Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor"></a>

Network Flow Monitor vous donne une visibilité en temps quasi réel des performances du réseau pour le trafic entre les ressources informatiques (Amazon EC2 et Amazon Elastic Kubernetes Service), le trafic vers AWS d'autres services (Amazon S3 et Amazon DynamoDB) et le trafic vers la périphérie d'un autre service. Région AWS Network Flow Monitor collecte des données à partir d'agents logiciels légers que vous installez sur vos instances. Ces agents collectent des statistiques de performance à partir des connexions TCP et envoient ces données au service principal de Network Flow Monitor, qui calcule les principaux contributeurs pour chaque type de métrique.

Network Flow Monitor détermine également si un problème réseau AWS est à l'origine de la détection d'un problème réseau et rapporte ces informations pour les flux réseau dont vous choisissez de surveiller les détails.

Vous pouvez consulter les informations de performance réseau relatives aux flux réseau pour les ressources d'un seul compte, ou vous pouvez configurer Network Flow Monitor AWS Organizations pour afficher les informations de performance de plusieurs comptes d'une organisation, en vous connectant avec un compte de gestion ou un compte d'administrateur délégué.

Network Flow Monitor est destiné aux opérateurs de réseau et aux développeurs d’applications qui veulent des analyses des performances du réseau en temps quasi réel. Dans la console Network Flow Monitor CloudWatch, vous pouvez consulter les données de performance du trafic réseau de vos ressources qui ont été agrégées par les agents et regroupées en différentes catégories. Par exemple, vous pouvez consulter les données relatives aux flux entre les zones de disponibilité ou entre celles-ci VPCs. Vous pouvez ensuite créer des moniteurs pour des flux spécifiques dont vous voulez voir plus de détails ou que vous voulez suivre de plus près dans le temps.

À l’aide d’un moniteur, vous pouvez visualiser rapidement la perte de paquets et la latence de vos connexions réseau sur une période que vous spécifiez. Pour chaque moniteur, Network Flow Monitor génère également un indicateur d’état réseau (NHI). La valeur NHI vous indique s'il y a eu des problèmes de AWS réseau liés aux flux réseau suivis par votre moniteur au cours de la période que vous évaluez. À l'aide des informations du NHI, vous pouvez rapidement décider de concentrer les efforts de dépannage sur un problème AWS réseau ou sur des problèmes réseau liés à vos charges de travail. 

Pour voir un exemple de configuration et d'utilisation de Network Flow Monitor, consultez le billet de blog suivant : [Visualisation des performances réseau de vos charges de travail AWS dans le cloud avec Network Flow](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/) Monitor.

# Qu’est-ce que Network Flow Monitor ?
<a name="CloudWatch-NetworkFlowMonitor-What-is-NetworkFlowMonitor"></a>

Network Flow Monitor est une fonctionnalité d'Amazon CloudWatch Network Monitoring. Network Flow Monitor utilise des agents entièrement gérés que vous installez dans vos AWS charges de travail pour obtenir des indicateurs de performance et de disponibilité concernant les flux réseau. Grâce à Network Flow Monitor, vous pouvez accéder à des métriques en temps quasi réel, notamment les retransmissions et les données transférées, pour vos charges de travail réelles. Vous pouvez également déterminer si un problème AWS réseau sous-jacent s'est produit pour les flux réseau suivis par un moniteur, en vérifiant les valeurs des indicateurs de santé du réseau (NHI). 

**Principales caractéristiques de Network Flow Monitor**
+ Avec Network Flow Monitor, vous recevez des métriques en temps quasi réel pour la latence et la perte de paquets subies par le trafic basé sur TCP au sein de votre réseau VPC, afin que vous puissiez suivre et étudier les problèmes de réseau pour le trafic de votre charge de travail. 
+ Lorsque vos AWS charges de travail subissent une dégradation du réseau, Network Flow Monitor vous aide à déterminer si le problème est dû à la charge de travail de votre application ou à l' AWS infrastructure sous-jacente. Ensuite, vous pouvez rapidement concentrer le dépannage sur la zone où le problème se produit.

**Utilisation de Network Flow Monitor**

Avec Network Flow Monitor, vous installez des agents légers sur vos instances, qui collectent et agrègent des métriques de performances. Les agents Network Flow Monitor analysent le trafic TCP, puis exportent les métriques de performance vers le dorsal du service Network Flow Monitor.

Les agents recueillent les métriques suivantes pour vos charges de travail : temps de propagation aller et retour (RTT) TCP, délais de retransmission TCP, retransmissions TCP et données (octets) transférées. Une fois que vous avez installé les agents sur vos instances, ceux-ci détectent les charges de travail correspondantes hébergées par les instances. Les agents génèrent ensuite des métriques de performance du réseau et les envoient au dorsal de Network Flow Monitor. Les métriques sont agrégées en catégories telles que les sous-réseaux, les zones de disponibilité et les AWS services. VPCs 

Les métriques de performances des principaux contributeurs (par type de métrique) de tous les flux réseau qui se trouvent dans votre portée Network Flow Monitor sont affichées dans l’onglet **Analyses des performances de la charge de travail** dans la AWS Management Console. En examinant les tableaux et les graphiques des principaux contributeurs, vous pouvez déterminer où il pourrait y avoir des déficiences que vous voulez dépanner et quelles charges de travail vous voulez surveiller de façon continue, en créant un moniteur.

Avec un moniteur, vous pouvez surveiller de plus près des charges de travail spécifiques au fil du temps et obtenir des informations détaillées sur des flux de réseau spécifiques. Outre l’affichage des métriques de performance pour les principaux contributeurs des flux réseau que vous avez sélectionnés, vous pouvez afficher des informations sur le chemin d’accès au réseau avec les sauts de réseau qu’un flux réseau a traversé, pour vous aider à résoudre les problèmes. En outre, Network Flow Monitor génère un indicateur d’état du réseau (NHI) pour les moniteurs. Une valeur NHI de **Degraded** indique qu'il y a eu des problèmes AWS réseau pour au moins un des flux réseau suivis par votre moniteur, pendant la période que vous avez sélectionnée. 

Outre l’examen des informations contenues dans les moniteurs que vous créez, nous vous recommandons de consulter régulièrement les métriques sur la page **Informations sur la charge de travail**, afin de connaître les derniers contributeurs les plus importants pour les métriques de performance de vos flux réseau. Lorsque vous consultez les dernières informations, réfléchissez à l’opportunité d’ajouter ou de supprimer des charges de travail de vos moniteurs actuels, ou de créer de nouveaux moniteurs.

**Topics**
+ [Soutenu Régions AWS](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Éléments](CloudWatch-NetworkFlowMonitor-components.md)
+ [Comment ça marche](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Tarification](CloudWatch-NetworkFlowMonitor.pricing.md)

# Compatible Régions AWS avec Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-Regions"></a>

Le Network Flow Monitor est actuellement disponible dans les versions suivantes Régions AWS :


| Nom de la région | Région | 
| --- | --- | 
| Asie-Pacifique (Mumbai) | ap-south-1 | 
| Asie-Pacifique (Osaka) | ap-northeast-3 | 
| Asie-Pacifique (Séoul) | ap-northeast-2 | 
| Asie-Pacifique (Singapour) | ap-southeast-1 | 
| Asie-Pacifique (Sydney) | ap-southeast-2 | 
| Asia Pacific (Tokyo) | ap-northeast-1 | 
| Canada (Central) | ca-central-1 | 
| Europe (Francfort) | eu-central-1 | 
| Europe (Irlande) | eu-west-1 | 
| Europe (Londres) | eu-west-2 | 
| Europe (Paris) | eu-west-3 | 
| Europe (Stockholm) | eu-north-1 | 
| Amérique du Sud (São Paulo) | sa-east-1 | 
| USA Est (Virginie du Nord) | us-east-1  | 
| USA Est (Ohio) | us-east-2 | 
| USA Ouest (Californie du Nord) | us-west-1 | 
| US West (Oregon) | us-west-2 | 

# Composants et fonctionnalités de Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-components"></a>

Network Flow Monitor utilise ou fait référence aux concepts suivants .

**Agents**  
Un *agent* dans Network Flow Monitor est une application logicielle que vous installez sur vos ressources AWS informatiques (Amazon EC2 et Amazon EKS). L’application comporte deux parties :   
+ La première partie reçoit les événements liés aux connexions TCP et est enregistrée dans le noyau Linux à l’aide d’eBPF. eBPF est la capacité étendue du filtre de paquets Berkley (eBPF) de Linux qui permet à un programme désigné de recevoir certains événements soulevés par le noyau Linux.
+ La deuxième partie regroupe les statistiques collectées par la partie eBPF. L’agent envoie les métriques agrégées au dorsal de Network Flow Monitor environ toutes les 30 secondes, avec une gigue potentielle de 5 secondes (en d’autres termes, 25 à 35 secondes).
Pour plus d'informations sur les agents, consultez [Comment ça marche](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).

**Principaux contributeurs**  
Les *principaux contributeurs* sont les flux réseau qui ont les valeurs les plus élevées pour une métrique spécifique (telle que les retransmissions) dans votre portée Network Flow Monitor ou parmi les flux réseau que vous suivez dans un moniteur. L’examen des flux présentant les chiffres les plus élevés pour les mesures des métriques de performance peut vous aider à déterminer où il pourrait y avoir des déficiences à examiner. Network Flow Monitor renvoie des métriques de performance pour les contributeurs les plus importants dans votre portée de surveillance afin d’obtenir des *informations sur la charge de travail*. En outre, si vous créez un moniteur, Network Flow Monitor renvoie les métriques de performance des principaux contributeurs pour les flux réseau que vous choisissez pour le moniteur.

**Ressources locales et distantes**  
Une *ressource locale* est l’emplacement de l’hôte, ou un emplacement de plusieurs hôtes, où un agent Network Flow Monitor est installé. Il peut s'agir d'un sous-réseau, d'un VPC, d'une zone de disponibilité, d'un cluster Amazon EKS ou d'un. Région AWS Par exemple, considérez une charge de travail qui consiste en une interaction entre un service web et une base de données dorsale, par exemple DynamoDB. Dans ce scénario, la ressource locale est le sous-réseau de l’instance EC2 hébergeant le service web, qui exécute également l’agent. Un flux réseau est généralement directionnel, bien qu’il puisse être configuré pour être bidirectionnel.   
Une *ressource distante* est l’autre extrémité d’un flux réseau. Dans cet exemple de service web avec une base de données dorsale, DynamoDB est la ressource distante. Une ressource distante peut être un sous-réseau, un VPC, une zone de disponibilité, AWS un service ou un. Région AWS Si vous spécifiez une région comme ressource distante, Network Flow Monitor mesure les performances du flux réseau jusqu’à la limite de la région. Il ne mesure pas les performances vers des points de terminaison spécifiques au sein de la région.   
Une ressource est identifiée par l’ARN de la ressource, le nom du service AWS ou, pour une zone de disponibilité ou une région, par le nom de la zone ou de la région.

**Informations sur la charge de travail**  
La page *Informations sur la charge de travail* comprend les métriques de performances renvoyées pour tous les flux réseau de votre périmètre. Dans la page **Informations sur les charges de travail AWS Management Console**, vous trouverez des données de performance sur les charges de travail pour lesquelles vous avez installé des agents Network Flow Monitor sur des instances de charge de travail. La page **Informations sur la charge de travail** offre une vue sur vos applications qui comprend la quantité de données transférées et plusieurs autres métriques, regroupées par catégories de charges de travail. Par exemple, vous pouvez consulter toutes les mesures relatives aux charges de travail comportant du trafic entre les zones de disponibilité (AZs) ou au sein d'une zone de disponibilité. En utilisant ces informations, vous pouvez sélectionner les charges de travail pour lesquelles vous voulez créer un moniteur afin de voir plus de détails et de suivre les performances du réseau de façon continue.

**Moniteurs**  
Vous créez un *moniteur* afin de pouvoir surveiller en permanence les performances du réseau pour une ou plusieurs charges de travail spécifiques et d’obtenir des informations plus détaillées sur les flux du réseau. Pour chaque moniteur, Network Flow Monitor publie des mesures de end-to-end performance et un indicateur de santé du réseau (NHI), que vous pouvez utiliser pour déterminer l'attribution des déficiences. Nous vous recommandons d’examiner les informations sur la page **Informations sur la charge de travail** pour déterminer les flux de réseau sur lesquels vous voulez vous concentrer, puis de créer un moniteur pour ces flux. Ensuite, en consultant régulièrement la page **Informations sur la charge de travail**, vous pourrez décider si vous disposez des moniteurs dont vous avez besoin ou si la création de nouveaux moniteurs serait utile.

**Indicateur d’état du réseau (NHI)**  
L'*indicateur d'état du réseau* (NHI) est une valeur binaire qui vous indique s'il y a eu des problèmes AWS réseau pour un ou plusieurs des flux réseau suivis par un moniteur, pendant une période de votre choix. Lorsque la valeur NHI est égale à 1, ou **Dégradée**, un problème de AWS réseau s'est produit pour au moins un flux réseau. Grâce à l'indicateur NHI, vous pouvez rapidement décider de concentrer les efforts de dépannage sur un problème AWS réseau ou sur des problèmes réseau liés à vos charges de travail.  
Pour de plus amples informations, veuillez consulter [Afficher les métriques du Network Flow Monitor dans CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).

**Scope**  
Dans Network Flow Monitor, la *portée* est le ou les comptes pour lesquels vous disposez d’une observabilité lorsque vous examinez les indicateurs de performance du réseau. Si vous vous connectez en tant que compte de gestion et que vous configurez AWS Organizations avec CloudWatch, vous pouvez définir votre champ d'application sur plusieurs comptes dans votre organisation (jusqu'à 100 comptes au total). Sinon, si vous vous connectez avec un utilisateur Compte AWS qui ne dispose pas d'autorisations de gestion dans Organizations, ou si vous n'avez pas configuré Organizations avec CloudWatch, Network Flow Monitor définit votre champ d'application en fonction du compte avec lequel vous êtes connecté.  
Après avoir configuré Organizations, vous pouvez modifier votre champ d'application en ajoutant ou en supprimant des comptes. Toutefois, chaque fois que vous modifiez l'étendue, Network Flow Monitor doit créer une nouvelle topologie des ressources de l'étendue. Pour de plus amples informations, veuillez consulter [Ajout de plusieurs comptes à votre portée](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).  
Network Flow Monitor génère un **ID de portée** unique pour la portée. Les requêtes de données de métriques utilisent l’ID de portée pour déterminer les ressources pour lesquelles Network Flow Monitor génère des métriques. (Vous devez installer des agents pour collecter et soumettre des données de métriques avant de pouvoir afficher les métriques de performance d’un compte avec Network Flow Monitor.)

**ID de requête**  
Network Flow Monitor génère un *ID de requête* unique pour chaque requête créée pour récupérer des données de métriques de performance, comme une requête pour les principaux contributeurs d’un moniteur. En utilisant un ID de requête avec un appel d’API dans Network Flow Monitor, vous pouvez contrôler le statut d’une requête, l’arrêter, l’exécuter à nouveau ou travailler avec la requête d’une autre manière.

**Métriques de performances**  
Network Flow Monitor collecte et calcule les *indicateurs de end-to-end performance*, notamment le temps d'aller-retour TCP (RTT), les retransmissions TCP, les délais de retransmission TCP et les octets transférés pour chaque flux relevant de votre champ d'application Network Flow Monitor. Le service regroupe ces métriques et les renvoie au backend du service. Vous pouvez afficher les principaux contributeurs par type de métrique. Lorsque vous constatez une anomalie dans Network Flow Monitor, vous pouvez également vérifier l'indicateur d'état du réseau (NHI) pour voir s'il existe un problème AWS réseau sous-jacent.  
Sachez que les données RTT peuvent être éparses, car elles ne sont pas toujours calculées.  
Vous pouvez également utiliser les CloudWatch fonctionnalités d'Amazon pour créer des tableaux de bord, des alarmes et des notifications en fonction de ces statistiques. Par exemple, vous pouvez apprendre à configurer des alarmes avec les métriques de Network Flow Monitor en consultant les informations dans [Créer des alarmes avec Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md).

# Comment ça marche
<a name="CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor"></a>

Cette section fournit des informations sur plusieurs aspects du fonctionnement de Network Flow Monitor.

**Comment les agents de Network Flow Monitor collectent les statistiques**  
Les agents de Network Flow Monitor sont installés sur des ressources AWS informatiques (Amazon EC2 et Amazon EKS), où ils collectent des indicateurs de performance et les envoient au backend de Network Flow Monitor. Les agents n’ont pas accès aux données utiles de vos connexions TCP. Les agents reçoivent uniquement ce que l’on appelle la structure « bpf\$1sock\$1ops » du noyau Linux. Cette structure fournit l’adresse IP locale et distante, le port TCP source et destination, ainsi que des compteurs et des temps d’aller-retour. Pour la liste des statistiques TCP collectées et diffusées par l’agent, consultez [Afficher les métriques du Network Flow Monitor dans CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).  
L’agent utilise l’API `Publish` de Network Flow Monitor pour envoyer des métriques au serveur dorsal de Network Flow Monitor.  
*Remarque :* Network Flow Monitor prend en charge jusqu'à environ 5 millions de flux par minute. Il s'agit d'environ 5 000 instances (nœuds Amazon EC2 et Amazon EKS) sur lesquelles l'agent NFM est installé. L'installation d'agents sur plus de 5 000 instances peut affecter les performances de surveillance jusqu'à ce que des capacités supplémentaires soient disponibles.

**Comment les flux réseau sont classés dans Network Flow Monitor**  
Network Flow Monitor classe les flux réseau en catégories en fonction de leur origine et de leur destination.

