Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes - Amazon CloudWatch
Présentation de la configuration de plusieurs comptesConfigurer AWS OrganizationsAjouter plusieurs comptesAjouter des autorisations pour la console

Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes

Si vous voulez surveiller les flux réseau dans Network Flow Monitor pour des ressources appartenant à différents comptes, vous devez d’abord configurer Amazon CloudWatch avec AWS Organizations. Pour utiliser plusieurs comptes dans Network Flow Monitor, vous devez activer l’accès approuvé pour CloudWatch. Il est également recommandé d’enregistrer un administrateur délégué.

En outre, si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, vous devez ajouter une politique Network Flow Monitor au rôle qui est attaché à vos ressources. Cette politique vous permet d’afficher les ressources d’autres comptes dans la console, afin que vous puissiez ajouter les ressources de plusieurs comptes à un moniteur.

Pour surveiller les flux réseau des ressources appartenant à différents comptes, vous devez suivre des étapes de configuration supplémentaires. Tout d’abord, en tant que compte de gestion, vous devez configurer CloudWatch avec AWS Organizations pour activer l’accès approuvé et, généralement, vous enregistrerez également un compte d’administrateur délégué. Ensuite, à l’aide du compte d’administrateur délégué, vous pouvez ajouter d’autres comptes dans votre organisation, pour définir la portée de votre observabilité réseau afin d’inclure les ressources dans ces comptes. (Vous pouvez également ajouter plusieurs comptes avec un compte de gestion, mais une bonne pratique dans les organisations consiste à utiliser le compte de l’administrateur délégué lorsque vous travaillez avec des ressources dans un service. Nous fournissons des étapes qui suivent ces conseils dans les instructions ici pour Network Flow Monitor.)

Notez que si vous n’avez pas besoin de surveiller les flux réseau pour les instances de plusieurs comptes, vous pouvez utiliser Network Flow Monitor avec un seul compte. La portée de Network Flow Monitor est automatiquement définie sur le compte AWS avec lequel vous vous connectez.

Suivez les conseils des sections suivantes pour réaliser ces étapes.

Présentation des étapes pour l’utilisation de plusieurs comptes dans Network Flow Monitor

Pour commencer à utiliser Network Flow Monitor, tout compte qui n’a pas utilisé Network Flow Monitor auparavant doit initialiser Network Flow Monitor. Lorsque vous initialisez Network Flow Monitor pour un compte, Network Flow Monitor ajoute les autorisations de rôle lié à un service requises et crée une portée du ou des comptes à inclure dans l’observabilité du réseau. Pour travailler avec plusieurs comptes dans Network Flow Monitor, il y a des étapes supplémentaires, pour s’intégrer à AWS Organizations, puis ajouter les comptes avec lesquels travailler.

En résumé, vous devez suivre les étapes suivantes :

  1. Connectez-vous à la AWS Management Console en tant que compte de gestion, puis procédez comme suit :

    • Effectuez les étapes requises pour l’intégration avec AWS Organizations dans CloudWatch.

  2. Connectez-vous à la AWS Management Console en tant que compte d’administrateur délégué, puis effectuez les opérations suivantes :

    • Initialisez Network Flow Monitor, notamment en ajoutant des comptes à inclure dans votre portée.

    • Ajoutez les autorisations requises pour accéder aux ressources qui se trouvent dans d’autres comptes à partir de la console.

Si vous configurez Network Flow Monitor pour qu’il fonctionne avec plusieurs comptes et que vous n’êtes pas familiarisé avec AWS Organizations, consultez les ressources suivantes pour découvrir des concepts tels que le compte de gestion, l’accès approuvé et le compte d’administrateur délégué, et pour apprendre à intégrer Organizations à CloudWatch.

Suivez les étapes des sections suivantes pour obtenir des conseils spécifiques sur la configuration de Network Flow Monitor pour plusieurs comptes.

Configurer AWS Organizations dans CloudWatch

Pour configurer Network Flow Monitor avec AWS Organizations, connectez-vous au compte de gestion et activez l’accès approuvé pour CloudWatch. Ensuite, enregistrez un compte d’administrateur délégué à utiliser pour initialiser Network Flow Monitor et ajouter des comptes multiples.

