbito para Network Flow Monitor
Si decide que ya no desea supervisar los flujos de red con Network Flow Monitor, puede eliminar su ámbito de Network Flow Monitor. Si elimina el ámbito, ya no podrá ver la información sobre el rendimiento de la red.
Antes de poder eliminar el ámbito, debe eliminar todos los monitores. Tenga en cuenta que la eliminación de los monitores puede demorar unos 15 minutos en completarse después de solicitarla. Para obtener más información, consulte [Eliminación de un monitor en Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
**Eliminación del ámbito**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación izquierdo, en **Monitorización de redes**, elija **Monitores de flujo**.
1. En la pestaña **Configuración**, elija **Eliminar ámbito**.
1. En el cuadro de diálogo, escriba el texto de confirmación y, luego, elija **Eliminar ámbito**.
# Visualización de métricas de Network Flow Monitor en CloudWatch
Network Flow Monitor publica las siguientes métricas de rendimiento del flujo de red en su cuenta: tiempo de ida y vuelta, retransmisiones TCP, tiempos de espera de retransmisión TCP, datos transferidos e indicador del estado de la red. Puede ver estas métricas en Métricas de CloudWatch en la consola de Amazon CloudWatch.
Para encontrar todas las métricas del monitor, en el panel de métricas de CloudWatch, consulte el espacio de nombres personalizado `AWS/NetworkFlowMonitor`. Las métricas se agregan para cada monitor que se implementa y está activo.
Network Flow Monitor proporciona las siguientes métricas. Tenga en cuenta que los datos de RoundTripTime pueden ser escasos, ya que esta métrica no siempre se calcula.
| Métrica | Descripción |
| --- | --- |
| DataTransferred | El número de bytes transferidos para todos los flujos de un monitor. |
| Retransmissions | Número total de retransmisiones de un monitor. Las retransmisiones se producen cuando el remitente necesita reenviar paquetes dañados o perdidos. |
| Tiempos de espera | Tiempos de espera totales de retransmisión para un monitor. Esto ocurre cuando al remitente le faltan demasiados acuses de recibo y, por lo tanto, decide tomarse un tiempo de espera y dejar de enviar por completo. |
| RoundTripTime | Tiempo promedio de ida y vuelta de los flujos de red de un monitor. Esta métrica, medida en microsegundos, es una medida del rendimiento. Registra el tiempo que tarda el tráfico en transmitirse desde un recurso local a una dirección IP remota y en recibir la respuesta asociada. El tiempo es un promedio durante el periodo de agregación. Los datos pueden ser escasos, ya que esta métrica no siempre se calcula. |
| HealthIndicator | Indicador de estado de la red (NHI) para un monitor en general. El indicador de estado de la red (NHI) es un valor que indica un deterioro de la red de AWS. El valor de NHI será 1 (degradado) si hubo un problema de red de AWS durante un lapso de tiempo específico. Se establece en 0 (sano) si no se detectó ningún problema de red de AWS. Observar el NHI puede ayudarlo a priorizar la resolución de problemas, ya sea para su carga de trabajo o para la red de AWS. |
# Creación de alarmas con Network Flow Monitor
Puede crear alarmas de Amazon CloudWatch en función de las métricas de Network Flow Monitor, del mismo modo que puede hacerlo con otras métricas de CloudWatch.
Por ejemplo, puede crear una alarma basada en la métrica `Retransmissions` de Network Flow Monitor y configurarla para que envíe una notificación cuando la métrica sea inferior a un valor que usted elija. Las alarmas para las métricas de Network Flow Monitor se configuran siguiendo las mismas pautas que para otras métricas de CloudWatch.
A continuación se muestran algunos ejemplos de métricas de Network Flow Monitor para las que puede crear una alarma:
+ **Retransmissions**
+ **Tiempos de espera**
+ **RoundTripTime**
Para ver todas las métricas disponibles para Network Flow Monitor, consulte [Cree una alarma de CloudWatch basada en un umbral estático](ConsoleAlarms.md).
El siguiente procedimiento proporciona un ejemplo de cómo configurar una alarma en **Retransmisiones** navegando hasta la métrica en el panel de control de CloudWatch. A continuación, siga los pasos estándar de CloudWatch para crear una alarma basada en el umbral que elija y configurar una notificación o elegir otras opciones.
**Creación de una alarma para las **retransmisiones** en las métricas de CloudWatch**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Seleccione **Métricas** y, a continuación, **Todas las métricas**.
1. Para filtrar por Network Flow Monitor, elija `AWS/NetworkFlowMonitor`.
1. Elija **MeasurementSource, MonitorName.**.
1. En la lista, seleccione **Retransmisiones**.
1. En la pestaña **GraphedMetrics**, en **Acciones**, seleccione el icono de la campana para crear una alarma basada en un umbral estático.