# Tarification pour Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor.pricing"></a>

Avec Network Flow Monitor, il n’y a pas de coûts initiaux ni d’engagements à long terme. La tarification de Network Flow Monitor comporte deux éléments : les ressources surveillées (agents installés et envoyant activement des données) et CloudWatch les métriques vendues. Notez que des CloudWatch prix standard vous sont également facturés pour tous les indicateurs, tableaux de bord, alarmes ou informations supplémentaires que vous créez.

Pour plus d'informations sur Network Flow Monitor et les CloudWatch tarifs Amazon, consultez la section Network Monitoring sur la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/).

# Démarrer avec Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-get-started"></a>

Pour vous aider à démarrer, cette section fournit une vue d’ensemble des étapes à suivre pour configurer Network Flow Monitor et obtenir des informations. Pour plus de détails, consultez les sections supplémentaires de ce guide sur l'initialisation de Network Flow Monitor, le déploiement d'agents et la création de moniteurs.
+ Initialisez Network Flow Monitor, pour accepter les autorisations de rôle lié à un service, créer une *portée* pour la surveillance dans Network Flow Monitor et créer une topologie initiale. Si vous souhaitez observer les performances réseau des flux réseau pour les instances de plusieurs comptes, vous devez intégrer puis ajouter les comptes à votre périmètre. AWS Organizations Pour en savoir plus, veuillez consulter la section [Initialiser Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Déployez *des agents* sur vos instances, en utilisant AWS Systems Manager ou en configurant Kubernetes, en fonction de la manière dont vos ressources sont déployées. Si vous installez des agents sur des instances EC2 VPC, assurez-vous d’activer les autorisations permettant aux agents de chaque instance d’envoyer des métriques au dorsal de Network Flow Monitor. Pour en savoir plus, veuillez consulter la section [Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents.md).
+ Examinez les métriques les plus contributives pour les flux réseau renvoyés par les agents, afin d’obtenir des *informations sur la charge de travail*. Les informations sur la charge de travail fournissent une analyse de haut niveau des performances des flux réseau dans la portée que vous surveillez.
+ En fonction des flux réseau pour lesquels vous voulez obtenir des informations détaillées, créez un ou plusieurs *moniteurs*. Pour chaque moniteur, indiquez les ressources locales et distantes entre lesquelles vous voulez surveiller les flux réseau. À l’aide d’un moniteur, vous pouvez consulter des métriques et des informations détaillées, notamment l’indicateur d’état du réseau, ainsi qu’afficher les chemins d’accès au réseau pour des flux réseau spécifiques, sur des périodes que vous sélectionnez.
+ Régulièrement : 
  + Examinez les informations sur les flux réseau dans les moniteurs que vous avez créés, afin de connaître et de dépanner les défaillances du réseau dans vos charges de travail.
  + Examinez les informations sur la charge de travail pour les flux réseau que vous surveillez, afin de déterminer si les moniteurs que vous avez créés couvrent les flux réseau les plus pertinents ou s’il serait utile de créer de nouveaux moniteurs.

# Opérations API de Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-API-operations"></a>

Le tableau suivant répertorie les opérations API de Network Flow Monitor que vous pouvez utiliser avec Network Flow Monitor. Le tableau comprend également des liens vers la documentation pertinente.


| Action | Opération API | En savoir plus | 
| --- | --- | --- | 
|  Créer un moniteur de flux.  |  Consultez [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html)   |  Consultez [Créer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)  | 
|  Générer des métriques pour une portée de ressources.  |  Consultez [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html)   |  Consultez [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Supprimer un moniteur.  |  Consultez [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html)   |  Consultez [Supprimer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)  | 
|  Supprimer une portée définie.  |  Consultez [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html)   |  Consultez [Supprimer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)  | 
|  Obtenir des informations sur un moniteur.  |  Consultez [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html)   |  Consultez [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Obtenir des données de requête pour les principaux contributeurs d’un moniteur spécifique.  |  Consultez [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html)   |  Consultez [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Interroger les principaux contributeurs d’une portée définie sur les informations sur la charge de travail.  |  Consultez [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html)   |  Consultez [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Interroger les informations sur la charge de travail sur les principaux contributeurs d’une portée spécifique.  |  Consultez [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html)   |  Consultez [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Vérifier le statut d’une requête sur les principaux contributeurs d’un moniteur pour s’assurer qu’elle a réussi avant d’examiner les résultats.  |  Consultez [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html)   |  N/A  | 
|  Vérifier le statut d’une requête sur les informations sur la charge de travail pour les principaux contributeurs afin de s’assurer qu’elle a réussi avant d’examiner les résultats.  |  Consultez [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html)   |  N/A  | 
|  Vérifier le statut d’une requête sur les informations sur la charge de travail pour les principaux contributeurs afin de s’assurer qu’elle a réussi avant d’examiner les résultats.  |  Consultez [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData)   |  N/A  | 
|  Obtenir des informations sur un compte, ou une portée, y compris le nom, l’état, les balises et les détails de la cible.  |  Consultez [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope)   |  Consultez [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Répertorier tous les moniteurs d’un compte.  |  Consultez [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors)   |  [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Répertorier toutes les portées d’un compte.  |  Consultez [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes)   |  N/A  | 
|  Répertorier toutes les balises d’une ressource spécifique.  |  Consultez [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource)   |  Consultez [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Voir les données de requête pour les principaux contributeurs d’un moniteur.  |  Consultez [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors)   |  Consultez [Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  Lancer une requête pour recueillir des informations sur la charge de travail sur les principaux contributeurs.  |  Consultez [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors)   |  Consultez [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)  | 
|  Arrêter une requête pour les principaux contributeurs d’un moniteur.  |  Consultez [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors)   |  N/A  | 
|  Arrêter une requête sur les informations sur la charge de travail pour les top contributeurs.  |  Consultez [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors)   |  N/A  | 
|  Arrêter une requête sur les informations sur la charge de travail pour les top contributeurs.  |  Consultez [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData)   |  N/A  | 
|  Ajoutez une balise à une ressource  |  Consultez [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource)   |  Consultez [Modifier un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Supprimer un balisage d’une ressource.  |  Consultez [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource)   |  Consultez [Modifier un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Mettre à jour un moniteur pour ajouter ou supprimer des ressources locales ou distantes.  |  Consultez [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor)   |  Consultez [Modifier un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)  | 
|  Modifier une portée pour ajouter ou supprimer des ressources sur lesquelles Network Flow Monitor générera des métriques.  |  Consultez [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope)   |  N/A  | 

# Exemples d’utilisation de la CLI avec Network Flow Monitor
<a name="CloudWatch-NFM-get-started-CLI"></a>

Cette section contient des exemples d'utilisation des opérations AWS Command Line Interface avec Network Flow Monitor. 

Avant de commencer, assurez-vous de vous connecter pour utiliser le AWS CLI AWS compte qui fournit l'étendue que vous souhaitez utiliser pour surveiller les flux réseau. Pour plus d’informations sur l’utilisation des actions de l’API avec Network Flow Monitor, consultez le [Guide de référence de l’API de Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).

**Topics**
+ [Création d'une surveillance](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Afficher les détails du moniteur](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Créer une portée](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Suppression d’un moniteur](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Suppression d'une portée](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Obtenir des informations sur un moniteur](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Récupérer des données sur une requête spécifique](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Voir les informations sur la portée](#CloudWatch-NFM-get-scope)
+ [Voir la liste des moniteurs d’un compte](#CloudWatch-NFM-list-monitors)
+ [Voir la liste des portées d’un compte](#CloudWatch-NFM-list-scopes)
+ [Voir la liste des balises pour un moniteur](#CloudWatch-NFM-list-tags-for-resource)
+ [Démarrage et arrêt des requêtes](#CloudWatch-NFM-query-monitors)
+ [Baliser un moniteur](#CloudWatch-NFM-tag-resource)
+ [Supprimer un balisage d’un moniteur](#CloudWatch-NFM-untag-resource)
+ [Mise à jour d’un moniteur existant](#CloudWatch-NFM-update-monitor)

## Création d'une surveillance
<a name="CloudWatch-NFM-get-started-CLI-create-monitor"></a>

Pour créer un moniteur avec le AWS CLI, utilisez la `create-monitor` commande. L’exemple suivant crée un moniteur nommé `demo` dans le compte spécifié.

```
aws networkflowmonitor create-monitor \
        --monitor-name demo \
        --local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"  \
        --scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```

Sortie :

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
        "monitorName": "demo",
        "monitorStatus": "ACTIVE",
        "tags": {}
    }
```

Pour de plus amples informations, veuillez consulter [Créer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).

## Afficher les détails du moniteur
<a name="CloudWatch-NFM-get-started-CLI-mon-details"></a>

Pour afficher les informations relatives à un moniteur doté du AWS CLI, utilisez la `get-monitor` commande.

```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```

Sortie :

```
{
    "ClientLocationType": "city",
    "CreatedAt": "2022-09-22T19:27:47Z",
    "ModifiedAt": "2022-09-22T19:28:30Z",
    "MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
    "MonitorName": "TestMonitor",
    "ProcessingStatus": "OK",
    "ProcessingStatusInfo": "The monitor is actively processing data",
    "Resources": [
        "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
    ],
    "MaxCityNetworksToMonitor": 10000,
    "Status": "ACTIVE"
}
```

## Créer une portée
<a name="CloudWatch-NFM-get-started-CLI-create-scope"></a>

L’exemple `create-scope` suivant crée une portée qui est l’ensemble des ressources pour lesquelles Network Flow Monitor générera des métriques de trafic réseau.

```
aws networkflowmonitor create-scope \
        --targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```

Sortie :

```
    {
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "IN_PROGRESS",
        "tags": {}
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Suppression d’un moniteur
<a name="CloudWatch-NFM-get-started-CLI-delete-monitor"></a>

L’exemple `delete-monitor` suivant supprime un moniteur nommé `Demo` dans votre compte.

```
aws networkflowmonitor delete-monitor \
        --monitor-name Demo
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Supprimer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).

## Suppression d'une portée
<a name="CloudWatch-NFM-get-started-CLI-delete-scope"></a>

L’exemple `delete-scope` suivant supprime la portée spécifiée.

```
aws networkflowmonitor delete-scope \
        --scope-id sample-aaaa-bbbb-cccc-44556677889
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Obtenir des informations sur un moniteur
<a name="CloudWatch-NFM-get-started-CLI-get-monitor"></a>

L’exemple `get-monitor` suivant affiche des informations sur le moniteur nommé `demo` dans le compte spécifié.

```
aws networkflowmonitor get-monitor \ 
        --monitor-name Demo
```

Sortie :

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "localResources": [
            {
                "type": "AWS::EC2::VPC",
                "identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ],
        "remoteResources": [],
        "createdAt": "2024-12-09T12:21:51.616000-06:00",
        "modifiedAt": "2024-12-09T12:21:55.412000-06:00",
        "tags": {}
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Récupérer des données sur une requête spécifique
<a name="CloudWatch-NFM-get-started-CLI-get-query-results"></a>

Les sections suivantes fournissent des exemples de commandes CLI pour récupérer les statuts des requêtes.

### get-query-results-workload-insights-top-contributors-data
<a name="get-query-results-workload-insights-top-contributors-data"></a>

L’exemple `get-query-results-workload-insights-top-contributors-data` renvoie les données de la requête spécifiée.

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Sortie :

```
{
        "datapoints": [
            {
                "timestamps": [
                    "2024-12-09T19:00:00+00:00",
                    "2024-12-09T19:05:00+00:00",
                    "2024-12-09T19:10:00+00:00"
                ],
                "values": [
                    259943.0,
                    194856.0,
                    216432.0
                ],
                "label": "use1-az6"
            }
        ],
        "unit": "Bytes"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

L’exemple `get-query-results-workload-insights-top-contributors` suivant renvoie les données pour la requête spécifiée.

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Sortie :

```
{
        "topContributors": [
            {
                "accountId": "111122223333",
                "localSubnetId": "subnet-SAMPLE1111",
                "localAz": "use1-az6",
                "localVpcId": "vpc-SAMPLE2222",
                "localRegion": "us-east-1",
                "remoteIdentifier": "",
                "value": 333333,
                "localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
                "localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ]
    }
```

### get-query-status-monitor-meilleurs contributeurs
<a name="get-query-status-monitor-top-contributors"></a>

L’exemple `get-query-status-monitor-top-contributors` suivant affiche le statut actuel de la requête dans le compte spécifié.

```
aws networkflowmonitor get-query-status-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Sortie :

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-status-workload-insights-top-contributors-data
<a name="get-query-status-workload-insights-top-contributors-data"></a>

L’exemple `get-query-status-workload-insights-top-contributors-data` suivant affiche le statut actuel de la requête dans le compte spécifié.

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Sortie :

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

L’exemple `get-query-results-workload-insights-top-contributors` suivant affiche le statut actuel de la requête dans le compte spécifié.

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Sortie :

```
{
        "status": "SUCCEEDED"
    }
```

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

## Voir les informations sur la portée
<a name="CloudWatch-NFM-get-scope"></a>

L’exemple `get-scope` suivant affiche des informations sur une portée, telles que l’état, les balises, le nom et les détails de la cible.

```
aws networkflowmonitor get-scope \
        --scope-id sample-aaaa-bbbb-cccc-11112222333
```

Sortie :

```
{
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "SUCCEEDED",
        "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
        "targets": [
            {
                "targetIdentifier": {
                    "targetId": {
                        "accountId": "111122223333"
                    },
                    "targetType": "ACCOUNT"
                },
                "region": "us-east-1"
            }
        ],
        "tags": {}
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Voir la liste des moniteurs d’un compte
<a name="CloudWatch-NFM-list-monitors"></a>

L’exemple `list-monitors` suivant renvoie tous les moniteurs du compte spécifié.

```
aws networkflowmonitor list-monitors
```

Sortie :

```
{
        "monitors": [
            {
                "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
                "monitorName": "Demo",
                "monitorStatus": "ACTIVE"
            }
        ]
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Voir la liste des portées d’un compte
<a name="CloudWatch-NFM-list-scopes"></a>

L’exemple `list-scopes` suivant donne la liste de toutes les portées du compte spécifié.

```
aws networkflowmonitor list-scopes
```

Sortie :

```
{
        "scopes": [
            {
                "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
                "status": "SUCCEEDED",
                "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
            }
        ]
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

## Voir la liste des balises pour un moniteur
<a name="CloudWatch-NFM-list-tags-for-resource"></a>

L’exemple `list-tags-for-resource` suivant renvoie toutes les balises associées à la ressource spécifiée.

```
aws networkflowmonitor list-tags-for-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```

Sortie :

```
{
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

Pour de plus amples informations, veuillez consulter [Étiquette de vos ressources Amazon CloudWatch](CloudWatch-Tagging.md).

## Démarrage et arrêt des requêtes
<a name="CloudWatch-NFM-query-monitors"></a>

Les sections suivantes fournissent des exemples de commandes CLI pour le démarrage et l’arrêt des requêtes dans Network Flow Monitor.

### start-query-monitor-top-contributeurs
<a name="start-query-monitor-top-contributors"></a>

L’exemple `start-query-monitor-top-contributors` suivant démarre la requête qui renvoie un queryId pour récupérer les principaux contributeurs.

```
aws networkflowmonitor start-query-monitor-top-contributors \
        --monitor-name Demo \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Sortie :

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### start-query-workload-insights-top-contributors-data
<a name="start-query-workload-insights-top-contributors-data"></a>

L’exemple `start-query-workload-insights-top-contributors-data` suivant démarre la requête qui renvoie un queryId pour récupérer les principaux contributeurs.

```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Sortie :

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### start-query-workload-insights-meilleurs contributeurs
<a name="start-query-workload-insights-top-contributors"></a>

L’exemple `start-query-workload-insights-top-contributors` suivant démarre la requête qui renvoie un queryId pour récupérer les principaux contributeurs.

```
aws networkflowmonitor start-query-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

Sortie :

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-monitor-top-contributeurs
<a name="stop-query-monitor-top-contributors"></a>

L’exemple `stop-query-monitor-top-contributors` suivant arrête la requête dans le compte spécifié.

```
aws networkflowmonitor stop-query-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-workload-insights-top-contributors-data
<a name="stop-query-workload-insights-top-contributors-data"></a>

L’exemple `stop-query-workload-insights-top-contributors-data` suivant arrête la requête dans le compte spécifié.

```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

### stop-query-workload-insights-meilleurs contributeurs
<a name="stop-query-workload-insights-top-contributors"></a>

L’exemple `stop-query-workload-insights-top-contributors` suivant arrête la requête dans le compte spécifié.

```
aws networkflowmonitor stop-query-workload-insights-top-contributors \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Évaluer les flux réseau avec des informations sur la charge de travail](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).

## Baliser un moniteur
<a name="CloudWatch-NFM-tag-resource"></a>

Le `tag-resource` suivant ajoute un balisage au moniteur dans le compte spécifié.

```
aws networkflowmonitor tag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tags Key=stack,Value=Production
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Étiquette de vos ressources Amazon CloudWatch](CloudWatch-Tagging.md).

## Supprimer un balisage d’un moniteur
<a name="CloudWatch-NFM-untag-resource"></a>

L’exemple `untag-resource` suivant supprime un balisage du moniteur dans le compte spécifié.

```
aws networkflowmonitor untag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tag-keys stack
```

Cette commande ne produit aucune sortie.

Pour de plus amples informations, veuillez consulter [Étiquette de vos ressources Amazon CloudWatch](CloudWatch-Tagging.md).

## Mise à jour d’un moniteur existant
<a name="CloudWatch-NFM-update-monitor"></a>

L’exemple `update-monitor` suivant met à jour le moniteur nommé ``Demo`` dans le compte spécifié.

```
aws networkflowmonitor update-monitor \
        --monitor-name Demo \
        --local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```

Sortie :

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

Pour de plus amples informations, veuillez consulter [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).