Si vous avez déjà configuré Organizations dans CloudWatch pour activer l’accès approuvé pour Organizations dans CloudWatch et enregistrer un compte d’administrateur délégué, vous n’avez pas besoin de configurer quoi que ce soit d’autre pour Organizations qui soit spécifique à Network Flow Monitor. Vous pouvez vous connecter avec le compte d’administrateur délégué pour CloudWatch, puis initialiser Network Flow Monitor, notamment en ajoutant plusieurs comptes pour votre portée d’observabilité réseau.

Si vous n’avez pas encore configuré Organizations dans CloudWatch, suivez les étapes ici pour activer l’accès approuvé et enregistrer un compte d’administrateur délégué.

Activer l’accès approuvé dans CloudWatch

Avant de pouvoir utiliser Network Flow Monitor avec plusieurs comptes dans votre organisation, vous devez activer l’accès approuvé pour AWS Organizations dans Amazon CloudWatch. Suivez les étapes suivantes pour activer l’accès approuvé dans la console CloudWatch.

Pour activer l’accès approuvé

  1. Connectez-vous à la console avec le compte de gestion de votre organisation.

  2. Dans le volet de navigation de la console CloudWatch, sélectionnez Paramètres.

  3. Choisissez l’onglet Organisations.

  4. Dans Paramètres de gestion de l’organisation, sélectionnez Activer. La page Activer l’accès approuvé s’affiche.

  5. Pour examiner la politique de rôle, sélectionnez Afficher les détails de l’autorisation pour voir la politique de rôle.

  6. Choisissez Enable trusted access (Activer l'accès approuvé).

Désormais, lorsque CloudWatch découvre des ressources, il met automatiquement à jour les informations sur les comptes pour lesquels vous avez l’autorisation d’accéder aux ressources dans Network Flow Monitor.

Enregistrer un compte d’administrateur délégué

En tant que bonne pratique avec AWS Organizations, le compte de gestion de votre organisation doit enregistrer un compte membre en tant que compte d’administrateur délégué pour CloudWatch. Après avoir enregistré un compte d’administrateur délégué dans CloudWatch, les membres de votre organisation peuvent se connecter avec le compte d’administrateur délégué pour surveiller les performances du réseau pour les ressources de plusieurs comptes dans Network Flow Monitor.

À l’aide du compte d’administrateur délégué, vous pouvez ajouter plusieurs comptes pour votre portée d’observabilité du réseau dans Network Flow Monitor. Bien que le compte de gestion puisse également créer une portée incluant plusieurs comptes, nous vous recommandons de suivre les bonnes pratiques pour AWS Organizations et d’utiliser un compte d’administrateur délégué pour l’ajout de plusieurs comptes dans Network Flow Monitor. Pour les comptes membres qui ne sont pas le compte administrateur délégué, la portée est limitée au compte connecté, qui est automatiquement défini pour la portée.

Un compte d’administrateur délégué pour Organizations est un compte membre qui partage l’accès administrateur pour les autorisations gérées par le service. Le compte que vous choisissez d’enregistrer en tant que compte d’administrateur délégué doit être un compte membre de votre organisation. Un compte d’administrateur délégué pour votre organisation peut être utilisé en dehors de CloudWatch, assurez-vous donc de bien comprendre ce type de compte avant de suivre cette procédure. Pour plus d’informations, consultez Amazon CloudWatch et AWS Organizations dans le Guide de l’utilisateur AWS Organizations.

Pour enregistrer un compte d’administrateur délégué

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Sélectionnez l’onglet Organisation.

  4. Sélectionnez Enregistrer l'administrateur délégué.

  5. Dans la fenêtre Enregistrer un administrateur délégué, dans le champ ID de compte de l’administrateur délégué, saisissez l’ID de compte membre de l’organisation à 12 chiffres.

  6. Sélectionnez Enregistrer l'administrateur délégué. En haut de la page, un message s’affiche pour indiquer que le compte a été enregistré avec succès. La page Paramètres de l’organisation s’affiche. Pour obtenir des informations sur le compte de l’administrateur délégué, survolez le numéro situé sous Administrateurs délégués.

Pour supprimer ou modifier le compte de l’administrateur délégué, annulez d’abord l’inscription du compte. Pour plus d’informations, consultez Annuler l’inscription d’un compte d’administrateur délégué.