Ahora, siga los pasos estándar de CloudWatch para elegir las opciones de la alarma. Por ejemplo, puede elegir que se le notifique mediante un mensaje de Amazon SNS si **Retransmisiones** está por debajo de un umbral específico. Como alternativa o de forma adicional, puede añadir la alarma a un panel de control.
Tenga en cuenta lo siguiente:
+ Las métricas de Network Flow Monitor generalmente se agregan y se envían al backend de Network Flow Monitor cada 30 segundos, con una posible fluctuación de 5 segundo (es decir, entre 25 y 35 segundos).
+ Cuando cree una alarma basada en las métricas de Network Flow Monitor y configure el periodo retrospectivo de la alarma, asegúrese de tener en cuenta el breve retraso antes de la publicación. Recomendamos que configure los **Periodos de evaluación** con un periodo retrospectivo de 25 minutos como mínimo.
Para obtener más información sobre las opciones al crear una alarma de CloudWatch, consulte [Cree una alarma de CloudWatch basada en un umbral estático](ConsoleAlarms.md).
# AWS CloudTrail para Network Flow Monitor
La supervisión de un servicio es una parte importante a la hora de mantener la fiabilidad, la disponibilidad y el rendimiento de Network Flow Monitor y las demás soluciones de AWS. *AWS CloudTrail* captura llamadas a la API y eventos relacionados que lleva a cabo su Cuenta de AWS o que se llevan a cabo en su nombre. Además, entrega los archivos de registro al bucket de Amazon S3 que se haya especificado. También puede identificar qué usuarios y cuentas llamaron a AWS, la dirección IP de origen de las llamadas y el momento en que se hicieron. Para obtener más información, consulte la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Para obtener más información sobre los registros de CloudTrail en Network Flow Monitor, consulte [Monitor de flujo de red de CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct).
# Resolución de problemas en Network Flow Monitor
Esta sección proporciona orientación para solucionar errores con Network Flow Monitor, como la resolución de problemas relacionados con la instalación de agentes.
## Resolución de problemas durante la instalación de los agentes de EKS
Al intentar actualizar el complemento AWS Network Flow Monitor Agent para EKS de la versión 1.0.0 a la versión 1.0.1 en Consola de administración de AWS, es posible que reciba el siguiente mensaje de error:
“Service account `aws-network-flow-monitoring-agent-service-account` in pod identity configuration is not supported for addon `aws-network-flow-monitoring-agent`”.
Este error se devuelve porque se cambió el nombre de un recurso. El complemento EKS v1.0.1 cambia el nombre de la cuenta de servicio de `aws-network-flow-monitoring-agent-service-account` a `aws-network-flow-monitor-agent-service-account`.
A continuación, si la opción **No establecido** está seleccionada en la consola, la asociación de identidad del pod no se restablece con el nuevo nombre de recurso.
Para solucionar este problema, siga estos pasos cuando se actualice a la nueva versión mediante la consola:
1. En **Rol de IAM de Pod Identity para la cuenta de servicio**, seleccione **No establecido**.
1. Seleccione **Nueva versión (v1.0.1)**.
1. Seleccione **Actualizar**.
1. Seleccione **Save changes (Guardar cambios)**.
# Seguridad y protección de datos en Network Flow Monitor
La seguridad en la nube en AWS es la máxima prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y de centros de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/) . Para obtener información sobre los programas de cumplimiento que se aplican a Network Flow Monitor, consulte [Servicios de AWS considerados por el programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación lo ayudará a comprender cómo se aplica el modelo de responsabilidad compartida cuando se utiliza Network Flow Monitor. En los siguientes temas, se le mostrará cómo configurar Network Flow Monitor para satisfacer los objetivos de seguridad y cumplimiento. También obtendrá información sobre cómo usar otros servicios de AWS que le permitan supervisar y proteger sus recursos de Network Flow Monitor.