# Collaborez avec EKS
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks"></a>

À l'aide de Network Flow Monitor, vous pouvez collecter des mesures de performance pour les charges de travail qui utilisent Amazon Elastic Kubernetes Service (Amazon EKS). Ce chapitre explique comment installer l'agent step-by-step et décrit les différents scénarios EKS que vous pouvez surveiller. Vous trouverez également des descriptions détaillées des métadonnées fournies par Network Flow Monitor pour Amazon EKS dans la console afin de vous aider à comprendre les performances du réseau.

Pour bénéficier des avantages de la surveillance des performances de Network Flow Monitor, vous devez d'abord installer le module complémentaire AWS Network Flow Monitor Agent pour Amazon EKS. Pour de plus amples informations, veuillez consulter [Installation du module complémentaire EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md). 

Si vous souhaitez surveiller un seul cluster EKS avec une meilleure visibilité du trafic de charge de travail et des informations sur les performances au sein du cluster et avec des destinations externes, consultez [Amazon EKS Network Observability](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).

**Topics**
+ [Installation du module complémentaire EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Métadonnées de chemin réseau supplémentaires incluses pour Amazon EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)

# Installation du module complémentaire EKS AWS Network Flow Monitor Agent
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks"></a>

Suivez les étapes décrites dans cette section pour installer le module complémentaire AWS Network Flow Monitor Agent pour Amazon Elastic Kubernetes Service (Amazon EKS), afin d'envoyer les métriques Network Flow Monitor au backend Network Flow Monitor à partir de clusters Kubernetes. Une fois les étapes terminées, les pods de l'agent AWS Network Flow Monitor s'exécuteront sur tous les nœuds de votre cluster Kubernetes.

Si vous utilisez des clusters Kubernetes autogérés, les étapes d’installation à suivre se trouvent dans la section précédente : [Installer des agents pour les instances Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md). 

Notez que les listes de préfixes gérées par le client [Listes de préfixes gérées par le client](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) ne sont pas prises en charge pour Network Flow Monitor.

Vous pouvez installer le module complémentaire en utilisant la console ou en utilisant les commandes API avec l’ AWS Command Line Interface.

**Topics**
+ [Conditions préalables à l’installation du module complémentaire](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Installer le module complémentaire à l’aide de la console](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Installation du module complémentaire à l’aide de la CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Configuration pour des outils tiers](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)

## Conditions préalables à l’installation du module complémentaire
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq"></a>

Que vous utilisiez la console ou la CLI pour installer le module complémentaire AWS Network Flow Monitor Agent, plusieurs conditions sont requises pour installer le module complémentaire avec Kubernetes.

**Assurez-vous que votre version de Kubernetes est prise en charge**  
L’installation de l’agent Network Flow Monitor nécessite la version 1.25 de Kubernetes ou une version plus récente.

**Installation du module complémentaire Agent de l’identité du pod Amazon EKS**  
Vous pouvez installer le module complémentaire Agent de l’identité du pod Amazon EKS dans la console ou à l’aide de la CLI.   
Les associations de l’identité du pod Amazon EKS offrent une capacité de gestion des informations d’identification à utiliser pour les applications, de la même façon que les profils d’instance Amazon EC2 fournissent des informations d’identification aux instances EC2. L’identité du pod Amazon EKS fournit des informations d’identification à vos charges de travail avec une API d’authentification Amazon EKS supplémentaire et un pod d’agent qui s’exécute sur chaque nœud.  
Pour en savoir plus et voir les étapes d’installation du module complémentaire Identité du pod Amazon EKS, reportez-vous à la section [Configurer l’agent Identité du pod Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) dans le Guide de l’utilisateur d’Amazon EKS.

## Installez le module complémentaire AWS Network Flow Monitor Agent à l'aide de la console
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console"></a>

Suivez les étapes décrites dans cette section pour installer et configurer le module complémentaire AWS Network Flow Monitor Agent dans la console Amazon EKS.

Si vous avez déjà installé le module complémentaire et que vous rencontrez des problèmes pour mettre à niveau vers une nouvelle version, consultez [Résolution des problèmes d’installation des agents EKS](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation).

Avant de commencer, assurez-vous que vous avez installé le module complémentaire Agent de l’identité du pod Amazon EKS. Pour de plus amples informations, consultez[ précédente](#NFMPodIdentity).

**Pour installer le module complémentaire à l’aide de la console**

1. Dans le AWS Management Console, accédez à la console Amazon EKS.

1. Sur la page d’installation des modules complémentaires, dans la liste des modules complémentaires, choisissez **Agent AWS Network Flow Monitor**.

1. Configurez les paramètres du module complémentaire.

   1. Pour **Accès du module complémentaire**, choisissez **Identité du pod EKS**.

   1. Pour que le rôle IAM soit utilisé avec le module complémentaire, utilisez un rôle auquel est attachée la politique AWS gérée suivante : [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Cette politique donne l’autorisation à un agent d’envoyer des rapports de télémétrie au point de terminaison Network Flow Monitor. Si vous ne disposez pas déjà d’un rôle auquel la politique est attachée, créez un rôle en sélectionnant **Créer un rôle recommandé** et en suivant les étapes dans la console IAM.

   1. Choisissez **Suivant**.

1. Sur la page **Examiner et ajouter**, assurez-vous que la configuration du module complémentaire semble correcte, puis sélectionnez **Créer**.

## Installez le module complémentaire AWS Network Flow Monitor Agent à l'aide du AWS Command Line Interface
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli"></a>

Suivez les étapes décrites dans cette section pour installer le module complémentaire AWS Network Flow Monitor Agent pour Amazon EKS à l'aide du AWS Command Line Interface.

**1. Installer le module complémentaire Identité du pod EKS**  
Avant de commencer, assurez-vous que vous avez installé le module complémentaire Agent de l’identité du pod Amazon EKS. Pour plus d’informations, consultez[ précédente](#NFMPodIdentity).

**2. Créez le rôle &IAM requis**  
Le module complémentaire AWS Network Flow Monitor Agent doit être autorisé à envoyer des métriques au backend de Network Flow Monitor. Vous devez attacher un rôle avec les autorisations requises lorsque vous créez le module complémentaire. Créez un rôle auquel est attachée la politique AWS gérée suivante : [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Vous avez besoin de l’ARN de ce rôle IAM pour installer le module complémentaire.

**3. Installation du module complémentaire AWS Network Flow Monitor Agent**  
Pour installer le module complémentaire AWS Network Flow Monitor Agent pour votre cluster, exécutez la commande suivante :  
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`  
Le résultat devrait être similaire à ce qui suit :  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "CREATING",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

**4. Assurez-vous que le module complémentaire est actif**  
Vérifiez le module complémentaire AWS Network Flow Monitor Agent installé pour vous assurer qu'il est actif pour votre cluster. Exécutez la commande suivante pour vérifier que le statut est `ACTIVE` :  
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`  
Le résultat devrait être similaire à ce qui suit :  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

# Configurer le module complémentaire pour les outils de surveillance tiers
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party"></a>

Vous pouvez configurer le module complémentaire Network Flow Monitor pour exposer un OpenMetrics serveur lors de l'installation. Cela permet l'intégration avec des outils de surveillance tiers tels que Prometheus, ce qui vous permet de collecter et d'analyser les mesures de débit du réseau parallèlement à votre infrastructure de surveillance existante. [En savoir plus sur OpenMetrics](https://openmetrics.io/). Cette fonctionnalité est disponible à partir de la version complémentaire v1.1.0.

Pour activer le OpenMetrics serveur, ajoutez OPEN\$1METRICS\$1ADDRESS, OPEN\$1METRICS\$1ADDRESS et OPEN\$1METRICS\$1PORT aux valeurs de configuration du module complémentaire EKS Network Flow Monitor. Ce guide explique comment procéder à l'aide de la CLI et de la console. Consultez la section [Configuration avancée des modules complémentaires Amazon EKS](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/) pour plus de détails sur l'ajout de valeurs de configuration.

## Configuration de la CLI
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-cli"></a>

Lors de l'utilisation AWS Command Line Interface, vous pouvez fournir les valeurs de configuration en tant que paramètre :

```
aws eks create-addon \
  --cluster-name my-cluster-name \
  --addon-name aws-network-flow-monitoring-agent \
  --addon-version v1.1.0-eksbuild.1 \
  --configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```

## Configuration de la console
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-console"></a>

Lorsque vous utilisez la console Amazon EKS, ces valeurs peuvent être ajoutées sous Paramètres de configuration facultatifs, dans le cadre des valeurs de configuration.

**Exemple de JSON :**

```
{
    "env": {
        "OPEN_METRICS": "on",
        "OPEN_METRICS_ADDRESS": "0.0.0.0",
        "OPEN_METRICS_PORT": 9109
    }
}
```

**Exemple de YAML :**