Ajout de plusieurs comptes à votre portée

Pour ajouter des comptes à votre portée Network Flow Monitor, connectez-vous avec le compte d’administrateur délégué. (Vous pouvez ajouter des comptes à une portée si vous êtes connecté avec le compte de gestion, mais une bonne pratique dans les AWS Organizations consiste à utiliser le compte d’administrateur délégué pour travailler avec les ressources.)

Après vous être connecté avec le compte d’administrateur délégué, initialisez Network Flow Monitor pour autoriser les rôles liés à un service requis, définissez la portée de votre observabilité du réseau en ajoutant des comptes et créez une topologie initiale pour les comptes de votre portée. Le compte avec lequel vous vous connectez (dans ce cas, le compte d’administrateur délégué) est automatiquement inclus dans la portée de Network Flow Monitor. Pour ajouter des comptes à votre portée afin de pouvoir surveiller les flux réseau pour les ressources de plusieurs comptes, procédez comme suit.

Pour ajouter des comptes à votre portée

  1. Connectez-vous à la console avec le compte de gestion de votre organisation.

  2. Dans le volet de navigation de la console CloudWatch, sous Surveillance du réseau, choisissez Moniteurs de flux.

  3. Sous Mise en route avec Network Flow Monitor, à l’étape 1, sélectionnez Démarrer l’initialisation.

  4. Sur la page Network Flow Monitor, sous Ajouter des comptes, sélectionnez Ajouter. Le compte avec lequel vous êtes connecté est automatiquement inclus dans la portée et apparaît déjà dans le tableau Comptes dans la portée sous le nom de (ce compte).

  5. Dans la page de dialogue Ajouter des comptes, filtrez éventuellement les comptes, puis sélectionnez jusqu’à 99 comptes complémentaires à ajouter à votre portée. Le nombre maximum de comptes dans une portée est de 100.

  6. Choisissez Ajouter.

  7. Sélectionnez Initialiser Network Flow Monitor. Network Flow Monitor ajoute les autorisations de rôle lié à un service requises, crée une portée qui inclut tous les comptes que vous avez spécifiés, puis crée une topologie initiale des ressources dans les comptes de votre portée.

Configurer les autorisations pour l’accès aux ressources par plusieurs comptes (console uniquement)

Si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, une politique spécifique est requise pour chaque compte membre de votre portée. Cette politique vous permet de visualiser les ressources d’autres comptes lorsque vous ajoutez des ressources locales et distantes à un moniteur.

Pour chaque compte de votre portée, créez un rôle, NetworkFlowMonitorAccountResourceAccess, et attachez la politique AmazonEC2ReadOnlyAccess. Pour obtenir des détails sur les autorisations de la politique, consultez AmazonEC2ReadOnlyAccess dans le Guide de référence des politiques gérées par AWS.

Cette politique s’ajoute à celle que vous devez ajouter à chaque instance pour que l’agent Network Flow Monitor puisse envoyer des métriques de performance de l’instance au serveur dorsal d’ingestion de Network Flow Monitor. Pour plus d’informations sur les exigences relatives aux agents, consultez Installer des agents Network Flow Monitor sur des instances.

La procédure suivante résume les étapes à suivre pour créer le rôle requis pour accéder aux ressources de votre portée dans la console Network Flow Monitor. Pour obtenir des conseils généraux sur la création d’un rôle dans IAM, consultez Créer un rôle pour donner des autorisations à un utilisateur IAM dans le Guide de l’utilisateur d’AWS Identity and Access Management.

Pour créer un rôle pour l’accès aux ressources dans la console Network Flow Monitor

  1. Connectez-vous à AWS Management Console et ouvrez la console IAM.

  2. Dans le volet de navigation de la console, choisissez Rôles, puis Créer un rôle.

  3. Spécifiez l’entité de confiance du compte AWS. Ce type d’entité de confiance permet aux principaux d’autres comptes AWS d’assumer le rôle et d’accéder aux ressources d’autres comptes.

  4. Choisissez Suivant.

  5. Dans la liste des politiques gérées par AWS, choisissez la politique AmazonEC2ReadOnlyAccess.

  6. Choisissez Suivant.

  7. Pour le nom du rôle, entrez NetworkFlowMonitorAccountResourceAccess.

  8. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).