**Topics**
+ [Protección de datos en Network Flow Monitor](data-protection-nfw.md)
+ [Seguridad de infraestructuras en Network Flow Monitor](infrastructure-security-nfw.md)
+ [Identity and Access Management para Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Protección de datos en Network Flow Monitor
En AWS, el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en Network Flow Monitor. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de la línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Network Flow Monitor u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Seguridad de infraestructuras en Network Flow Monitor
Al tratarse de un servicio administrado, Network Flow Monitor está protegido por los procedimientos de seguridad de red globales de AWS, que se describen en el informe oficial [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Puede usar llamadas a la API de AWS publicadas para obtener acceso a Network Flow Monitor a través de la red. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
# Identity and Access Management para Network Flow Monitor
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está *autenticado* (inició sesión) y *autorizado* (tiene permisos) para usar recursos de Network Flow Monitor. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [Funcionamiento de Network Flow Monitor con IAM](security_iam_service-with-iam-network-flow-monitor.md)
+ [Políticas gestionadas por AWS](security-iam-awsmanpol-network-flow-monitor.md)
+ [Roles vinculados a servicios](using-service-linked-roles-network-flow-monitor.md)
# Funcionamiento de Network Flow Monitor con IAM
Antes de usar IAM para administrar el acceso a Network Flow Monitor, obtenga información sobre qué características de IAM se pueden usar con Network Flow Monitor.
Para ver las tablas que muestran una perspectiva general similar de cómo funcionan los servicios de AWS con la mayoría de las características de IAM, consulte [los servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Características de IAM que se pueden usar con Network Flow Monitor**
| Característica de IAM | Compatibilidad con Network Flow Monitor |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies-nfm) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies-nfm) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions-nfm) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources-nfm) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | Sí |
| [ACL](#security_iam_service-with-iam-acls-nfm) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags-nfm) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds-nfm) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions-nfm) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service-nfm) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked-nfm) | Sí |
## Políticas basadas en identidades de Network Flow Monitor
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
## Políticas basadas en recursos dentro de Network Flow Monitor
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico.
## Acciones de políticas de Network Flow Monitor
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de Network Flow Monitor, consulte [Acciones definidas por Actions defined by Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
Las acciones de políticas de Network Flow Monitor usan el siguiente prefijo antes de la acción:
```
networkflowmonitor
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "networkflowmonitor:Describe*"
```
## Recursos de políticas de Network Flow Monitor
**Compatibilidad con los recursos de políticas:** sí
En la *Referencia de autorizaciones de servicio*, puede ver la siguiente información relacionada con Network Flow Monitor:
+ Para ver una lista de los tipos de recursos de Network Flow Monitor y sus ARN, consulte [Recursos definidos por Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies).
+ Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
## Claves de condición de políticas de Network Flow Monitor
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Network Flow Monitor, consulte [Claves de condición para Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede usar una clave de condición, consulte [Acciones definidas por Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
## Listas de control de acceso (ACL) en Network Flow Monitor
**Compatibilidad con ACL**: no
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con Network Flow Monitor
**Admite ABAC (etiquetas en las políticas):** sí
Network Flow Monitor admite *parcialmente* las etiquetas en las políticas. Admite el etiquetado de un recurso, los monitores.
Para usar etiquetas con Network Flow Monitor, use la AWS Command Line Interface o un SDK de AWS. El etiquetado para Network Flow Monitor no es compatible con la Consola de administración de AWS.
Para obtener más información sobre el uso de etiquetas en las políticas en general, consulte la siguiente información.
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede asociar etiquetas a entidades de IAM y recursos de AWS y, a continuación, diseñar políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con Network Flow Monitor
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a corto plazo a los recursos de AWS y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos de entidades principales entre servicios de Network Flow Monitor
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante, para realizar solicitudes a servicios posteriores. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio de Network Flow Monitor
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
## Rol vinculado a servicios para Network Flow Monitor
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre el rol vinculado a servicios de Network Flow Monitor, consulte [Roles vinculados a servicios para Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios en AWS, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Políticas administradas de AWS para Network Flow Monitor
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está asociada la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Política administrada de AWS: CloudWatchNetworkFlowMonitorServiceRolePolicy
No puede asociar `CloudWatchNetworkFlowMonitorServiceRolePolicy` a sus entidades IAM. Esta política se asocia a un rol vinculado a servicios denominado **AWSServiceRoleForNetworkFlowMonitor**, que publica en CloudWatch los resultados de agregación de telemetría de red recopilados por los agentes de Network Flow Monitor. También permite que el servicio use AWS Organizations para obtener información para escenarios de varias cuentas.
Para ver los permisos de esta política, consulte [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.
Para obtener más información, consulte [Roles vinculados a servicios para Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## Política administrada de AWS: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
No puede asociar ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` a sus entidades IAM. Esta política está asociada a un rol vinculado a servicios denominado **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Con estos permisos, además de la recopilación interna de metadatos (para mejorar el rendimiento), este rol vinculado a servicios recopila metadatos sobre las configuraciones de la red de recursos, como la descripción de las tablas de rutas y las puertas de enlace, para los recursos cuyo tráfico de la red supervisa este servicio. Estos metadatos permiten a Network Flow Monitor generar instantáneas de la topología de los recursos. Cuando se produce una degradación de la red, Network Flow Monitor usa las topologías para proporcionar información sobre la ubicación de los problemas en la red y ayudar a determinar su atribución.