```
env:
  OPEN_METRICS: "on"
  OPEN_METRICS_ADDRESS: "0.0.0.0"
  OPEN_METRICS_PORT: 9109
```

## OpenMetric Paramètres complémentaires du moniteur de flux réseau EKS
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-parameters"></a>
+ **OPEN\$1METRICS :**
  + Activez ou désactivez les métriques ouvertes. Désactivé s'il n'est pas fourni
  + Type : Chaîne
  + Valeurs : ["activé », « désactivé"]
+ **ADRESSE DES MÉTRIQUES OUVERTES :**
  + Adresse IP d'écoute pour le point de terminaison Open Metrics. La valeur par défaut est 127.0.0.1 s'il n'est pas fourni
  + Type : Chaîne
+ **PORT DE MÉTRIQUES OUVERT :**
  + Port d'écoute pour le point de terminaison Open Metrics. La valeur par défaut est 80 s'il n'est pas fourni
  + Type : Integer
  + Gamme : [0,65535]

**Important :** lorsque vous définissez OPEN\$1METRICS\$1ADDRESS sur 0.0.0.0, le point de terminaison des métriques sera accessible depuis n'importe quelle interface réseau. Envisagez d'utiliser 127.0.0.1 pour l'accès local uniquement ou de mettre en œuvre des contrôles de sécurité réseau appropriés pour restreindre l'accès aux seuls systèmes de surveillance autorisés.

## Résolution des problèmes
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting"></a>

Si vous rencontrez des problèmes liés à la configuration OpenMetrics du serveur, utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants.

### Les métriques ne s'affichent pas
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-not-displaying"></a>

Problème : le OpenMetrics serveur est configuré, mais les métriques n'apparaissent pas dans votre outil de surveillance.

Étapes de résolution des problèmes :

1. Vérifiez que le OpenMetrics serveur est activé dans la configuration de votre module complémentaire :
   + Vérifiez que OPEN\$1METRICS est défini sur « on » dans vos valeurs de configuration. Voir [describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html).
   + Vérifiez que la version du module complémentaire est v1.1.0 ou ultérieure dans les *paramètres Configurer les modules complémentaires sélectionnés*.

1. Testez directement le point de terminaison des métriques :
   + Accédez aux métriques sur http ://*pod-ip:port*/metrics (remplacez pod-ip par l'adresse IP réelle du pod et le port par le port que vous avez configuré).
   + Si vous ne pouvez pas accéder au point de terminaison, vérifiez la configuration de votre réseau et les paramètres du groupe de sécurité.

1. Validez la configuration de votre outil de surveillance. Consultez le guide de l'utilisateur de vos outils de surveillance pour savoir comment effectuer les opérations suivantes :
   + Assurez-vous que votre outil de surveillance (tel que Prometheus) est configuré pour sélectionner le bon point de terminaison.
   + Vérifiez que les paramètres d'intervalle de capture et de délai d'expiration sont appropriés.
   + Vérifiez que votre outil de surveillance dispose d'un accès réseau à l'adresse IP du pod.

### Métriques manquantes dans des pods spécifiques
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-missing-pods"></a>

Problème : les métriques sont disponibles dans certains modules, mais pas dans d'autres de votre cluster.

Étapes de résolution des problèmes :

Le module complémentaire Network Flow Monitor ne prend pas en charge les pods qui utilisent HostNetwork : true. Si les spécifications de votre pod incluent ce paramètre, les métriques ne seront pas disponibles pour ces pods.

Solution : supprimez le paramètre HostNetwork : true de la spécification de votre pod si possible. Si vous avez besoin d'un réseau hôte pour votre application, envisagez d'utiliser d'autres approches de surveillance pour ces pods spécifiques.

### Erreurs de connexion refusées
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-connection-refused"></a>

Problème : vous recevez des messages d'erreur « connexion refusée » lorsque vous essayez d'accéder au point de terminaison des métriques.

Étapes de résolution des problèmes :

1. Vérifiez la configuration OPEN\$1METRICS\$1ADDRESS :
   + S'il est défini sur 127.0.0.1, le point de terminaison n'est accessible que depuis le pod.
   + S'il est défini sur 0.0.0.0, le point de terminaison doit être accessible depuis les autres pods du cluster.
   + Assurez-vous que votre outil de surveillance peut atteindre l'adresse configurée.

1. Vérifiez la configuration OPEN\$1METRICS\$1PORT :
   + Vérifiez que le numéro de port n'est pas déjà utilisé par un autre service.
   + Assurez-vous que le port se trouve dans la plage valide (1-65535).
   + Vérifiez que les groupes de sécurité ou les politiques réseau autorisent le trafic sur ce port.

### Étapes de vérification
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-verification"></a>

Pour vérifier que votre OpenMetrics configuration fonctionne correctement, procédez comme suit :

1. Vérifiez l'état du module complémentaire :

   ```
   aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
   ```

1. Vérifiez l'état du pod :

   ```
   kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
   ```

1. Testez le point de terminaison des métriques depuis le cluster :

   ```
   kubectl exec add-on-pod-name -- curl localhost:9109/metrics
   ```

   Remplacez 9109 par le numéro de port que vous avez configuré et le nom du module par un nom de AddOn module.

# Métadonnées de chemin réseau supplémentaires incluses pour Amazon EKS
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata"></a>

Lorsque Network Flow Monitor collecte des mesures de performance pour les flux réseau entre les composants Amazon EKS, il inclut des informations de métadonnées supplémentaires sur le chemin réseau, afin de vous aider à mieux comprendre les performances des chemins réseau pour votre charge de travail.

Vous pouvez consulter des informations détaillées sur les performances des flux réseau Amazon EKS en créant un moniteur pour les flux réseau qui vous intéressent, puis en consultant les détails dans l'onglet **Explorateur historique**.

Avec Network Flow Monitor, vous pouvez mesurer les performances du réseau entre les composants Amazon EKS suivants, afin de mieux comprendre les performances de votre charge de travail avec votre configuration Amazon EKS et de déterminer les points faibles ou problématiques.
+ Pod à pod sur le même nœud
+ Nœud à nœud sur le même cluster
+ Pod à pod sur un autre cluster
+ Nœud à nœud sur différents clusters
+ Avec et sans Network Load Balancer

Le tableau suivant répertorie les informations renvoyées par Network Flow Monitor pour chaque scénario de flux réseau.


| **Informations de connexion** | **Informations sur les métadonnées** |  | **Locale** | **télécommande** | **Scénario** | **Initié par** | **Locale** | **télécommande** | **Nom du pod** | **Service** | **Namespace** | **Nom du pod** | **Service** | **Namespace** | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Module local se connectant à l'adresse IP du cluster d'un autre service de cluster interne | Local | Adresse IP du pod local | Adresse IP du module distant (via l'adresse IP du cluster) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ | 
| Module local dans un espace de noms réseau de nœuds se connectant à l'adresse IP du cluster d'un autre service de cluster interne | Local | Adresse IP du nœud local | Adresse IP du module distant (via l'adresse IP du cluster) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ | 
| Connexion d'un pod local à l'adresse IP individuelle d'un autre pod (service headless) | Local | Adresse IP du pod local | Adresse IP du module distant | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Connexion d'un pod local à l'adresse IP individuelle d'un autre pod dans l'espace de noms du réseau de nœuds (service headless) | Local | Adresse IP du pod local | Adresse IP du nœud distant | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Connexion du pod local au pod distant d'un autre cluster | Local | Adresse IP du pod local | Adresse IP du module distant (autre cluster) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| Module local se connectant à une adresse réseau externe | Local | Adresse IP du pod local | Adresse IP externe | ✓ | ✓ | ✓ | N/A | N/A | N/A | 
| Module local fonctionnant dans un espace de noms réseau de nœuds se connectant à une adresse IP réseau externe | Local | Adresse IP du nœud local | Adresse IP externe | ✓ ² | ✓ ² | ✓ ² | N/A | N/A | N/A | 
| Connexion du module distant au module local via l'adresse IP du cluster | télécommande | Adresse IP du pod local (via l'adresse IP du cluster) | Adresse IP du module distant | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Module distant dans un espace de noms réseau de nœuds se connectant au module local | télécommande | Adresse IP du pod local (via l'adresse IP du cluster) | Adresse IP du nœud distant | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ | 
| Connexion du module distant au module local (service sans fil) | télécommande | Adresse IP du pod local | Adresse IP du module distant | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| Pod externe connecté à un pod local | télécommande | Adresse IP du pod local | Adresse IP du module distant | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| Ressource externe se connectant via NodePort un Load Balancer à un pod local | télécommande | Adresse IP du pod local | Adresse IP externe ⁴ | ✓ | ✓ | ✓ | N/A | N/A | N/A | 
| Ressource externe se connectant via NodePort un Load Balancer à un pod local fonctionnant dans un espace de noms réseau de nœuds | télécommande | Adresse IP du nœud local | Adresse IP externe ⁴ | ✓ | ✓ | ✓ | N/A | N/A | N/A | 

Tenez compte des informations supplémentaires suivantes correspondant aux éléments marqués de notes de bas de page dans le tableau précédent.

1. Le nom du pod n'est pas visible dans ce scénario pour les pods appartenant à d'autres propriétaires, tels qu'un service Kubernetes géré par le plan de contrôle EKS.

1. Le nom, le service et l'espace de noms du pod local ne sont pas résolus si d'autres pods sont présents dans l'espace de noms du réseau de nœuds.

1. Le nom, le service et l'espace de noms du module distant ne sont pas résolus si d'autres modules sont présents dans l'espace de noms du réseau de nœuds.

1. Si le service utilise NodePort ou est LoadBalancer en mode instance et `ExternalTrafficPolicy` qu'il est défini sur`Cluster`, cette adresse IP sera signalée comme étant l'adresse IP du nœud qui reçoit la NodePort connexion.

# Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées
<a name="CloudWatch-NetworkFlowMonitor-agents"></a>

Pour fournir des mesures de performance pour les flux réseau dans vos AWS charges de travail, Network Flow Monitor s'appuie sur les *agents* que vous installez, qui envoient les métriques à Network Flow Monitor. Vous installez les agents Network Flow Monitor sur vos instances, puis vous définissez les autorisations correctes pour les agents afin qu’ils puissent envoyer des métriques au dorsal de Network Flow Monitor.

Un agent est une application logicielle légère que vous installez sur vos ressources, telles que vos instances EC2 VPC. Les agents envoient des métriques de performance au dorsal de Network Flow Monitor de manière continue. Vous pouvez ensuite consulter les métriques sur la page **Informations sur la charge de travail** dans la console Network Flow Monitor. Vous pouvez également suivre les métriques détaillées d’un flux réseau spécifique, ou d’un ensemble de flux, en créant un moniteur.

Les étapes à suivre pour déployer des agents dans vos instances dépendent du type d'instance : instances Amazon EKS Kubernetes, instances VPC EC2 ou instances Kubernetes autogérées (non EKS).
+ Pour plus d'informations sur l'utilisation d'Amazon EKS, notamment sur l'installation d'agents sur EKS, consultez[Collaborez avec EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Pour plus d'informations sur l'installation d'agents sur des instances VPC EC2 et des instances Kubernetes autogérées, consultez les sections de ce chapitre.

Vous pouvez établir une connexion privée entre votre VPC et les agents Network Flow Monitor en utilisant. AWS PrivateLink Pour de plus amples informations, veuillez consulter [Utilisation CloudWatch, CloudWatch synthetics et surveillance du réseau avec des points de CloudWatch terminaison VPC d'interface](cloudwatch-and-interface-VPC.md).

**Topics**
+ [Versions Linux prises en charge pour les agents Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Installer et gérer des agents pour les instances EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Installer des agents pour les instances Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)

# Versions Linux prises en charge pour les agents Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-agents-versions"></a>

Les instances sur lesquelles vous installez des agents doivent exécuter des versions et des distributions de Linux prises en charge. Network Flow Monitor prend en charge les agents fonctionnant uniquement sous Linux, et la version du noyau Linux doit être 5.8 ou ultérieure. Les distributions Linux suivantes sont prises en charge. Notez que les agents sont testés pour fonctionner sur les dernières versions de ces distributions.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ Distributions Debian pour x86 et aarch64

# Installer et gérer des agents pour les instances EC2
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2"></a>

Suivez les étapes de cette section pour installer des agents Network Flow Monitor pour les charges de travail sur les instances Amazon EC2. Vous pouvez installer des agents en utilisant SSM ou en téléchargeant et en installant des packages préconstruits pour l’agent Network Flow Monitor à l’aide de la ligne de commande.

Quelle que soit la méthode utilisée pour installer les agents sur les instances EC2, vous devez configurer les autorisations pour les agents afin de leur permettre d’envoyer des métriques de performance au dorsal de Network Flow Monitor.

**Topics**
+ [Configuration des autorisations pour les agents](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agents pour des instances EC2 avec SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Télécharger et installer l’agent](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)

# Configuration des autorisations pour les agents
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-permissions"></a>

Pour permettre aux agents d’envoyer des métriques au dorsal d’ingestion de Network Flow Monitor, les instances EC2 dans lesquelles les agents s’exécutent doivent utiliser un rôle auquel est attachée une stratégie avec les autorisations correctes. Pour fournir les autorisations requises, utilisez un rôle auquel est attachée la politique AWS gérée suivante : [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Attachez cette politique aux rôles IAM des instances EC2 où vous prévoyez d’installer les agents Network Flow Monitor.

Nous vous recommandons d’ajouter les autorisations avant d’installer les agents sur les instances EC2. Vous pouvez choisir d’attendre après l’installation des agents, mais ces derniers ne pourront pas envoyer de métriques au service tant que les autorisations ne seront pas en place.

**Pour ajouter des autorisations pour les agents Network Flow Monitor**

1. Dans la console Amazon EC2 AWS Management Console, localisez les instances EC2 sur lesquelles vous prévoyez d'installer les agents Network Flow Monitor.

1. Attachez le rôle [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)au rôle IAM pour chaque instance.

   Si une instance n’a pas de rôle IAM attaché, choisissez un rôle en procédant comme suit :

   1. Sous **Actions**, choisissez **Sécurité**.

   1. Sélectionnez **Modifier le rôle IAM** ou créez un nouveau rôle en sélectionnant **Créer un nouveau rôle IAM**.

   1. Choisissez un rôle pour l'instance et attachez la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)politique.

# Installer des agents sur des instances EC2 avec SSM
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm"></a>

Les agents Network Flow Monitor fournissent des métriques de performance sur les flux réseau. Suivez les étapes décrites dans cette section pour installer et utiliser les agents Network Flow Monitor sur les instances EC2, en utilisant AWS Systems Manager. Si vous utilisez Kubernetes, passez aux sections suivantes pour obtenir des informations sur l’installation d’agents avec des clusters Amazon EKS ou des clusters Kubernetes autogérés.

Network Flow Monitor fournit un package de distributeur que vous pouvez utiliser dans Systems Manager pour installer ou désinstaller des agents. En outre, Network Flow Monitor fournit un document pour activer ou désactiver les agents, en utilisant la commande Type de document. Utilisez les procédures standard de Systems Manager pour utiliser le package et le document, ou suivez les étapes fournies ici pour obtenir des conseils détaillés.

Pour plus d’informations générales sur l’utilisation de Systems Manager, consultez la documentation suivante :
+ [AWS Systems Manager Exécuter la commande](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)

Effectuez les étapes des sections suivantes pour configurer les autorisations, installer et travailler avec les agents Network Flow Monitor.

**Table des matières**
+ [Installer ou désinstaller des agents](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Activer ou désactiver des agents](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)

## Installer ou désinstaller des agents à l’aide de Systems Manager
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install"></a>

Network Flow Monitor fournit un package de distribution vous AWS Systems Manager permettant d'installer les agents Network Flow Monitor : **AmazonCloudWatchNetworkFlowMonitorAgent**. Pour accéder au package et l’exécuter afin d’installer des agents, suivez les étapes fournies ici. 

**Pour installer des agents dans des instances EC2**

1. Dans AWS Management Console, dans AWS Systems Manager, sous **Node Tools**, choisissez **Distributor**.

1. Sous **Owned by Amazon**, recherchez le package Network Flow Monitor **AmazonCloudWatchNetworkFlowMonitorAgent**, puis sélectionnez-le.

1. Dans le flux **Exécuter la commande**, choisissez **Installer une fois** ou **Installer selon un calendrier**.

1. Dans la section **Sélection de la cible**, choisissez comment vous voulez sélectionner vos instances EC2 pour y installer des agents. Vous pouvez sélectionner des instances en fonction de balises, choisir des instances manuellement ou baser le choix sur des groupes de ressources. 

1. Dans la section **Paramètres de commande**, sous **Action**, choisissez **Installer**.

1. Faites défiler l’écran vers le bas, si nécessaire, puis choisissez **Exécuter** pour lancer l’installation.

Si l’installation est réussie et que les instances disposent d’autorisations pour accéder aux points de terminaison Network Flow Monitor, l’agent commencera à collecter des métriques et à envoyer des rapports au dorsal de Network Flow Monitor. 

Les agents actifs (qui envoient des données de métriques) sont facturés. Pour plus d'informations sur Network Flow Monitor et les CloudWatch tarifs Amazon, consultez la section Network Monitoring sur la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/). Si vous n’avez pas besoin temporairement de données de métriques, vous pouvez désactiver un agent. Pour plus d’informations, consultez [Activer ou désactiver des agents](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Si vous n’avez plus besoin des agents Network Flow Monitor, vous pouvez les désinstaller des instances EC2.

**Pour désinstaller les agents des instances EC2**

1. Dans AWS Management Console, dans AWS Systems Manager, sous **Node Tools**, choisissez **Distributor**.

1. Sous **Owned by Amazon**, recherchez le package Network Flow Monitor **AmazonCloudWatchNetworkFlowMonitorAgent**, puis sélectionnez-le.

1. Dans la section **Paramètres de commande**, sous **Action**, choisissez **Désinstaller**.

1. Sélectionnez les instances EC2 dont vous souhaitez désinstaller les agents. 

1. Faites défiler l’écran vers le bas, si nécessaire, puis choisissez **Exécuter** pour lancer l’installation.

## Activer ou désactiver des agents à l’aide de Systems Manager
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-manage"></a>

Après avoir installé un agent Network Flow Monitor avec SSM, vous devez l’activer pour recevoir des métriques de flux réseau de l’instance où il est installé. Les agents actifs (qui envoient des données de métriques) sont facturés. Pour plus d'informations sur Network Flow Monitor et les CloudWatch tarifs Amazon, consultez la section Network Monitoring sur la page de [ CloudWatch tarification d'Amazon](https://aws.amazon.com//cloudwatch/pricing/). Si vous n’avez pas besoin temporairement de données de métriques, vous pouvez désactiver un agent pour éviter la facturation continue de l’agent.

Network Flow Monitor fournit un document dans AWS Systems Manager lequel vous pouvez utiliser les agents d'activation ou de désactivation que vous avez installés sur vos instances EC2. En exécutant ce document pour gérer les agents, vous pouvez les activer pour commencer à recevoir des métriques de performance. Ou, vous pouvez les désactiver pour arrêter temporairement l’envoi de métriques, sans désinstaller les agents.

**Le document dans SSM que vous pouvez utiliser pour activer ou désactiver des agents s'appelle AmazonCloudWatch -. NetworkFlowMonitorManageAgent** Pour accéder au document et l’exécuter, suivez les étapes de la procédure. 

**Pour activer ou désactiver les agents Network Flow Monitor**

1. Dans AWS Management Console, dans AWS Systems Manager, sous **Outils de gestion des modifications**, sélectionnez **Documents**.

1. Sous **Owned by Amazon**, recherchez le document Network Flow Monitor, **AmazonCloudWatch- NetworkFlowMonitorManageAgent**, et sélectionnez le document.

1. Dans la section **Sélection de la cible**, choisissez comment vous voulez sélectionner vos instances EC2 pour y installer des agents. Vous pouvez sélectionner des instances en fonction de balises, choisir des instances manuellement ou baser le choix sur des groupes de ressources. 

1. Dans la section **Paramètres de commande**, sous **Action**, choisissez **Activer** ou **Désactiver**, en fonction de l’action que vous voulez entreprendre pour les agents.

1. Faites défiler l’écran vers le bas, si nécessaire, puis choisissez **Exécuter** pour lancer l’installation.

# Télécharger des packages préconstruits de l’agent Network Flow Monitor à l’aide de la ligne de commande
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline"></a>

Vous pouvez utiliser la ligne de commande pour installer l’agent Network Flow Monitor en tant que package dans Amazon Linux 2023, ou télécharger et installer des packages préconstruits de l’agent Network Flow Monitor.

Avant ou après avoir téléchargé un package préconstruit, vous pouvez vérifier la signature du package. Pour plus d’informations, consultez [Vérifier la signature du package de l’agent Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).

Choisissez l’une des instructions suivantes, en fonction du système d’exploitation Linux que vous utilisez et du type d’installation que vous voulez.

**Amazon Linux AMIs**  
L’agent Network Flow Monitor est disponible sous forme de package dans Amazon Linux 2023. Si vous utilisez ce système d’exploitation, vous pouvez installer le package en saisissant la commande suivante :   
`sudo yum install network-flow-monitor-agent`  
Vous devez également vous assurer que la [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy)politique est attachée au rôle IAM attaché à l'instance. Pour plus d’informations, consultez [Configurer les autorisations pour les agents](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).

**Amazon Linux 2023**  
Installez le package pour votre architecture en utilisant l’une des commandes suivantes :  
+ **x86\$164** : `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm` 
+ **ARM64 (Graviton)** : `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm` 
Vérifiez que l’agent Network Flow Monitor est installé en exécutant la commande suivante et en vérifiant que la réponse indique que l’agent est activé et actif :  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

**Distributions basées sur DEB (Debian, Ubuntu)**  
Installez le package pour votre architecture en utilisant l’une des commandes suivantes :  
+ **x86\$164** : `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb` 
+ **ARM64 (Graviton)** : `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb` 
Installez le package à l'aide de la commande suivante : `$ sudo apt-get install ./network-flow-monitor-agent.deb`  
Vérifiez que l’agent Network Flow Monitor est installé en exécutant la commande suivante et en vérifiant que la réponse indique que l’agent est activé et actif :  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

## Vérifiez la signature du package de l’agent Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig"></a>

Les packages d’installation rpm et deb de l’agent Network Flow Monitor pour les instances Linux sont signés de manière cryptographique. Vous pouvez utiliser une clé publique pour vérifier que le package de l'agent est l'archive originale non modifiée. Si les fichiers sont endommagés ou ont été modifiés, la vérification échoue. Vous pouvez vérifier la signature du package d'installation avec RPM ou GPG. Les informations suivantes concernent les versions 0.1.3 ou ultérieures de l’agent Network Flow Monitor. 

Pour trouver le fichier de signature correct pour chaque architecture et système d’exploitation, utilisez le tableau suivant.


| Architecture | Plateforme | Lien de téléchargement | Lien de fichier SIGNATURE | 
| --- | --- | --- | --- | 
|  x86-64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/.rpm network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/.rpm .sig network-flow-monitor-agent  | 
|  ARM64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/.rpm network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/.rpm .sig network-flow-monitor-agent  | 
|  x86-64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ .deb network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/ .deb.sig network-flow-monitor-agent  | 
|  ARM64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/.deb network-flow-monitor-agent  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/.deb.sig network-flow-monitor-agent  | 

Suivez les étapes ci-dessous pour vérifier la signature de l’agent Network Flow Monitor.

**Pour vérifier la signature de l’agent Network Flow Monitor pour le package Amazon S3**

1. Installez GnuPG afin de pouvoir exécuter la commande gpg. GnuPG est nécessaire pour vérifier l’authenticité et l’intégrité d’un agent Network Flow Monitor téléchargé pour un package Amazon S3. GnuPG est installé par défaut sur Amazon Linux Amazon Machine Images (). AMIs

1. Copiez la clé publique suivante et enregistrez-la dans un fichier appelé `nfm-agent.gpg`.

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. Importez la clé publique dans votre trousseau de clés et notez la valeur renvoyée.

   ```
   PS>  rpm --import nfm-agent.gpg
   gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
   gpg: Total number processed: 1
   gpg: imported: 1 (RSA: 1)
   ```

   Notez la valeur de la clé, car vous en aurez besoin lors de l'étape suivante. Dans cet exemple, la valeur de la clé est `3B789C72`.

1. Vérifiez l'empreinte digitale en exécutant la commande suivante. Assurez-vous de remplacer *key-value* par la valeur de l'étape précédente. Nous vous recommandons d'utiliser GPG pour vérifier l'empreinte digitale, même si vous utilisez RPM pour vérifier le package d'installation.

   ```
   PS>  gpg --fingerprint key-value
   pub   rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
         7673 6CA9 97AD D3E9 D277  26A8 EFBD A4CC BC95 FAD1
   uid   Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>
   ```

   La chaîne d'empreinte digitale doit être égale à ce qui suit :

   `7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`

   Si la chaîne d'empreintes ne correspond pas, n'installez pas l'agent. Contactez Amazon Web Services.

   Après avoir vérifié l’empreinte digitale, vous pouvez l’utiliser pour vérifier la signature du package de l’agent Network Flow Monitor.

1. Téléchargez le fichier de signature du package, si vous ne l’avez pas encore fait, en fonction de l’architecture et du système d’exploitation de votre instance.

1. Vérifiez la signature du package d'installation. Veillez à remplacer `signature-filename` et `agent-download-filename` par les valeurs que vous avez spécifiées lorsque vous avez téléchargé le fichier de signature et l’agent, comme indiqué dans le tableau plus haut dans cette rubrique.

   ```
   PS> gpg --verify sig-filename agent-download-filename
   gpg: Signature made Tue Apr  8 00:40:02 2025 UTC
   gpg:                using RSA key 77777777EXAMPLEKEY
   gpg:                issuer "network-flow-monitor-agent@amazon.com"
   gpg: Good signature from "Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>" [unknown]
   gpg: WARNING: Using untrusted key!
   ```

   Si la sortie comprend la phrase `BAD signature`, vérifiez que vous avez exécuté la procédure correctement. Si vous continuez à obtenir cette réponse, contactez [AWS Support](https://aws.amazon.com/premiumsupport/) et évitez d’utiliser le fichier téléchargé.

   Notez l'avertissement sur la confiance. Une clé est uniquement approuvée si vous ou une personne de confiance l'a signée. Cela ne signifie pas que la signature n'est pas valide, mais seulement que vous n'avez pas vérifié la clé publique.

Ensuite, suivez les étapes ici pour vérifier le package RPM.

**Pour vérifier la signature du package RPM**

1. Copiez la clé publique suivante et enregistrez-la dans un fichier appelé `nfm-agent.gpg`.

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. Importez la clé publique dans votre porte-clés.

   ```
   PS>  rpm --import nfm-agent.gpg
   ```

1. Vérifiez la signature du package d'installation. Veillez à remplacer le `agent-download-filename` par la valeur que vous avez spécifiée lors du téléchargement de l’agent, comme indiqué dans le tableau plus haut dans cette rubrique.

   ```
   PS>  rpm --checksig agent-download-filename
   ```

   Par exemple, pour l’architecture x86\$164 sur Amazon Linux 2023, utilisez la commande suivante :

   ```
   PS>  rpm --checksig network-flow-monitor-agent.rpm
   ```

   La sortie générée lors de l'exécution de cette commande est semblable à ce qui suit.

   ```
   network-flow-monitor-agent.rpm: digests signatures OK
   ```

   Si la sortie contient la phrase `NOT OK (MISSING KEYS: (MD5) key-id)`, vérifiez que vous avez exécuté la procédure correctement. Si vous continuez à obtenir cette réponse, contactez [AWS Support](https://aws.amazon.com/premiumsupport/) et n’installez pas l’agent.

# Installer des agents pour les instances Kubernetes autogérées
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks"></a>

Suivez les étapes de cette section pour installer des agents Network Flow Monitor pour les charges de travail sur des clusters Kubernetes autogérés. Une fois les étapes terminées, les pods d’agent Network Flow Monitor seront exécutés sur tous vos nœuds de cluster Kubernetes autogérés.

Si vous utilisez Amazon Elastic Kubernetes Service (Amazon EKS), les étapes d’installation à suivre se trouvent dans la section suivante : [Installation du module complémentaire EKS AWS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md). 

**Topics**
+ [Avant de commencer](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Téléchargez les Charts de Helm et installez les agents](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Configurez les autorisations permettant aux agents de fournir des métriques](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)

# Avant de commencer
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin"></a>

Avant de commencer le processus d’installation, suivez les étapes de cette section pour vous assurer que votre environnement est configuré pour réussir l’installation des agents sur les bons clusters Kubernetes.

**Assurez-vous que votre version de Kubernetes est prise en charge**  
L’installation de l’agent Network Flow Monitor nécessite la version 1.25 de Kubernetes ou une version plus récente.

**Assurez-vous que vous avez installé les outils requis**  
Les scripts que vous utilisez pour ce processus d’installation nécessitent l’installation des outils suivants. Si ces outils ne sont pas encore installés, consultez les liens fournis pour plus d’informations.  
+ Le AWS Command Line Interface (CLI). Pour plus d'informations, consultez la section [Installation ou mise à jour vers la dernière version du AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le guide de AWS Command Line Interface référence. 
+ Le gestionnaire de packages Helm. Pour plus d’informations, consultez [Installation de Helm](https://helm.sh/docs/intro/install/) sur le site web de Helm. 
+ L’outil de ligne de commande `kubectl`. Pour plus d’informations, consultez [Installer kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) sur le site web de Kubernetes. 
+ La dépendance de la commande Linux `make`. Pour plus d’informations, consultez l’article de blog suivant : [Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/). Par exemple, faites l’une des choses suivantes :
  + Pour les distributions basées sur Debian, comme Ubuntu, utilisez la commande suivante : `sudo apt-get install make`
  + Pour les distributions basées sur des RPM, comme CentOS, utilisez la commande suivante : `sudo yum install make`

**Vérifiez que vous disposez de variables d' KubeConfig environnement valides et correctement configurées**  
L’installation de l’agent Network Flow Monitor fait appel à l’outil de gestion des packages Helm, qui utilise la variable kubeconfig, `$HELM_KUBECONTEXT`, pour déterminer les clusters Kubernetes cibles avec lesquels travailler. Sachez également que lorsque Helm exécute des scripts d’installation, il fait référence, par défaut, au fichier standard `~/.kube/config`. Vous pouvez modifier les variables d’environnement de configuration, pour utiliser un fichier de configuration différent (en mettant à jour `$KUBECONFIG`) ou pour définir le cluster cible avec lequel vous voulez travailler (en mettant à jour `$HELM_KUBECONTEXT`). 

**Créez un espace de noms Kubernetes de l’agent Network Flow Monitor**  
L’application Kubernetes de l’agent Network Flow Monitor installe ses ressources dans un espace de noms spécifique. L’espace de noms doit exister pour que l’installation réussisse. Pour vous assurer que l’espace de noms requis est en place, vous pouvez effectuer l’une des opérations suivantes :   
+ Créez l’espace de noms par défaut, `amazon-network-flow-monitor`, avant de commencer.
+ Créez un espace de noms différent, puis définissez-le dans la variable d’environnement `$NAMESPACE` lorsque vous exécutez l’installation pour créer des cibles.

# Téléchargez les Charts de Helm et installez les agents
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents"></a>

Vous pouvez télécharger les cartes Helm de l'agent Network Flow Monitor depuis le référentiel AWS public à l'aide de la commande suivante. Assurez-vous d'abord de vous authentifier avec votre GitHub compte.

`git clone https://github.com/aws/network-flow-monitor-agent.git`

Dans le répertoire `./charts/amazon-network-flow-monitor-agent`, vous trouverez les Charts Helm de l’agent Network Flow Monitor et Makefile qui contiennent les cibles make d’installation que vous utilisez pour installer les agents. Vous installez les agents pour Network Flow Monitor en utilisant la cible Makefile suivante : `helm/install/customer`

Vous pouvez personnaliser l’installation si vous le souhaitez, par exemple en procédant comme suit :

