Inisialisasi Network Flow Monitor untuk pemantauan multi-akun - Amazon CloudWatch
Ikhtisar pengaturan multi-akunKonfigurasikan AWS OrganizationsTambahkan beberapa akunTambahkan izin untuk konsol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Inisialisasi Network Flow Monitor untuk pemantauan multi-akun

Jika Anda ingin memantau aliran jaringan di Network Flow Monitor untuk sumber daya yang dimiliki oleh akun yang berbeda, Anda harus terlebih dahulu mengonfigurasi Amazon CloudWatch dengan AWS Organizations. Untuk menggunakan beberapa akun di Network Flow Monitor, Anda harus mengaktifkan akses tepercaya CloudWatch, dan merupakan praktik terbaik untuk mendaftarkan administrator yang didelegasikan.

Selain itu, jika Anda berencana untuk membuat monitor untuk aliran jaringan dari konsol, Anda harus menambahkan kebijakan Network Flow Monitor ke peran yang dilampirkan ke sumber daya Anda. Kebijakan ini memungkinkan Anda untuk melihat sumber daya dari akun lain di konsol, sehingga Anda dapat menambahkan sumber daya di beberapa akun ke monitor.

Untuk memantau arus jaringan untuk sumber daya yang dimiliki oleh akun yang berbeda, ada langkah-langkah konfigurasi tambahan yang harus diambil. Pertama, sebagai akun manajemen, Anda harus CloudWatch mengonfigurasinya AWS Organizations untuk mengaktifkan akses tepercaya, dan, biasanya, Anda juga akan mendaftarkan akun administrator yang didelegasikan. Kemudian, dengan menggunakan akun administrator yang didelegasikan, Anda dapat menambahkan lebih banyak akun di organisasi, untuk mengatur cakupan observabilitas jaringan agar menyertakan sumber daya di akun tersebut. (Anda juga dapat menambahkan beberapa akun dengan akun manajemen, tetapi merupakan praktik terbaik di Organizations untuk menggunakan akun administrator yang didelegasikan saat Anda bekerja dengan sumber daya dalam suatu layanan. Kami menyediakan langkah-langkah yang mengikuti panduan tersebut dalam instruksi di sini untuk Network Flow Monitor.)

Perhatikan bahwa jika Anda tidak perlu memantau alur jaringan untuk instance dari beberapa akun, Anda dapat menggunakan Network Flow Monitor dengan satu akun. Cakupan untuk Network Flow Monitor secara otomatis diatur ke AWS akun yang Anda gunakan untuk masuk.

Gunakan panduan di bagian berikut untuk menyelesaikan langkah-langkah ini.

Ikhtisar langkah-langkah untuk menggunakan beberapa akun di Network Flow Monitor

Untuk memulai dengan Network Flow Monitor, akun apa pun yang belum pernah menggunakan Network Flow Monitor sebelumnya harus menginisialisasi Network Flow Monitor. Saat Anda menginisialisasi Network Flow Monitor untuk akun, Network Flow Monitor menambahkan izin peran terkait layanan yang diperlukan dan membuat cakupan akun atau akun yang akan disertakan dalam observabilitas jaringan. Untuk bekerja dengan beberapa akun di Network Flow Monitor, ada langkah-langkah tambahan, untuk mengintegrasikan dengan AWS Organizations, dan kemudian menambahkan akun untuk bekerja dengan.

Singkatnya, Anda mengambil langkah-langkah berikut:

  1. Masuk ke AWS Management Console sebagai akun manajemen, dan kemudian lakukan hal berikut:

    • Selesaikan langkah-langkah yang diperlukan untuk mengintegrasikan dengan AWS Organizations in CloudWatch.

  2. Masuk ke akun administrator AWS Management Console yang didelegasikan, lalu lakukan hal berikut:

    • Inisialisasi Network Flow Monitor, termasuk menambahkan akun untuk disertakan dalam cakupan Anda.

    • Tambahkan izin yang diperlukan untuk mengakses sumber daya yang ada di akun lain dari konsol.

Jika Anda menyiapkan Network Flow Monitor agar berfungsi dengan beberapa akun dan Anda tidak terbiasa dengannya AWS Organizations, tinjau sumber daya berikut untuk mempelajari konsep seperti akun manajemen, akses tepercaya, dan akun administrator yang didelegasikan, serta mempelajari cara mengintegrasikan Organizations dengan CloudWatch.

Ikuti langkah-langkah di bagian berikut untuk panduan spesifik dalam mengonfigurasi Network Flow Monitor untuk beberapa akun.