Para ver los permisos de esta política, consulte [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.
Para obtener más información, consulte [Roles vinculados a servicios para Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## Política administrada de AWS: CloudWatchNetworkFlowMonitorAgentPublishPolicy
Puede usar esta política en roles de IAM asociados a los recursos de instancia de Amazon EC2 y Amazon EKS para enviar informes de telemetría (métricas) a un punto de conexión de Network Flow Monitor.
Para ver los permisos de esta política, consulte [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) en la *Referencia de políticas administradas de AWS*.
## Actualizaciones de los roles vinculados a servicios de Network Flow Monitor
Para ver las actualizaciones a las políticas administradas de AWS de los roles vinculados a servicios de Network Flow Monitor, consulte la [Tabla de actualizaciones de las políticas administradas de AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) para CloudWatch. También puede suscribirse a alertas RSS automáticas en la [página del historial de documentos](DocumentHistory.md) de CloudWatch.
# Roles vinculados a servicios para Network Flow Monitor
Network Flow Monitor usa AWS Identity and Access Management (IAM) y sus [ roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Network Flow Monitor. Network Flow Monitor predefine el rol vinculado a servicios e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Network Flow Monitor define los permisos de los roles vinculados a servicios y, a menos que esté definido de otra manera, solo Network Flow Monitor puede asumir estos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que las políticas de permisos no se puedan asociar a ninguna otra entidad de IAM.
Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. Esta restricción protege los recursos de Network Flow Monitor, ya que evita que se les puedan quitar accidentalmente permisos de acceso.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos para roles vinculados a servicios de Network Flow Monitor
Network Flow Monitor usa los siguientes roles vinculados a servicios:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### Permisos para roles vinculados a servicios de AWSServiceRoleForNetworkFlowMonitor
Network Flow Monitor usa el rol vinculado a servicios denominado **AWSServiceRoleForNetworkFlowMonitor**. Este rol permite a Network Flow Monitor publicar métricas de telemetría agregadas de CloudWatch recopiladas para el tráfico de red entre instancias y entre instancias y ubicaciones de AWS. También permite que el servicio use AWS Organizations para obtener información para escenarios de varias cuentas.
Este rol vinculado al servicio utiliza la política administrada `CloudWatchNetworkFlowMonitorServiceRolePolicy`.
Para ver los permisos de esta política, consulte [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.
El rol vinculado a servicios **AWSServiceRoleForNetworkFlowMonitor** confía en el siguiente servicio para que asuma el rol:
+ `networkflowmonitor.amazonaws.com`
### Permisos para roles vinculados a servicios de AWSServiceRoleForNetworkFlowMonitor\$1Topology
Network Flow Monitor usa el rol vinculado a servicios denominado **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Este rol permite que Network Flow Monitor genere una instantánea de la topología de los recursos que se usan con Network Flow Monitor.
Este rol vinculado al servicio utiliza la política administrada `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`.
Para ver los permisos de esta política, consulte [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.
El rol vinculado a servicios **AWSServiceRoleForNetworkFlowMonitor\$1Topology** confía en el siguiente servicio para que asuma el rol:
+ `topology.networkflowmonitor.amazonaws.com`
## Creación de un rol vinculado a servicios de Network Flow Monitor
No es necesario crear un rol vinculado a servicios de forma manual para Network Flow Monitor. La primera vez que inicializa Network Flow Monitor, este crea **AWSServiceRoleForNetworkFlowMonitor** y **AWSServiceRoleForNetworkFlowMonitor\$1Topology** para usted.
Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
## Edición de un rol vinculado a servicios de Network Flow Monitor
Después de que Network Flow Monitor cree un rol vinculado a servicios en su cuenta, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios de Network Flow Monitor
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no tiene una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Network Flow Monitor está usando el rol cuando intenta eliminarlo, la eliminación podría producir un error. Si eso sucede, espere unos minutos e inténtelo de nuevo.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Use la consola de IAM, la AWS CLI o la API de AWS para eliminar los roles vinculados a servicios **AWSServiceRoleForNetworkFlowMonitor** o **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Actualizaciones de roles vinculados a servicios de Network Flow Monitor
Para ver las actualizaciones a `CloudWatchNetworkFlowMonitorServiceRolePolicy` o `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`, que son políticas administradas de AWS para los roles vinculados a servicios de Network Flow Monitor, consulte [Actualizaciones de CloudWatch a las políticas administradas de AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Para recibir alertas automáticas sobre cambios en las políticas gestionadas en CloudWatch, suscríbase a la fuente RSS en la página de [Historial de documentos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html) de CloudWatch.