```
# Overwrite the kubeconfig files to use
KUBECONFIG=<MY_KUBECONFIG_ABS_PATH> make helm/install/customer
 
# Overwrite the Kubernetes namespace to use
NAMESPACE=<MY_K8S_NAMESPACE> make helm/install/customer
```

Pour vérifier que les pods d’application Kubernetes pour les agents Network Flow Monitor ont été créés et déployés, vérifiez que leur état est `Running`. Vous pouvez vérifier l’état des agents en exécutant la commande suivante : `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`

# Configurez les autorisations permettant aux agents de fournir des métriques
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions"></a>

Après avoir installé les agents pour Network Flow Monitor, vous devez permettre aux agents d'envoyer des métriques réseau au Network Flow Monitor ingestion APIs. Les agents de Network Flow Monitor doivent être autorisés à accéder à l'ingestion du Network Flow Monitor APIs afin de pouvoir fournir les métriques de flux réseau qu'ils ont collectées pour chaque instance. Vous accordez cet accès en implémentant les rôles IAM pour les comptes de service (IRSA). 

Pour permettre aux agents de fournir des métriques de réseau à Network Flow Monitor, suivez les étapes de cette section.

1. **Implémenter les rôles IAM pour les comptes de service**

   Les rôles IAM pour les comptes de service offrent une capacité de gestion des informations d’identification à utiliser pour les applications, de la même façon que les profils d’instance Amazon EC2 fournissent des informations d’identification aux instances EC2. La mise en œuvre de l'IRSA est la méthode recommandée pour fournir toutes les autorisations requises par les agents de Network Flow Monitor pour accéder avec succès à l'ingestion APIs de Network Flow Monitor. Pour plus d’informations, consultez [Rôles IAM pour les comptes de service](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) dans le Guide de l’utilisateur Amazon EKS.

   Lorsque vous configurez l’IRSA pour les agents Network Flow Monitor, utilisez les informations suivantes :
   + **ServiceAccount:** Lorsque vous définissez votre politique de confiance en matière de rôles IAM, pour`ServiceAccount`, spécifiez`aws-network-flow-monitor-agent-service-account`.
   + **Espace de noms :** pour `namespace`, spécifiez `amazon-network-flow-monitor`.
   + **Déploiement d’informations d’identification temporaires :** lorsque vous configurez les autorisations après avoir déployé les pods des agents Network Flow Monitor, en mettant à jour le `ServiceAccount` avec votre rôle IAM, Kubernetes ne déploie pas les informations d’identification du rôle IAM. Pour que les agents Network Flow Monitor acquièrent les informations d’identification du rôle IAM que vous avez spécifiées, vous devez effectuer un redémarrage de `DaemonSet`. Par exemple, utilisez une commande comme la suivante :

     `kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`

1. **Vérifiez que l'agent Network Flow Monitor accède correctement à l'ingestion du Network Flow Monitor APIs**

   Vous pouvez vérifier que votre configuration pour les agents fonctionne correctement en utilisant les journaux HTTP 200 pour les pods d’agent Network Flow Monitor. Commencez par rechercher un pod d’agent Network Flow Monitor, puis parcourez les fichiers journaux pour trouver les requêtes HTTP 200 réussies. Par exemple, vous pouvez effectuer les opérations suivantes :

   1. Recherchez le nom d'un pod d'agent Network Flow Monitor. Par exemple, vous pouvez utiliser la commande suivante :

      ```
      RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
      ```

   1. Effectuez un grep de tous les journaux HTTP pour trouver le nom du pod que vous avez localisé. Si vous avez modifié le NAMESPACE, assurez-vous d’utiliser le nouveau.

      ```
      NAMESPACE=amazon-network-flow-monitor
      kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
      ```

   Si l’accès a été accordé, vous devriez voir des entrées de journal similaires à celles qui suivent :

   ```
   ...
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
   ```

   Notez que l'agent Network Flow Monitor publie des rapports de flux réseau toutes les 30 secondes, en appelant le Network Flow Monitor ingestion APIs.

# Initialiser Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-begin"></a>

Avant de pouvoir afficher les métriques de performance des flux réseau, vous devez initialiser Network Flow Monitor, qui accorde les autorisations requises et crée une topologie initiale pour votre ou vos comptes. Si vous prévoyez de surveiller les ressources de plusieurs comptes, vous devez également effectuer AWS Organizations une configuration avec Amazon CloudWatch. Ensuite, vous spécifiez des comptes pour votre portée de Network Flow Monitor, afin que Network Flow Monitor puisse créer une topologie initiale pour tous les comptes dont vous suivrez les métriques de performance.

En outre, vous devez installer des agents sur vos instances pour envoyer des mesures de performance au serveur d'ingestion de Network Flow Monitor. Pour de plus amples informations, veuillez consulter [Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents.md).

Les étapes à suivre pour initialiser Network Flow Monitor varient selon que vous mesurez les métriques de performance pour les ressources d’un seul compte ou que vous voulez surveiller les métriques des ressources appartenant à plusieurs comptes de votre organisation.
+ [Initialisation de la surveillance d’un seul compte](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Initialisation de la surveillance de plusieurs comptes](CloudWatch-NetworkFlowMonitor-multi-account.md)

# Initialisation de Network Flow Monitor pour la surveillance d’un seul compte
<a name="CloudWatch-NetworkFlowMonitor-single-account"></a>

Pour initialiser Network Flow Monitor afin de surveiller les métriques de performance du réseau, vous devez accorder des autorisations et Network Flow Monitor doit créer la topologie initiale pour votre compte. Lorsque vous surveillez les ressources d’un seul compte, Network Flow Monitor définit votre compte comme portée de la surveillance du réseau et crée une topologie pour cette portée. 

L’initialisation de Network Flow Monitor permet d’effectuer les opérations suivantes : 
+ Accorde des autorisations pour que Network Flow Monitor utilise les rôles liés à un service requis avec votre compte. Network Flow Monitor exige que vous lui accordiez des autorisations spécifiques afin que la fonctionnalité puisse envoyer des métriques à Amazon CloudWatch en votre nom, ainsi que créer des topologies de flux réseau. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
+ Définit l'étendue de surveillance de Network Flow Monitor AWS en fonction du compte avec lequel vous êtes connecté. Pour plus d’informations, consultez **Portée** dans [Composants et fonctionnalités de Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
+ Crée une topologie initiale pour votre portée.

Pour initialiser Network Flow Monitor en configurant les rôles liés à un service qui fournissent les autorisations requises, en définissant la portée sur votre compte et en créant une topologie pour la surveillance des performances des flux réseau, procédez comme suit.

**Pour initialiser Network Flow Monitor**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Dans la section **Mise en route avec Network Flow Monitor**, sous Étape 1, sélectionnez **Lancer l’initialisation**.

1. Sur la page **Configurer Network Flow Monitor**, faites défiler vers le bas, puis sélectionnez **Initialiser Network Flow Monitor**.

L’initialisation peut prendre de 20 à 30 minutes.

Après avoir initialisé Network Flow Monitor pour votre compte, avant de pouvoir afficher les métriques de performance des flux réseau, vous devez également installer des agents Network Flow Monitor pour vos ressources qui envoient des métriques de performance au serveur d’ingestion soutenu par Network Flow Monitor. Pour de plus amples informations, veuillez consulter [Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents.md).

# Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes
<a name="CloudWatch-NetworkFlowMonitor-multi-account"></a>

Si vous souhaitez surveiller les flux réseau dans Network Flow Monitor pour les ressources détenues par différents comptes, vous devez d'abord configurer Amazon CloudWatch avec AWS Organizations. Pour utiliser plusieurs comptes dans Network Flow Monitor, vous devez activer l'accès sécurisé pour CloudWatch, et il est recommandé d'enregistrer également un administrateur délégué.

En outre, si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, vous devez ajouter une politique Network Flow Monitor au rôle qui est attaché à vos ressources. Cette politique vous permet d’afficher les ressources d’autres comptes dans la console, afin que vous puissiez ajouter les ressources de plusieurs comptes à un moniteur.

Pour surveiller les flux réseau des ressources appartenant à différents comptes, vous devez suivre des étapes de configuration supplémentaires. Tout d'abord, en tant que compte de gestion, vous devez configurer CloudWatch avec AWS Organizations pour activer l'accès sécurisé et, généralement, vous devez également enregistrer un compte d'administrateur délégué. Ensuite, à l’aide du compte d’administrateur délégué, vous pouvez ajouter d’autres comptes dans votre organisation, pour définir la portée de votre observabilité réseau afin d’inclure les ressources dans ces comptes. (Vous pouvez également ajouter plusieurs comptes avec un compte de gestion, mais une bonne pratique dans les organisations consiste à utiliser le compte de l’administrateur délégué lorsque vous travaillez avec des ressources dans un service. Nous fournissons des étapes qui suivent ces conseils dans les instructions ici pour Network Flow Monitor.)

Notez que si vous n’avez pas besoin de surveiller les flux réseau pour les instances de plusieurs comptes, vous pouvez utiliser Network Flow Monitor avec un seul compte. Le champ d'application de Network Flow Monitor est automatiquement défini en fonction du AWS compte avec lequel vous vous connectez.

Suivez les conseils des sections suivantes pour réaliser ces étapes.

**Topics**
+ [Présentation de la configuration de plusieurs comptes](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Configuration AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Ajouter plusieurs comptes](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Ajouter des autorisations pour la console](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)

## Présentation des étapes pour l’utilisation de plusieurs comptes dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-multi-account.overview"></a>

Pour commencer à utiliser Network Flow Monitor, tout compte qui n’a pas utilisé Network Flow Monitor auparavant doit initialiser Network Flow Monitor. Lorsque vous initialisez Network Flow Monitor pour un compte, Network Flow Monitor ajoute les autorisations de rôle lié à un service requises et crée une portée du ou des comptes à inclure dans l’observabilité du réseau. Pour travailler avec plusieurs comptes dans Network Flow Monitor, vous devez suivre des étapes supplémentaires AWS Organizations, à intégrer puis à ajouter les comptes à utiliser.

En résumé, vous devez suivre les étapes suivantes :

1. Connectez-vous en AWS Management Console tant que compte de gestion, puis effectuez les opérations suivantes :
   + Effectuez les étapes requises pour l'intégration avec AWS Organizations in CloudWatch. 

1. Connectez-vous au compte AWS Management Console d'administrateur délégué, puis procédez comme suit :
   + Initialisez Network Flow Monitor, notamment en ajoutant des comptes à inclure dans votre portée.
   + Ajoutez les autorisations requises pour accéder aux ressources qui se trouvent dans d’autres comptes à partir de la console.

Si vous configurez Network Flow Monitor pour qu'il fonctionne avec plusieurs comptes et que vous ne le connaissez pas AWS Organizations, consultez les ressources suivantes pour en savoir plus sur des concepts tels que le compte de gestion, l'accès sécurisé et le compte d'administrateur délégué, et pour savoir comment intégrer les Organisations à CloudWatch. 
+ [Gestion des comptes dans une organisation décrite AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) dans le guide de AWS Organizations l'utilisateur.
+ [Amazon CloudWatch et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) dans le guide de AWS Organizations l'utilisateur.

Suivez les étapes des sections suivantes pour obtenir des conseils spécifiques sur la configuration de Network Flow Monitor pour plusieurs comptes.

## Configurer AWS Organizations dans CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs"></a>

Pour configurer Network Flow Monitor avec AWS Organizations, connectez-vous au compte de gestion et activez l'accès sécurisé pour CloudWatch. Ensuite, enregistrez un compte d’administrateur délégué à utiliser pour initialiser Network Flow Monitor et ajouter des comptes multiples.

Si vous avez déjà configuré Organizations in CloudWatch pour activer l'accès sécurisé pour Organizations in CloudWatch et pour enregistrer un compte d'administrateur délégué, il n'est pas nécessaire de configurer quoi que ce soit d'autre pour Organizations spécifique à Network Flow Monitor. Vous pouvez vous connecter avec le compte d'administrateur délégué pour CloudWatch, puis initialiser Network Flow Monitor, notamment en ajoutant plusieurs comptes pour le périmètre d'observabilité de votre réseau.

Si vous n'avez pas encore configuré Organizations in CloudWatch, suivez les étapes décrites ici pour activer l'accès sécurisé et enregistrer un compte d'administrateur délégué.

### Activez l'accès sécurisé dans CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.trusted-access"></a>

Avant de pouvoir utiliser Network Flow Monitor avec plusieurs comptes dans votre organisation, vous devez activer l'accès sécurisé sur Amazon CloudWatch. AWS Organizations Procédez comme suit pour activer l'accès sécurisé dans la CloudWatch console.

**Pour activer l’accès approuvé**

1. Connectez-vous à la console avec le compte de gestion de votre organisation.

1. Dans le volet de navigation de la CloudWatch console, sélectionnez **Paramètres**.

1. Choisissez l’onglet **Organisations**.

1. Dans **Paramètres de gestion de l’organisation**, sélectionnez **Activer**. La page **Activer l’accès approuvé** s’affiche.

1. Pour examiner la politique de rôle, sélectionnez **Afficher les détails de l’autorisation** pour voir la politique de rôle.

1.  Choisissez **Enable trusted access (Activer l'accès approuvé)**.

Désormais, au fur et à mesure qu'il CloudWatch découvre des ressources, il met automatiquement à jour les informations relatives aux comptes pour lesquels vous êtes autorisé à accéder aux ressources dans Network Flow Monitor.

### Enregistrer un compte d’administrateur délégué
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.delegated-admin"></a>

Il est recommandé que le compte de gestion de votre organisation enregistre un compte de membre en tant que compte d'administrateur délégué pour CloudWatch. AWS Organizations Après avoir enregistré un compte d'administrateur délégué CloudWatch, les membres de votre organisation peuvent se connecter avec le compte d'administrateur délégué pour surveiller les performances du réseau pour les ressources de plusieurs comptes dans Network Flow Monitor.

À l’aide du compte d’administrateur délégué, vous pouvez ajouter plusieurs comptes pour votre portée d’observabilité du réseau dans Network Flow Monitor. Bien que le compte de gestion puisse également créer une portée incluant plusieurs comptes, nous vous recommandons de suivre les bonnes pratiques pour AWS Organizations et d’utiliser un compte d’administrateur délégué pour l’ajout de plusieurs comptes dans Network Flow Monitor. Pour les comptes membres qui ne sont pas le compte administrateur délégué, la portée est limitée au compte connecté, qui est automatiquement défini pour la portée. 

Un compte d’administrateur délégué pour Organizations est un compte membre qui partage l’accès administrateur pour les autorisations gérées par le service. Le compte que vous choisissez d’enregistrer en tant que compte d’administrateur délégué doit être un compte membre de votre organisation. Un compte d'administrateur délégué pour votre organisation peut être utilisé en dehors de CloudWatch. Assurez-vous donc de bien comprendre ce type de compte avant de suivre cette procédure. Pour plus d'informations, consultez [Amazon CloudWatch et AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) le guide de AWS Organizations l'utilisateur.

**Pour enregistrer un compte d’administrateur délégué**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Sélectionnez l’onglet **Organisation**.

1. Sélectionnez **Enregistrer l'administrateur délégué**.

1. Dans la fenêtre **Enregistrer un administrateur délégué**, dans le champ **ID de compte de l’administrateur délégué**, saisissez l’ID de compte membre de l’organisation à 12 chiffres.

1. Sélectionnez **Enregistrer l'administrateur délégué**. En haut de la page, un message s’affiche pour indiquer que le compte a été enregistré avec succès. La page **Paramètres de l’organisation** s’affiche. Pour obtenir des informations sur le compte de l’administrateur délégué, survolez le numéro situé sous **Administrateurs délégués**.

Pour supprimer ou modifier le compte de l’administrateur délégué, annulez d’abord l’inscription du compte. Pour plus d’informations, consultez [Annuler l’inscription d’un compte d’administrateur délégué](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).

## Ajout de plusieurs comptes à votre portée
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-scope"></a>

Pour ajouter des comptes à votre portée Network Flow Monitor, connectez-vous avec le compte d’administrateur délégué. (Vous pouvez ajouter des comptes à un périmètre si vous êtes connecté avec le compte de gestion, mais il est recommandé d' AWS Organizations utiliser le compte d'administrateur délégué pour utiliser les ressources.) 

Une fois connecté, suivez les étapes pour initialiser Network Flow Monitor, un processus qui autorise les autorisations requises pour les rôles liés au service, vous permet de définir l'étendue de l'observabilité de votre réseau en ajoutant des comptes, puis crée une topologie initiale pour les comptes dans l'étendue que vous avez définie. Le compte avec lequel vous vous connectez (dans ce cas, le compte d’administrateur délégué) est automatiquement inclus dans la portée de Network Flow Monitor. 

**Pour initialiser Network Flow Monitor avec plusieurs comptes dans votre champ d'application**

1. Connectez-vous à la console avec le compte d'administrateur délégué de votre organisation.

1. Dans le volet de navigation de la CloudWatch console, sous **Surveillance du réseau**, sélectionnez **Flow monitors**.

1. Sous **Mise en route avec Network Flow Monitor**, à l’étape 1, sélectionnez **Démarrer l’initialisation**.

1. Sur la page **Network Flow Monitor**, sous **Ajouter des comptes**, sélectionnez **Ajouter**. Le compte avec lequel vous êtes connecté est automatiquement inclus dans la portée et apparaît déjà dans le tableau **Comptes dans la portée** sous le nom de **(ce compte)**. 

1. Dans la page de dialogue **Ajouter des comptes**, filtrez éventuellement les comptes, puis sélectionnez jusqu’à 99 comptes complémentaires à ajouter à votre portée. Le nombre maximum de comptes dans une portée est de 100.

1. Choisissez **Ajouter**.

1. Sélectionnez **Initialiser Network Flow Monitor**. Network Flow Monitor ajoute les autorisations de rôle lié à un service requises, crée une portée qui inclut tous les comptes que vous avez spécifiés, puis crée une topologie initiale des ressources dans les comptes de votre portée.

Pour ajouter ou supprimer des comptes pour votre scope après avoir déjà initialisé Network Flow Monitor, suivez les étapes décrites ici.

Sachez qu'après avoir modifié votre étendue, que ce soit pour ajouter ou supprimer des comptes, vous devez attendre environ 20 minutes avant de pouvoir apporter une autre modification à l'étendue. Ce délai est dû au fait que Network Flow Monitor a besoin d'un court laps de temps pour mettre à jour ses informations topologiques.

**Pour ajouter ou supprimer des comptes pour votre scope**

1. Connectez-vous à la console avec le compte d'administrateur délégué de votre organisation.

1. Dans le volet de navigation de la CloudWatch console, sous **Surveillance du réseau**, sélectionnez **Flow monitors**.

1. Sous **Moniteurs**, sélectionnez un moniteur.

1. Dans l'onglet **Détails du moniteur**, **sous Comptes concernés**, choisissez **Ajouter** ou **Supprimer**. 