Konfigurasikan AWS Organizations di CloudWatch

Untuk mengonfigurasi Network Flow Monitor dengan AWS Organizations, masuk ke akun manajemen, dan aktifkan akses tepercaya untuk CloudWatch. Kemudian, daftarkan akun administrator yang didelegasikan untuk digunakan untuk menginisialisasi Network Flow Monitor dan menambahkan beberapa akun.

Jika Anda telah mengonfigurasi Organizations CloudWatch untuk mengaktifkan akses terpercaya untuk Organizations CloudWatch dan mendaftarkan akun administrator yang didelegasikan, Anda tidak perlu mengonfigurasi apa pun lagi untuk Organizations yang khusus untuk Network Flow Monitor. Anda dapat masuk dengan akun administrator yang didelegasikan untuk CloudWatch, lalu menginisialisasi Network Flow Monitor, termasuk menambahkan beberapa akun untuk cakupan observabilitas jaringan Anda.

Jika Anda belum mengonfigurasi Organizations CloudWatch, ikuti langkah-langkah di sini untuk mengaktifkan akses tepercaya dan mendaftarkan akun administrator yang didelegasikan.

Aktifkan akses tepercaya di CloudWatch

Sebelum Anda dapat menggunakan Network Flow Monitor dengan lebih dari satu akun di organisasi Anda, Anda harus mengaktifkan akses tepercaya untuk AWS Organizations di Amazon CloudWatch. Gunakan langkah-langkah berikut untuk mengaktifkan akses tepercaya di CloudWatch konsol.

Untuk mengaktifkan akses tepercaya

  1. Masuk ke konsol dengan akun manajemen organisasi Anda.

  2. Di CloudWatch konsol, di panel navigasi, pilih Pengaturan.

  3. Pilih tab Organizations.

  4. Di Pengaturan Manajemen Organisasi, pilih Aktifkan. Halaman Aktifkan akses tepercaya muncul.

  5. Untuk meninjau kebijakan peran, pilih Lihat detail izin untuk melihat kebijakan peran.

  6. Pilih Aktifkan akses terpercaya.

Sekarang, ketika CloudWatch menemukan sumber daya, secara otomatis memperbarui informasi tentang akun yang Anda memiliki izin untuk mengakses sumber daya di Network Flow Monitor.

Daftarkan akun administrator yang didelegasikan

Sebagai praktik terbaik AWS Organizations, akun manajemen untuk organisasi Anda harus mendaftarkan akun anggota sebagai akun administrator yang didelegasikan. CloudWatch Setelah Anda mendaftarkan akun administrator yang didelegasikan CloudWatch, anggota organisasi Anda dapat masuk dengan akun administrator yang didelegasikan untuk memantau kinerja jaringan sumber daya di beberapa akun di Network Flow Monitor.

Dengan menggunakan akun administrator yang didelegasikan, Anda dapat menambahkan beberapa akun untuk cakupan observabilitas jaringan di Network Flow Monitor. Meskipun akun manajemen juga dapat membuat cakupan yang mencakup beberapa akun, sebaiknya Anda mengikuti praktik terbaik AWS Organizations dan menggunakan akun administrator yang didelegasikan untuk menambahkan beberapa akun di Network Flow Monitor. Untuk akun anggota yang bukan akun administrator yang didelegasikan, cakupannya terbatas pada akun yang masuk, yang secara otomatis diatur untuk cakupan.

Akun administrator yang didelegasikan untuk Organizations adalah akun anggota yang berbagi akses administrator untuk izin yang dikelola layanan. Akun yang Anda pilih untuk mendaftar sebagai akun administrator yang didelegasikan harus menjadi akun anggota di organisasi Anda. Akun administrator yang didelegasikan untuk organisasi Anda dapat digunakan di luar CloudWatch, jadi pastikan Anda memahami jenis akun ini sebelum mengikuti prosedur ini. Untuk informasi selengkapnya, lihat Amazon CloudWatch dan AWS Organizations di Panduan AWS Organizations Pengguna.

Untuk mendaftarkan akun administrator yang didelegasikan

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pilih tab Organisasi.

  4. Pilih Daftar administrator yang didelegasikan.

  5. Di jendela Daftar administrator yang didelegasikan, di bidang ID akun administrator yang didelegasikan, masukkan 12 digit ID akun anggota Organisasi.

  6. Pilih Daftar administrator yang didelegasikan. Di bagian atas halaman, muncul pesan yang menunjukkan akun berhasil didaftarkan. Halaman Pengaturan Organisasi akan muncul. Untuk melihat informasi tentang akun administrator yang didelegasikan, arahkan kursor ke nomor di bawah Administrator yang didelegasikan.

Untuk menghapus atau mengubah akun administrator yang didelegasikan, deregister akun terlebih dahulu. Untuk informasi selengkapnya, lihat membatalkan pendaftaran akun administrator yang didelegasikan.