1. Sélectionnez les comptes à ajouter à votre périmètre, jusqu'à un total de 100 comptes, ou sélectionnez les comptes à supprimer.

1. Suivez les étapes indiquées dans la boîte de dialogue de confirmation.

## Configurer les autorisations pour l’accès aux ressources par plusieurs comptes (console uniquement)
<a name="CloudWatch-NetworkFlowMonitor-multi-account.console-perms"></a>

Si vous prévoyez de créer des moniteurs pour les flux réseau à partir de la console, une politique spécifique est requise pour chaque compte membre de votre portée. Cette politique vous permet de visualiser les ressources d’autres comptes lorsque vous ajoutez des ressources locales et distantes à un moniteur. 

Pour chacun des comptes concernés, créez un rôle et joignez la EC2 ReadOnlyAccess politique **Amazon**. **NetworkFlowMonitorAccountResourceAccess** Pour consulter les détails des autorisations relatives à cette politique, consultez [Amazon EC2 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.

Cette politique s’ajoute à celle que vous devez ajouter à chaque instance pour que l’agent Network Flow Monitor puisse envoyer des métriques de performance de l’instance au serveur dorsal d’ingestion de Network Flow Monitor. Pour plus d’informations sur les exigences relatives aux agents, consultez [Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents.md).

La procédure suivante résume les étapes à suivre pour créer le rôle requis pour accéder aux ressources de votre portée dans la console Network Flow Monitor. Pour obtenir des instructions générales sur la création d'un rôle dans IAM, voir [Créer un rôle pour accorder des autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le Guide de l' Gestion des identités et des accès AWS utilisateur. 

**Pour créer un rôle pour l’accès aux ressources dans la console Network Flow Monitor**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la.

1. Dans le volet de navigation de la console, choisissez **Rôles**, puis **Créer un rôle**.

1. Spécifiez l’entité de confiance du **compte AWS **. Ce type d'entité de confiance permet aux principaux d'autres AWS comptes d'assumer le rôle et d'accéder aux ressources d'autres comptes.

1. Choisissez **Suivant**.

1. Dans la liste des politiques AWS gérées, choisissez la EC2 ReadOnlyAccess politique **Amazon**.

1. Choisissez **Suivant**.

1. Pour le nom du rôle, entrez **NetworkFlowMonitorAccountResourceAccess**.

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).

## Installer des agents sur les instances
<a name="CloudWatch-NetworkFlowMonitor-configure-begin.agents"></a>

Pour suivre les performances du réseau avec Network Flow Monitor, vous devez initialiser le service, mais vous devez également installer les agents Network Flow Monitor sur les instances EC2 de votre charge de travail et ajouter des autorisations pour que les agents envoient des métriques de performances de mise en réseau à Network Flow Monitor. Après avoir installé les agents, attendez un court laps de temps (environ 20 minutes), pour que les données commencent à être envoyées au dorsal de Network Flow Monitor. Vous pouvez ensuite afficher les métriques des performances du réseau, dans l’onglet **Informations sur la charge de travail**, et créer des moniteurs pour afficher des informations détaillées.

Par exemple, vous pouvez afficher les métriques de performance des principaux contributeurs pour les données transférées et les délais de retransmission, pour les flux réseau entre vos ressources locales et distantes, collectées par les agents de Network Flow Monitor. En visualisant et en analysant ces métriques, vous pouvez choisir des flux spécifiques pour lesquels vous voulez voir plus de détails et les suivre de plus près à l’aide d’un moniteur. En créant un moniteur pour des flux spécifiques, vous pouvez voir des informations détaillées à leur sujet, y compris les métriques, triées par les principaux contributeurs pour chaque type de métrique et les chemins de réseau pour chaque flux de réseau.

Dans le cas d'un moniteur, Network Flow Monitor fournit également un indicateur d'état du réseau (NHI), que vous pouvez utiliser pour vérifier si des défaillances du AWS réseau se sont produites pour les flux réseau que vous suivez sur le moniteur, au cours d'une période que vous avez sélectionnée. Ces informations peuvent vous aider à décider où concentrer vos efforts de dépannage du réseau.

Pour plus d’informations et d’instructions sur l’installation des agents, consultez [Installation des agents Network Flow Monitor sur des instances EC2 et Kubernetes autogérées](CloudWatch-NetworkFlowMonitor-agents.md).

# Surveiller et analyser les flux réseau dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure"></a>

Avec Network Flow Monitor, vous pouvez en savoir plus sur les flux et les performances du réseau pour le trafic que vous surveillez avec votre portée. Commencez par examiner les informations sur les principaux contributeurs, pour chaque type de métrique, dans l’onglet **Informations sur la charge de travail**. Créez ensuite des moniteurs afin d’explorer les performances du réseau en détail, sur différentes périodes, pour les flux de réseau que vous sélectionnez dans **Informations sur la charge de travail**.

Après avoir initialisé Network Flow Monitor et installé des agents sur vos instances, Network Flow Monitor génère des métriques de performances pour les flux réseau de ces instances. Passez en revue les sections de ce chapitre pour en savoir plus sur l’utilisation de Network Flow Monitor afin d’évaluer les performances du réseau dans Network Flow Monitor, de créer des moniteurs pour obtenir des informations plus approfondies et de découvrir les métriques spécifiques fournies par Network Flow Monitor.

Les étapes fournies dans ces sections utilisent la AWS Management Console. Vous pouvez également utiliser les opérations de l'API Network Flow Monitor avec le AWS Command Line Interface (AWS CLI) ou AWS SDKs pour consulter les informations relatives à la charge de travail et les indicateurs des principaux contributeurs, ainsi que pour créer et configurer un moniteur. Pour plus d’informations, consultez les ressources suivantes :
+ Si vous prévoyez d’utiliser Network Flow Monitor avec la CLI, consultez [Exemples d’utilisation de la CLI avec Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md).
+ Pour obtenir des informations détaillées sur les opérations API Network Flow Monitor, consultez le [Guide de référence de l’API Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).

**Topics**
+ [Évaluer les flux du réseau](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Créer et utiliser des moniteurs](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Surveiller et analyser](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Supprimer la portée](CloudWatch-NetworkFlowMonitor-disable.md)

# Évaluer les flux réseau avec des informations sur la charge de travail
<a name="CloudWatch-NetworkFlowMonitor-configure-evaluate-flows"></a>

Network Flow Monitor fournit des informations sur la charge de travail concernant les flux réseau dans la portée pour laquelle vous activez la surveillance. En faisant apparaître les flux réseau les plus contributeurs pour chaque type de métrique, vous pouvez voir quels flux sont potentiellement confrontés à des problèmes. Vous pouvez afficher ces métriques sur les principaux contributeurs dans la console, dans l’onglet **Informations sur la charge de travail**. Dans Network Flow Monitor, les principaux contributeurs sont les flux réseau qui présentent les valeurs les plus élevées pour chaque métrique de performance réseau. 

**Principaux contributeurs**  
Sur la page **Informations sur la charge de travail** de la console Network Flow Monitor, Network Flow Monitor affiche les statistiques de performance réseau des principaux contributeurs pour les flux réseau entre toutes les ressources de votre portée de surveillance où vous avez déployé des agents.   
Pour compiler les listes des principaux contributeurs, Network Flow Monitor détermine les flux réseau dans votre portée qui ont les valeurs les plus élevées pour les retransmissions, les délais de retransmission et les données transférées. Ces flux réseau sont les *principaux contributeurs* pour chaque type de métrique.  
Pour les informations sur la charge de travail, les principaux contributeurs sont déterminés pour tous les flux réseau pour lesquels vous recevez des informations sur les performances, c’est-à-dire les flux réseau pour toutes les ressources dans votre portée avec des agents Network Flow Monitor installés. 

**Classifications des flux réseau**  
Network Flow Monitor classe les métriques dans des catégories locales et distantes désignées. Les métriques sont regroupées en deux types de flux :  
+ Flux relatifs aux **indicateurs de santé des réseaux (NHI) : flux** qui contribuent aux calculs des indicateurs de santé des réseaux (NHI) :
  + Entre AZs (`INTER_AZ`). Toujours au sein du même VPC.
  + À l'intérieur AZs (`INTRA_AZ`). Toujours au sein du même VPC.
  + Entre VPCs (`INTER_VPC`). Traverse la limite entre VPCs.
  + Entre les régions (`INTER_REGION`). Cela signifie des performances pour les flux de réseau entre les ressources de votre région et la périphérie d'une autre région.
  + Vers les compartiments Amazon S3 (`AMAZON_S3`)
  + Vers Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ Flux **non liés aux indicateurs de santé des réseaux (NHI) : flux** qui ne contribuent pas aux calculs des indicateurs de santé des réseaux (NHI) :
  + Vers Internet (`INTERNET`). Flux qui traversent une passerelle Internet et se terminent sur l'Internet public.
  + Vers les services AWS (`AWS_SERVICE`). Des flux qui se terminent par un AWS service qui n'est pas entièrement surveillé (comme CloudFront API Gateway).
  + Vers un Transit Gateway (`TRANSIT_GATEWAY`). Les flux de cette classification sont des flux qui arrivent à un Transit Gateway, mais leur destination finale est inconnue.
  + Vers une zone locale (`LOCAL_ZONE`). Flux qui commencent ou se terminent dans une zone locale
  + Tout autre flux qui ne peut pas être classé autrement (`UNCLASSIFIED`).

**Métriques de performances**  
Les métriques de performances sur **Informations sur la charge de travail** sont présentées dans des tableaux distincts pour le type de métrique suivant : retransmissions, délais de retransmission et données transférées. Les données fournies concernent les principaux contributeurs pour chaque type de mesure. Notez qu’après la première installation des agents Network Flow Monitor, il y a une période d’attente (environ 20 minutes) avant que vous puissiez afficher les métriques de performance, pendant que les agents rassemblent et envoient les données au dorsal Network Flow Monitor.

**Surveiller des flux réseau spécifiques**  
Lorsque vous examinez les métriques de performance et que vous voyez des ressources ou des flux réseau spécifiques pour lesquels vous voulez explorer plus de détails, vous pouvez créer un moniteur qui inclut uniquement ces flux.  
Avec un moniteur, vous pouvez suivre des groupes spécifiques de flux réseau sur une période donnée, afin d’obtenir des informations sur un aspect de votre charge de travail. Vous pouvez également obtenir des informations de dépannage utiles, telles que la vérification de l'indicateur de santé du réseau (NHI) pour voir si les problèmes que vous rencontrez sont dus à des défaillances AWS .  
Pour de plus amples informations, consultez [Créer et utiliser des moniteurs dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md).

**Couverture de plusieurs comptes**  
Pour utiliser plusieurs comptes dans Network Flow Monitor, vous devez configurer AWS Organizations l'intégration avec CloudWatch. En configurant Organizations, vous pouvez ajouter des comptes à la portée de votre couverture Network Flow Monitor. Ensuite, si vous avez plusieurs comptes dans votre portée qui ont chacun des ressources entre lesquelles vous voulez surveiller les flux réseau, vous pouvez spécifier une portée qui inclut tous les comptes, puis afficher les métriques de performance recueillies par les agents Network Flow Monitor que vous avez installés sur vos ressources. Pour de plus amples informations, veuillez consulter [Initialiser Network Flow Monitor pour la surveillance de plusieurs comptes](CloudWatch-NetworkFlowMonitor-multi-account.md). 

# Créer et utiliser des moniteurs dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors"></a>

Vous créez un moniteur pour voir les détails des performances du réseau pour un ou plusieurs flux réseau pour une charge de travail. Pour chaque moniteur, Network Flow Monitor publie des mesures de end-to-end performance et un indicateur de santé du réseau (NHI), et génère les chemins réseau des flux réseau individuels. Après avoir créé un moniteur, vous pouvez afficher les informations fournies par le moniteur dans la console, sous l’onglet **Moniteurs**.

Les moniteurs de flux peuvent vous aider à évaluer les problèmes de performance du réseau qui ont un impact sur vos charges de travail, notamment les défaillances au sein d'une région Région AWS et les problèmes sur le réseau AWS mondial entre une région locale et une région distante. L'indicateur de santé du réseau (NHI) fourni par le moniteur capture également l'état du réseau AWS mondial sur les chemins réseau de votre charge de travail entre les régions. Cela vous permet d'identifier rapidement si des déficiences dans une région locale, dans le réseau AWS mondial ou dans une région éloignée affectent votre charge de travail. 

Pour les régions distantes, les moniteurs peuvent fournir une visibilité sur le réseau pour les flux vers l’adresse IP publique de la région et pour le trafic privé circulant vers une région distante via l’appairage de VPC ou l’appairage de Transit Gateway.

Après avoir créé un moniteur, vous pouvez à tout moment le modifier (à l’exception du nom du moniteur) ou le supprimer.

Les sections suivantes présentent les procédures de création, de modification et de suppression des moniteurs dans la console Network Flow Monitor.

**Topics**
+ [Création d'une surveillance](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Modifier un moniteur](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Suppression d’un moniteur](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)

# Créer un moniteur dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create"></a>

Lorsque vous examinez les principaux contributeurs dans l’onglet **Informations sur la charge de travail**, si vous voyez un ou plusieurs flux réseau que vous voulez suivre dans le temps ou sur lesquels vous voulez plus de détails, vous pouvez créer un moniteur directement à partir d’**Informations sur la charge de travail**. Cela simplifie le processus de création d’un moniteur pour des flux réseau spécifiques.

Ou, si vous connaissez des flux réseau spécifiques que vous souhaitez suivre à l'aide d'un moniteur, par exemple en consultant les informations de performance de tous les flux réseau vers un autre Région AWS, vous pouvez utiliser l'assistant de **création de moniteur** pour créer un moniteur à partir de zéro. Lorsque vous créez un moniteur de cette façon, vous spécifiez toutes les ressources locales et distantes qui définissent les flux réseau que vous voulez suivre.

Pour les procédures spécifiques, reportez-vous aux sections suivantes :
+  [Créer un moniteur en spécifiant les flux réseau](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+  [Créer un moniteur en spécifiant des ressources locales et distantes](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)

## Créer un moniteur en spécifiant les flux réseau
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights"></a>

Pour créer un moniteur en sélectionnant des flux réseau, commencez par l’onglet **Informations sur la charge de travail**. Sélectionnez un ou plusieurs flux réseau dans l’une des tables, dans une seule région, puis choisissez de créer un moniteur avec ces flux.

Lorsque vous créez un moniteur de cette manière, l’assistant **Créer un moniteur** préremplit les ressources locales et distantes pour vous et les affiche dans une boîte de dialogue modale. Vous pouvez choisir de créer un moniteur avec ces ressources ou de modifier la sélection de ressources locales ou distantes pour ajouter ou supprimer des ressources à inclure.

En examinant régulièrement les principaux contributeurs sur **Informations sur la charge de travail**, vous pouvez évaluer régulièrement si vous disposez des moniteurs dont vous avez besoin, ou si la création de nouveaux moniteurs serait utile.

**Important**  
Ces étapes sont conçues pour être effectuées en une seule fois. Vous ne pourrez pas enregistrer les travaux en cours pour les poursuivre plus tard.

**Pour créer un moniteur à partir de **Informations sur la charge de travail****

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Choisissez **Informations sur la charge de travail**.

1. Dans l’un des tableaux **Principaux contributeurs**, sélectionnez un ou plusieurs flux réseau, puis cliquez sur **Créer un moniteur**.

1. Dans la fenêtre modale qui s’ouvre, vous pouvez modifier les ressources qui définissent les flux réseau que vous avez sélectionnés, ou choisir **Créer un moniteur**.

## Créer un moniteur en spécifiant des ressources locales et distantes
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone"></a>

Vous pouvez créer un moniteur à tout moment pour des ressources locales et distantes spécifiques qui définissent les flux réseau dont vous voulez voir les détails. 

Par exemple, vous pourriez vouloir créer un moniteur pour l’un des scénarios suivants :
+ Un moniteur qui inclut les flux réseau pour un VPC spécifique dans une région locale vers un autre VPC dans la même région. (Notez que vous ne pouvez pas sélectionner une ressource spécifique, telle qu’un VPC, comme point de terminaison d’un flux réseau, c’est-à-dire la ressource distante, dans une autre région.)
  + Pour la ressource locale, choisissez **Ressources spécifiques dans la *région***. Choisissez ensuite **VPC et sous-réseaux**, puis, dans le tableau, sélectionnez un VPC spécifique.
  + Pour la ressource distante, procédez de la même manière : choisissez **Ressources spécifiques dans la *région***, puis **VPC et sous-réseaux**, et enfin, sélectionnez un VPC spécifique.
+ Un moniteur qui inclut tous les flux réseau de votre charge de travail dans une région locale vers une zone de disponibilité spécifique.
  + Pour une ressource locale, choisissez **Partout dans la *région***
  + Pour une ressource distante, choisissez **Zone de disponibilité**, puis choisissez une AZ spécifique
+ Un moniteur qui inclut tous les flux réseau pour votre charge de travail dans une région locale.
  + Pour une ressource locale, choisissez **Partout dans la *région***
  + Pour une ressource distante, choisissez **Partout dans la *région***
+ Un moniteur qui inclut tous les flux réseau pour votre charge de travail à partir d’une région locale jusqu’à la limite d’une autre région.
  + Pour une ressource locale, choisissez **Partout dans la *région***
  + Dans le cas d’une ressource distante, sélectionnez **Autre région**, puis la région distante

**Important**  
Ces étapes sont conçues pour être effectuées en une seule fois. Vous ne pourrez pas enregistrer les travaux en cours pour les poursuivre plus tard.

**Pour créer un moniteur à l'aide de la console**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Sur la page Network Flow Monitor, sélectionnez l'onglet **Monitors**, puis choisissez **Create monitor**.

1. Dans la zone **Nom du moniteur**, entrez le nom que vous voulez utiliser pour le moniteur. Vous ne pourrez pas modifier ce nom ultérieurement.

1. Choisissez **Suivant**.

1. Sélectionnez les ressources locales (une ou plusieurs) pour les flux réseau que vous voulez surveiller.
   + Pour surveiller les flux réseau de toutes les ressources de votre région, sélectionnez **Partout dans la *région***.
   + Pour choisir des ressources locales spécifiques à partir desquelles surveiller les flux, choisissez **Ressources spécifiques dans *la région***. Ensuite, sous **Ajouter des ressources**, sélectionnez **Zones de disponibilité**, **clusters EKS** ou **VPCs sous-réseaux**, puis choisissez les ressources à ajouter.

1. Choisissez **Suivant**.

1. Sélectionnez les ressources distantes (une ou plusieurs) pour les flux réseau que vous voulez surveiller.
   + Pour surveiller les flux réseau vers toutes les ressources de votre région, sélectionnez **Partout dans la *région***.
   + Pour surveiller les flux provenant de ressources distantes spécifiques, sélectionnez **Ressources spécifiques dans *la région***. Sous **Ajouter des ressources**, sélectionnez **VPCs et les sous-réseaux**, **les zones de disponibilité** ou les **AWS services**, puis choisissez les ressources à ajouter.
   + Pour surveiller les flux réseau vers la périphérie d’une autre région, sélectionnez **Autre région**.

1. Choisissez **Suivant**.

1. Passez en revue vos choix pour confirmer les flux réseau à surveiller ou modifiez les options pour apporter des changements.

1. Choisissez **Create monitor (Créer un contrôle)**.

Après avoir créé un moniteur, vous pouvez le modifier ou le supprimer à tout moment pour ajouter ou supprimer des flux réseau. Sélectionnez un moniteur, puis choisissez **Modifier** ou **Supprimer**. Notez que vous ne pouvez pas modifier le nom d’un moniteur.

**Pour afficher le tableau de bord de Network Flow Monitor**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation, sélectionnez **Surveillance du réseau**, puis **Moniteurs de flux**.

   L'onglet **Monitors** (Moniteurs) affiche une liste des moniteurs que vous avez créés. 

Pour voir plus d'informations sur un moniteur spécifique, sélectionnez un moniteur.

# Modifier un moniteur dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-edit"></a>

Vous pouvez modifier un moniteur à tout moment pour ajouter ou supprimer des flux réseau. 

Notez que vous ne pouvez pas modifier le nom d'un moniteur après l'avoir créé.

**Important**  
Ces étapes sont conçues pour être effectuées en une seule fois. Vous ne pourrez pas enregistrer les travaux en cours pour les poursuivre plus tard.

**Pour modifier un moniteur à l’aide de la console**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Dans l’onglet **Moniteurs**, sélectionnez un moniteur, puis, dans le menu **Actions**, choisissez **Modifier**.

1. Sélectionnez les ressources locales ou distantes que vous voulez ajouter ou supprimer pour le moniteur. Si vous avez plusieurs comptes dans votre portée, indiquez le compte dans lequel se trouvent les ressources, puis sélectionnez Ressources.

1. Lorsque vous avez terminé la mise à jour du moniteur, sélectionnez **Suivant**, pour examiner et confirmer les flux réseau à surveiller.

1. Sélectionnez **Enregistrer le moniteur**.

# Supprimer un moniteur dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-delete"></a>

Pour supprimer un moniteur dans Network Flow Monitor, suivez les étapes ci-dessous. 

**Pour supprimer un moniteur**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Dans l’onglet **Moniteurs**, sélectionnez un moniteur, puis dans le menu **Actions**, sélectionnez **Supprimer**.

1. Dans la boîte de dialogue qui s’affiche, saisissez le texte de confirmation, puis sélectionnez **Supprimer**.

# Surveiller et analyser les flux réseau à l’aide d’un moniteur Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-monitor-and-analyze"></a>

Les données et les graphiques de Network Flow Monitor vous aident à visualiser et à suivre les problèmes de réseau. Vous pouvez créer des moniteurs pour consulter des informations détaillées sur des segments de réseau spécifiques à vos AWS charges de travail, y compris une vue du chemin réseau pour les flux réseau individuels. Après avoir créé un ou plusieurs moniteurs dans Network Flow Monitor, vous pouvez observer les performances et les métriques et explorer les données historiques pour trouver des anomalies. 

Pour voir les informations fournies par un moniteur, dans l’onglet **Moniteurs**, choisissez un moniteur dans le tableau **Moniteurs**. Choisissez ensuite l’un des onglets suivants pour plus d’informations : **Vue d’ensemble**, **Explorateur historique**, ou **Détails du moniteur**.

**Onglet Overview (Présentation)**  
Dans l’onglet **Vue d’ensemble**, vous pouvez examiner les éléments suivants, pour les périodes que vous spécifiez. Pour voir une plage plus large ou plus étroite d’informations historiques, y compris le NHI et les données de synthèse du trafic, ajustez la sélection de la période en haut de la page.   
+ **Indicateur d'état du réseau (NHI) :** le NHI vous indique s'il y a eu des problèmes AWS réseau pour un ou plusieurs des flux réseau suivis par votre moniteur, pendant la période que vous avez sélectionnée pour consulter les indicateurs de performance. NHI est une valeur binaire, c’est-à-dire 1 ou 0, qui s’affiche dans la console comme étant **Dégradé** ou **Sain**. 
  + NHI est indiqué comme étant **Dégradé** s’il y a eu des problèmes avec la partie du réseau AWS que tout flux réseau dans le moniteur a traversé, à tout moment au cours de la période que vous avez sélectionnée. 
  + Dans le cas contraire, NHI est affiché comme **Sain**.

  Si le NHI est **Dégradé**, vous pouvez consulter le graphique à barres de l’**Indicateur d’état du réseau** pour obtenir plus d’informations. Le graphique vous indique à quel moment, au cours de la période sélectionnée, des problèmes de AWS réseau sont survenus pour les flux réseau suivis par votre moniteur. 
+ **Résumé du trafic :** observez les métriques globales des flux suivis par ce moniteur, pour la période que vous avez sélectionnée. Vous pouvez voir le temps moyen d’aller-retour, les sommes (totaux) des délais de transmission et des retransmissions, ainsi que la quantité moyenne de données transférées pour les flux dans le moniteur. Sachez que les données RTT peuvent être éparses, car elles ne sont pas toujours calculées.

**Onglet Explorateur historique**  
Dans l’onglet **Explorateur historique**, vous pouvez approfondir les informations relatives à des flux spécifiques. Vous pouvez examiner les métriques et les chemins d’accès au réseau pour les flux réseau les plus contributifs pour des périodes spécifiées. Dans les tableaux de métriques, vous pouvez filtrer les données en fonction de différentes catégories de flux, comme les flux entre les zones de disponibilité (`INTER_AZ`).   
+ **Métriques :** affichez des informations détaillées sur les principaux contributeurs pour chaque type de métrique pour lequel Network Flow Monitor agrège des données. Des tableaux distincts des principaux contributeurs sont fournis pour les délais de retransmission, les retransmissions, le temps d’aller-retour et les données transférées.
+ **Chemins d’accès au réseau :** pour avoir une idée de l’endroit où se produisent les anomalies, vous pouvez afficher le chemin de réseau d’un flux réseau. Lorsque vous sélectionnez une métrique spécifique dans un tableau de métriques, le chemin réseau de ce flux s’affiche sous le tableau. 

**Onglet Détails du moniteur**  
Dans l’onglet **Détails du moniteur**, vous pouvez voir des détails sur le moniteur, notamment son état, son ARN, la date de sa création et de sa dernière mise à jour, ainsi que les flux inclus.

Vous pouvez choisir de modifier ou de supprimer un moniteur à partir de n’importe quelle page de l’onglet **Moniteurs**.

Dans le cadre de votre utilisation régulière de Network Flow Monitor, nous vous recommandons d’examiner périodiquement les données de la page **Informations sur la charge de travail** afin de déterminer si de nouveaux flux présentent des anomalies de métriques que vous voulez suivre de plus près au fil du temps. Lorsque vous voyez un ensemble de flux sur la page **Informations charge de travail** dont vous voulez voir les détails, sélectionnez les flux et créez un moniteur pour eux.

# Supprimer la portée pour Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-disable"></a>

Si vous décidez de ne plus vouloir surveiller les flux réseau à l’aide de Network Flow Monitor, vous pouvez supprimer votre portée de Network Flow Monitor. Lorsque vous supprimez votre portée, vous ne pouvez plus voir les informations sur les performances du réseau.

Avant de pouvoir supprimer votre portée, vous devez supprimer tous les moniteurs. Sachez que la suppression des moniteurs peut prendre environ 15 minutes après que vous en avez fait la requête. Pour de plus amples informations, veuillez consulter [Supprimer un moniteur dans Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md). 

**Pour supprimer votre portée**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation de gauche, sous **Surveillance du réseau**, choisissez **Moniteurs de flux**.

1. Dans l’onglet **Paramètres**, sélectionnez **Supprimer la portée**.

1. Dans la boîte de dialogue, saisissez le texte de confirmation, puis sélectionnez **Supprimer la portée**.

# Afficher les métriques du Network Flow Monitor dans CloudWatch
<a name="CloudWatch-NetworkFlowMonitor-cw-metrics"></a>

Network Flow Monitor diffuse les métriques de performances de flux réseau suivantes sur votre compte : temps d’aller-retour, retransmissions TCP, délais de retransmission TCP, données transférées et indicateur d’état du réseau. Vous pouvez consulter ces statistiques dans CloudWatch Metrics de la CloudWatch console Amazon. 

Pour trouver toutes les métriques de votre moniteur, dans le tableau de bord CloudWatch des métriques, consultez l'espace de noms `AWS/NetworkFlowMonitor` personnalisé. Les métriques sont agrégées pour chaque moniteur déployé et actif. 

Network Flow Monitor fournit les métriques suivantes. Sachez que les RoundTripTime données peuvent être rares, car cette métrique n'est pas toujours calculée.


| Métrique | Description | 
| --- | --- | 
| DataTransferred | Le nombre d’octets transférés pour tous les flux d’un moniteur. | 
| Retransmissions | Le nombre total de retransmissions pour un moniteur. Les retransmissions se produisent lorsque l’expéditeur doit renvoyer des paquets qui ont été endommagés ou perdus. | 
| Délais | Nombre total de délais de retransmission pour un moniteur. Cela se produit lorsque l’expéditeur manque trop d’accusés de réception et décide donc de prendre un temps d’arrêt et d’arrêter complètement l’envoi. | 
| RoundTripTime | Temps moyen d’aller-retour des flux réseau pour un moniteur. Cette métrique, mesurée en microsecondes, est une mesure de performance. Elle enregistre le temps nécessaire pour que le trafic soit transmis d’une ressource locale à une adresse IP distante et pour que la réponse associée soit reçue. Le temps est une moyenne sur la période d’agrégation. Les données peuvent être éparses, car cette métrique n’est pas toujours calculée. | 
| HealthIndicator | Indicateur d’état du réseau (NHI) pour l’ensemble d’un moniteur. L'indicateur de santé du réseau (NHI) est une valeur qui met en évidence une défaillance AWS du réseau. La valeur NHI est de 1 (dégradé) s’il y a eu un problème de réseau AWS au cours d’une période spécifiée. Elle est fixée à 0 (sain) si aucun problème de réseau AWS n’a été détecté. L’observation du NHI peut vous aider à prioriser le dépannage de votre charge de travail ou du réseau AWS .  | 

# Créer des alarmes avec Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-create-alarm"></a>

Vous pouvez créer des CloudWatch alarmes Amazon en fonction des métriques du Network Flow Monitor, comme vous le pouvez pour les autres CloudWatch métriques.

Par exemple, vous pouvez créer une alarme basée sur la métrique `Retransmissions` de Surveillance du flux réseau et la configurer pour envoyer une notification lorsque la métrique est supérieure à une valeur que vous avez choisie. Vous configurez les alarmes pour les métriques Network Flow Monitor en suivant les mêmes directives que pour les autres CloudWatch métriques. 

Vous trouverez ci-dessous des exemples de métriques Network Flow Monitor pour lesquelles vous pourriez choisir de créer une alarme :
+ **Retransmissions**
+ **Délais**
+ **RoundTripTime**

Pour voir toutes les métriques disponibles pour Network Flow Monitor, consultez [Création d'une CloudWatch alarme basée sur un seuil statique](ConsoleAlarms.md).

La procédure suivante fournit un exemple de définition d'une alarme sur les **retransmissions** en accédant à la métrique dans le CloudWatch tableau de bord. Ensuite, vous suivez les CloudWatch étapes standard pour créer une alarme en fonction d'un seuil que vous choisissez, puis vous configurez une notification ou choisissez d'autres options.

**Pour créer une alarme pour les **retransmissions dans Metrics** CloudWatch**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Choisissez **Métriques**, puis **Toutes les métriques**.

1. Filtrez pour Network Flow Monitor en sélectionnant `AWS/NetworkFlowMonitor`.

1. Choisissez **MeasurementSource, MonitorName**.

1. Dans la liste, sélectionnez **Retransmissions**.

1. **GraphedMetrics**Dans l'onglet, sous **Actions**, choisissez l'icône en forme de cloche pour créer une alarme basée sur un seuil statique.

Suivez maintenant les CloudWatch étapes standard pour choisir les options de l'alarme. Par exemple, vous pouvez choisir d’être notifié par un message Amazon SNS si **Retransmissions** est inférieur à un nombre seuil spécifique. Vous pouvez également, à la place ou en complément, ajouter l'alerte à un tableau de bord.

Gardez à l’esprit les points suivants :
+ Les métriques de Network Flow Monitor sont généralement agrégées et envoyées au dorsal de Network Flow Monitor toutes les 30 secondes, avec une gigue potentielle de 5 secondes (autrement dit, 25 à 35 secondes).
+ Lorsque vous créez une alarme basée sur les métriques de Network Flow Monitor, veillez à prendre en compte le court délai avant publication lorsque vous définissez la période de recul d’une alarme. Nous vous recommandons de configurer les **Périodes d'évaluation** avec une période rétrospective d'au moins 25 minutes.

Pour plus d'informations sur les options qui s'offrent à vous lorsque vous créez une CloudWatch alarme, consultez[Création d'une CloudWatch alarme basée sur un seuil statique](ConsoleAlarms.md).

# AWS CloudTrail pour Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-monitoring-overview"></a>

La surveillance d'un service joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de Network Flow Monitor et de vos autres AWS solutions. *AWS CloudTrail*capture les appels d'API et les événements associés effectués par vous ou en votre nom Compte AWS et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes qui ont appelé AWS, l’adresse IP source à partir de laquelle les appels ont été émis, ainsi que le moment où les appels ont eu lieu. Pour de plus amples informations, veuillez consulter le [Guide de l’utilisateur AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

Pour plus d'informations sur la CloudTrail journalisation du Network Flow Monitor, consultez[Moniteur de flux réseau dans CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct).

# Résolution des problèmes dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting"></a>

Cette section fournit des conseils pour la résolution des erreurs avec Network Flow Monitor, notamment la résolution des problèmes liés à l’installation des agents.

## Résolution des problèmes d’installation des agents EKS
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation"></a>

Lorsque vous essayez de mettre à niveau le module complémentaire AWS Network Flow Monitor Agent pour EKS de la version 1.0.0 à la version v1.0.1 dans AWS Management Console, le message d'erreur suivant peut s'afficher :

« Le compte de service `aws-network-flow-monitoring-agent-service-account` dans la configuration de l’identité du pod n’est pas pris en charge pour le module complémentaire `aws-network-flow-monitoring-agent`. »

Cette erreur est renvoyée parce qu’une ressource a été renommée. Le module complémentaire EKS v1.0.1 modifie le nom du compte de service de `aws-network-flow-monitoring-agent-service-account` à `aws-network-flow-monitor-agent-service-account`.

Ensuite, si l’option **Non défini** n’est pas sélectionnée dans la console, l’association d’identité du pod n’est pas réinitialisée au nouveau nom de la ressource.

Pour résoudre ce problème, procédez comme suit lorsque vous mettez à niveau la nouvelle version en utilisant la console :

1. Sous **Rôle IAM de l’identité du pod pour le compte de service**, sélectionnez **Non défini**.

1. Sélectionnez **Nouvelle version (v1.0.1)**.

1. Sélectionnez **Mettre à niveau**.

1. Sélectionnez **Enregistrer les modifications**.

# Sécurité et protection des données dans Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-security-nfw"></a>

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Network Flow Monitor, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables. 

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l’utilisation de Network Flow Monitor. Les rubriques suivantes vous montrent comment configurer Network Flow Monitor pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser les ressources de votre Network Flow Monitor. 

**Topics**
+ [Protection des données dans Network Flow Monitor](data-protection-nfw.md)
+ [Sécurité de l’infrastructure dans Network Flow Monitor](infrastructure-security-nfw.md)
+ [Gestion des identités et des accès pour Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)

# Protection des données dans Network Flow Monitor
<a name="data-protection-nfw"></a>

Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Network Flow Monitor. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+  SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Network Flow Monitor ou un autre outil Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

# Sécurité de l’infrastructure dans Network Flow Monitor
<a name="infrastructure-security-nfw"></a>

En tant que service géré, Network Flow Monitor est protégé par les procédures de sécurité du réseau AWS mondial décrites dans le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).

Vous utilisez des appels d'API AWS publiés pour accéder à Network Flow Monitor via le réseau. Les clients doivent supporter le protocole TLS (Sécurité de la couche transport) 1.0 ou une version ultérieure. Nous vous recommandons le certificat TLS 1.2 ou une version ultérieure. Les clients doivent aussi prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

# Gestion des identités et des accès pour Network Flow Monitor
<a name="CloudWatch-NetworkFlowMonitor-security-iam"></a>

Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé* (avoir des autorisations) à utiliser les ressources de Network Flow Monitor. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

**Topics**
+ [Comment Network Flow Monitor fonctionne avec IAM](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS politiques gérées](security-iam-awsmanpol-network-flow-monitor.md)
+ [Rôles liés à un service](using-service-linked-roles-network-flow-monitor.md)

# Comment Network Flow Monitor fonctionne avec IAM
<a name="security_iam_service-with-iam-network-flow-monitor"></a>

Avant d’utiliser IAM pour gérer l’accès à Network Flow Monitor, découvrez les fonctionnalités IAM disponibles pour Network Flow Monitor.

Pour consulter des tableaux présentant une vue d'ensemble similaire du fonctionnement des AWS services avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.


**Fonctionnalités IAM que vous pouvez utiliser avec Network Flow Monitor**  

| Fonctionnalité IAM | Prise en charge de Network Flow Monitor | 
| --- | --- | 
|  [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies-nfm)  |   Oui  | 
|  [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies-nfm)  |   Non   | 
|  [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions-nfm)  |   Oui  | 
|  [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources-nfm)  |   Oui  | 
|  [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm)  |   Oui  | 
|  [ACLs](#security_iam_service-with-iam-acls-nfm)  |   Non   | 
|  [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags-nfm)  |   Oui  | 
|  [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds-nfm)  |   Oui  | 
|  [Autorisations de principal](#security_iam_service-with-iam-principal-permissions-nfm)  |   Oui  | 
|  [Rôles du service](#security_iam_service-with-iam-roles-service-nfm)  |   Non   | 
|  [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked-nfm)  |   Oui  | 

## Politiques basées sur l’identité pour Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-nfm"></a>

**Prend en charge les politiques basées sur l’identité :** oui

Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.

## Politiques basées sur les ressources pour Network Flow Monitor
<a name="security_iam_service-with-iam-resource-based-policies-nfm"></a>

**Prend en charge les politiques basées sur les ressources :** non 

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les politiques de confiance de rôle IAM et les politiques de compartiment Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique.

## Actions de politique pour Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-actions-nfm"></a>

**Prend en charge les actions de politique :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Pour voir la liste des actions de Network Flow Monitor, consultez [Actions définies par Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) dans la *Référence pour l’autorisation de service*.

Les actions de politique dans Network Flow Monitor utilisent le préfixe suivant avant l’action :