Tambahkan beberapa akun ke ruang lingkup Anda

Untuk menambahkan akun ke cakupan Network Flow Monitor Anda, masuk dengan akun administrator yang didelegasikan. (Anda dapat menambahkan akun ke cakupan jika Anda masuk dengan akun manajemen, tetapi praktik terbaik adalah menggunakan akun administrator yang didelegasikan untuk bekerja dengan sumber daya.) AWS Organizations

Setelah Anda masuk dengan akun administrator yang didelegasikan, inisialisasi Network Flow Monitor untuk mengotorisasi izin peran terkait layanan yang diperlukan, mengatur cakupan untuk observabilitas jaringan Anda dengan menambahkan akun, dan membuat topologi awal untuk akun dalam cakupan Anda. Akun yang Anda masuki — dalam hal ini, akun administrator yang didelegasikan — secara otomatis disertakan dalam cakupan Network Flow Monitor Anda. Untuk menambahkan akun ke ruang lingkup sehingga Anda dapat memantau alur jaringan untuk sumber daya di beberapa akun, ikuti langkah-langkahnya di sini.

Untuk menambahkan akun ke ruang lingkup Anda

  1. Masuk ke konsol dengan akun manajemen organisasi Anda.

  2. Di panel navigasi untuk CloudWatch konsol, di bawah Pemantauan Jaringan, pilih Monitor aliran.

  3. Di bawah Memulai dengan Network Flow Monitor, pada Langkah 1, pilih Mulai inisialisasi.

  4. Pada halaman Network Flow Monitor, di bawah Tambah akun, pilih Tambah. Akun yang Anda gunakan masuk secara otomatis disertakan dalam cakupan dan sudah muncul di tabel Akun dalam cakupan sebagai (akun ini).

  5. Pada halaman dialog Tambah akun, filter akun secara opsional, lalu pilih hingga 99 akun tambahan untuk ditambahkan ke cakupan Anda. Jumlah maksimum akun dalam lingkup adalah 100.

  6. Pilih Tambahkan.

  7. Pilih Inisialisasi Monitor Aliran Jaringan. Network Flow Monitor menambahkan izin peran terkait layanan yang diperlukan, membuat cakupan yang mencakup semua akun yang Anda tentukan, dan kemudian membuat topologi awal sumber daya di akun dalam cakupan Anda.

Siapkan izin untuk akses sumber daya multi-akun (hanya konsol)

Jika Anda berencana membuat monitor untuk alur jaringan dari konsol, kebijakan khusus diperlukan untuk setiap akun anggota dalam cakupan Anda. Kebijakan ini memungkinkan Anda melihat sumber daya dari akun lain saat menambahkan sumber daya lokal dan jarak jauh ke monitor.

Untuk setiap akun dalam lingkup Anda, buat peran NetworkFlowMonitorAccountResourceAccess, dan lampirkan EC2 ReadOnlyAccess kebijakan Amazon. Untuk melihat detail izin kebijakan, lihat Amazon EC2 ReadOnlyAccess di Panduan Referensi Kebijakan AWS Terkelola.

Kebijakan ini merupakan tambahan dari kebijakan yang harus Anda tambahkan ke setiap instance sehingga agen Network Flow Monitor dapat mengirim metrik kinerja dari instans ke server backend konsumsi Network Flow Monitor. Untuk informasi lebih lanjut tentang persyaratan untuk agen, lihatInstal agen Network Flow Monitor pada instans.

Prosedur berikut menyediakan ringkasan langkah-langkah untuk membuat peran yang diperlukan untuk mengakses sumber daya dalam lingkup Anda di konsol Network Flow Monitor. Untuk panduan umum tentang cara membuat peran di IAM, lihat Membuat peran untuk memberikan izin kepada pengguna IAM di Panduan Pengguna. AWS Identity and Access Management

Untuk membuat peran untuk akses sumber daya di konsol Network Flow Monitor

  1. Masuk ke AWS Management Console dan buka konsol IAM.

  2. Di panel navigasi konsol, pilih Peran, lalu pilih Buat peran.

  3. Tentukan entitas terpercaya AWS akun. Jenis entitas tepercaya ini memungkinkan prinsipal di AWS akun lain untuk mengambil peran dan mengakses sumber daya di akun lain.

  4. Pilih Berikutnya.

  5. Dalam daftar kebijakan AWS terkelola, pilih EC2 ReadOnlyAccess kebijakan Amazon.

  6. Pilih Berikutnya.

  7. Untuk nama peran, masukkan NetworkFlowMonitorAccountResourceAccess.

  8. Tinjau peran lalu pilih Buat peran.