```
networkflowmonitor
```

Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.

```
"Action": [
      "networkflowmonitor:action1",
      "networkflowmonitor:action2"
         ]
```

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante :

```
"Action": "networkflowmonitor:Describe*"
```

## Ressources de politique pour Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-resources-nfm"></a>

**Prend en charge les ressources de politique :** oui

Dans la *Référence d’autorisation de service*, vous pouvez voir les informations suivantes relatives à Network Flow Monitor :
+ Pour consulter la liste des types de ressources Network Flow Monitor et leurs ARNs caractéristiques, voir [Ressources définies par Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies).
+ Pour connaître les actions que vous pouvez spécifier avec l’ARN de chaque ressource, consultez [Actions définies par Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

## Clés de condition de politique pour Network Flow Monitor
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys-nfm"></a>

**Prend en charge les clés de condition de politique spécifiques au service :** oui

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.

Pour obtenir une liste des clés de condition pour Network Flow Monitor, consultez [Clés de condition pour Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) dans la *Référence pour l’autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).

## ACLs dans Network Flow Monitor
<a name="security_iam_service-with-iam-acls-nfm"></a>

**Supports ACLs :** Non 

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.

## ABAC avec Network Flow Monitor
<a name="security_iam_service-with-iam-tags-nfm"></a>

**Prise en charge d’ABAC (balises dans les politiques) :** Oui

Network Flow Monitor prend *partiellement* en charge les balisages dans les politiques. Il prend en charge le balisage pour une ressource, les moniteurs.

Pour utiliser des balises avec Network Flow Monitor, utilisez le AWS Command Line Interface ou un AWS SDK. Le balisage pour Network Flow Monitor n'est pas pris en charge avec le AWS Management Console.

Pour en savoir plus sur l'utilisation des balises dans les politiques en général, consultez les informations suivantes.

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.

Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.

Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.

Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation d’informations d’identification temporaires avec Network Flow Monitor
<a name="security_iam_service-with-iam-roles-tempcreds-nfm"></a>

**Prend en charge les informations d’identification temporaires :** oui

Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.

## Autorisations de principal entre services pour Network Flow Monitor
<a name="security_iam_service-with-iam-principal-permissions-nfm"></a>

**Prend en charge les sessions d’accès direct (FAS) :** oui

 Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Rôles de service pour Network Flow Monitor
<a name="security_iam_service-with-iam-roles-service-nfm"></a>

**Prend en charge les rôles de service :** Non 

 Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*. 

## Rôle lié à un service pour Network Flow Monitor
<a name="security_iam_service-with-iam-roles-service-linked-nfm"></a>

**Prend en charge les rôles liés à un service :** oui

 Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service. 

Pour plus d’informations sur le rôle lié à un service pour Network Flow Monitor, consultez [Rôles liés à un service pour Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

Pour plus de détails sur la création ou la gestion des rôles liés à un service en général dans AWS, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.

# AWS politiques gérées pour Network Flow Monitor
<a name="security-iam-awsmanpol-network-flow-monitor"></a>

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

## AWS politique gérée : CloudWatchNetworkFlowMonitorServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorServiceRolePolicy"></a>

Vous ne pouvez pas joindre de `CloudWatchNetworkFlowMonitorServiceRolePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié à un service nommé **AWSServiceRoleForNetworkFlowMonitor**, qui publie les résultats de l'agrégation de télémétrie réseau, collectés par les agents Network Flow Monitor, à. CloudWatch Elle permet également au service d’utiliser AWS Organizations pour obtenir des informations dans le cadre de scénarios à plusieurs comptes.

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

## AWS politique gérée : CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy"></a>

Vous ne pouvez pas joindre de ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` à vos entités IAM. Cette politique est attachée à un rôle lié à un service nommé. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** À l’aide de ces autorisations, ainsi que de la collecte interne d’informations sur les métadonnées (pour améliorer les performances), ce rôle lié à un service rassemble des métadonnées sur les configurations du réseau de ressources, telles que la description des tables de routage et des passerelles, pour les ressources dont le trafic réseau est surveillé par ce service. Ces métadonnées permettent à Network Flow Monitor de générer des instantanés de la topologie des ressources. En cas de dégradation du réseau, Network Flow Monitor utilise les topologies pour fournir des indications sur l’emplacement des problèmes dans le réseau et pour aider à déterminer l’attribution des problèmes. 

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).

## AWS politique gérée : CloudWatchNetworkFlowMonitorAgentPublishPolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy"></a>

Vous pouvez utiliser cette politique IAM dans les rôles IAM attachés aux ressources d’instance Amazon EC2 et Amazon EKS pour envoyer des rapports de télémétrie (métriques) à un point de terminaison Network Flow Monitor.

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

## Mises à jour des rôles liés à un service Network Flow Monitor
<a name="security-iam-awsmanpol-network-flow-monitor-updates"></a>

Pour les mises à jour des politiques AWS gérées pour les rôles liés au service Network Flow Monitor, consultez le [tableau des mises à jour des politiques AWS gérées](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) pour. CloudWatch Vous pouvez également vous abonner aux alertes RSS automatiques sur la [page Historique du CloudWatch document](DocumentHistory.md).

# Rôles liés à un service pour Network Flow Monitor
<a name="using-service-linked-roles-network-flow-monitor"></a>

Network Flow Monitor utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Network Flow Monitor. Le rôle lié au service est prédéfini par Network Flow Monitor et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Network Flow Monitor définit les autorisations des rôles liés à un service et, sauf définition contraire, seul Network Flow Monitor peut assumer les rôles. Les autorisations définies comprennent les politiques d’approbation et les politiques d’autorisation. Les politiques d’autorisation ne peuvent pas être rattachées à une autre entité IAM.

Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cette restriction protège vos ressources Network Flow Monitor, car vous ne pouvez pas supprimer par inadvertance les autorisations d’accès aux ressources.

Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, consultez les services [AWS opérationnels avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services présentant la mention **Yes** (Oui) dans la colonne **Service-linked roles** (Rôles liés à un service). Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle lié à un service pour Network Flow Monitor
<a name="service-linked-role-permissions-NetworkFlowMonitor"></a>

Network Flow Monitor utilise les rôles liés à un service suivants : 
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**

### Autorisations de rôle liées à un service pour AWSService RoleForNetworkFlowMonitor
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor"></a>

Network Flow Monitor utilise le rôle lié au service nommé. **AWSServiceRoleForNetworkFlowMonitor** Ce rôle permet à Network Flow Monitor de publier des métriques de télémétrie CloudWatch agrégées recueillies pour le trafic réseau entre les instances et entre les instances et AWS les emplacements. Elle permet également au service d’utiliser AWS Organizations pour obtenir des informations dans le cadre de scénarios à plusieurs comptes.

Ce rôle lié à un service utilise la politique gérée `CloudWatchNetworkFlowMonitorServiceRolePolicy`. 

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

Le rôle lié à un service **AWSServiceRoleForNetworkFlowMonitor** approuve le fait que le service suivant endosse le rôle :
+ `networkflowmonitor.amazonaws.com`

### Autorisations de rôle liées à un service pour AWSServiceRoleForNetworkFlowMonitor\$1Topology
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor_Topology"></a>

Network Flow Monitor utilise le rôle lié au service nommé. **AWSServiceRoleForNetworkFlowMonitor\$1Topology** Ce rôle permet à Network Flow Monitor de générer un instantané de la topologie des ressources que vous utilisez avec Network Flow Monitor.

Ce rôle lié à un service utilise la politique gérée `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`. 

Pour voir les autorisations de cette stratégie, consultez [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.

Le rôle lié à un service **AWSServiceRoleForNetworkFlowMonitor\$1Topology** approuve le fait que le service suivant endosse le rôle :
+ `topology.networkflowmonitor.amazonaws.com`

## Création d’un rôle lié à un service pour Network Flow Monitor
<a name="create-service-linked-role-network-flow-monitor"></a>

Vous ne devez pas créer manuellement les rôles liés à un service pour Network Flow Monitor. La première fois que vous initialisez Network Flow Monitor, Network Flow Monitor crée **AWSServiceRoleForNetworkFlowMonitor**et **AWSServiceRoleForNetworkFlowMonitor\$1Topology**pour vous.

Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Modification d’un rôle lié à un service pour Network Flow Monitor
<a name="edit-service-linked-role-network-flow-monitor"></a>

Une fois que Network Flow Monitor a créé un rôle lié à un service dans votre compte, vous ne pouvez pas modifier le nom du rôle, car diverses entités peuvent y faire référence. Vous pouvez modifier la description du rôle en utilisant IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Suppression d’un rôle lié à un service pour Network Flow Monitor
<a name="delete-service-linked-role-network-flow-monitor"></a>

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources du rôle lié à un service avant de pouvoir les supprimer manuellement.

**Note**  
Si le service Network Flow Monitor utilise le rôle lorsque vous essayez de le supprimer, la suppression risque d’échouer. Si cela se produit, attendez quelques minutes puis réessayez.

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle **AWSServiceRoleForNetworkFlowMonitor**ou le rôle lié au **AWSServiceRoleForNetworkFlowMonitor\$1Topology**service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Mises à jour du rôle lié à un service pour Network Flow Monitor
<a name="security-iam-awsmanpol-updates-network-flow-monitor"></a>

Pour les mises à jour `CloudWatchNetworkFlowMonitorServiceRolePolicy` ou `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` les politiques AWS gérées pour les rôles liés au service Network Flow Monitor, voir les [CloudWatch mises à jour des politiques AWS gérées](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Pour recevoir des alertes automatiques concernant les modifications de politique gérées dans CloudWatch, abonnez-vous au flux RSS sur la page [Historique du CloudWatch document](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html).