Inizializza Network Flow Monitor per il monitoraggio di più account - Amazon CloudWatch
Panoramica della configurazione di più accountConfigurazione AWS OrganizationsAggiungi più accountAggiungi le autorizzazioni per la console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inizializza Network Flow Monitor per il monitoraggio di più account

Se desideri monitorare i flussi di rete in Network Flow Monitor per risorse di proprietà di account diversi, devi prima configurare Amazon CloudWatch con AWS Organizations. Per utilizzare più account in Network Flow Monitor, devi attivare l'accesso affidabile per CloudWatch ed è consigliabile registrare anche un amministratore delegato.

Inoltre, se prevedi di creare monitor per i flussi di rete dalla console, devi aggiungere una policy di Network Flow Monitor al ruolo associato alle tue risorse. La policy consente di visualizzare le risorse di altri account nella console, in modo da poter aggiungere le risorse di più account a un monitor.

Per monitorare i flussi di rete relativi alle risorse di proprietà di account diversi, è necessario eseguire ulteriori passaggi di configurazione. Innanzitutto, come account di gestione, è necessario configurare CloudWatch con AWS Organizations per attivare l'accesso attendibile e, in genere, è necessario registrare anche un account amministratore delegato. Quindi, utilizzando l'account amministratore delegato, è possibile aggiungere altri account all'interno dell'organizzazione, impostare l'ambito di osservabilità della rete e includere le risorse in tali account. (Puoi anche aggiungere più account con un account di gestione, ma in Organizations è consigliabile utilizzare l'account amministratore delegato quando lavori con le risorse di un servizio. Nelle istruzioni per Network Flow Monitor riportate qui di seguito sono riportate le procedure che seguono.)

Tieni presente che se non hai bisogno di monitorare i flussi di rete per le istanze provenienti da più account, puoi utilizzare Network Flow Monitor con un solo account. L'ambito di Network Flow Monitor viene impostato automaticamente sull' AWS account con cui accedi.

Utilizza le indicazioni riportate nelle sezioni seguenti per completare questi passaggi.

Panoramica dei passaggi per l'utilizzo di più account in Network Flow Monitor

Per iniziare a usare Network Flow Monitor, tutti gli account che non hanno mai utilizzato Network Flow Monitor devono inizializzare Network Flow Monitor. Quando inizializzi Network Flow Monitor per un account, Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati al servizio e crea un ambito dell'account o degli account da includere nell'osservabilità della rete. Per utilizzare più account in Network Flow Monitor, ci sono passaggi aggiuntivi con cui eseguire l'integrazione e quindi aggiungere gli account con AWS Organizations cui lavorare.

In sintesi, procedi nel seguente modo:

  1. Accedi a AWS Management Console come account di gestione, quindi procedi come segue:

    • Completa i passaggi richiesti per l'integrazione con AWS Organizations in CloudWatch.

  2. Accedi a AWS Management Console come account amministratore delegato, quindi procedi come segue:

    • Inizializza Network Flow Monitor, inclusa l'aggiunta di account da includere nel tuo ambito.

    • Aggiungi le autorizzazioni necessarie per accedere alle risorse presenti in altri account dalla console.

Se stai configurando Network Flow Monitor per lavorare con più account e non hai dimestichezza con questo AWS Organizations, consulta le seguenti risorse per conoscere concetti come l'account di gestione, l'accesso affidabile e l'account amministratore delegato e per scoprire come integrare Organizations con CloudWatch.

Segui i passaggi nelle seguenti sezioni per indicazioni specifiche sulla configurazione di Network Flow Monitor per più account.

Configura AWS Organizations in CloudWatch

Per configurare Network Flow Monitor con AWS Organizations, accedi all'account di gestione e attiva l'accesso affidabile per CloudWatch. Quindi, registra un account amministratore delegato da utilizzare per inizializzare Network Flow Monitor e aggiungere più account.

Se hai già configurato Organizations in CloudWatch per attivare l'accesso affidabile per Organizations in CloudWatch e registrare un account amministratore delegato, non è necessario configurare altro per Organizations specifico per Network Flow Monitor. Puoi accedere con l'account amministratore delegato di e quindi inizializzare Network Flow Monitor CloudWatch, inclusa l'aggiunta di più account per l'ambito di osservabilità della rete.

Se non hai ancora configurato Organizations in CloudWatch, segui i passaggi qui per attivare l'accesso affidabile e registrare un account amministratore delegato.

Attiva l'accesso affidabile in CloudWatch

Prima di poter utilizzare Network Flow Monitor con più di un account nella tua organizzazione, devi attivare la funzione di accesso affidabile AWS Organizations in Amazon CloudWatch. Utilizza i seguenti passaggi per attivare l'accesso affidabile nella CloudWatch console.

Per attivare l'accesso attendibile

  1. Accedi alla console con l'account di gestione della tua organizzazione.

  2. Nella CloudWatch console, nel riquadro di navigazione, scegli Impostazioni.

  3. Scegli la scheda Organizations.

  4. In Impostazioni di gestione organizzativa, scegli Attiva. Viene visualizzata la pagina Abilita accesso affidabile.

  5. Per rivedere la politica del ruolo, scegli Visualizza i dettagli delle autorizzazioni per visualizzare la politica del ruolo.

  6. Scegliere Enable trusted access (Abilita accesso sicuro).

Ora, man mano che CloudWatch rileva le risorse, aggiorna automaticamente le informazioni sugli account per i quali hai l'autorizzazione ad accedere alle risorse in Network Flow Monitor.

Registra un account amministratore delegato

Come procedura consigliata AWS Organizations, l'account di gestione dell'organizzazione dovrebbe registrare un account membro come account amministratore delegato per. CloudWatch Dopo aver registrato un account amministratore delegato CloudWatch, i membri dell'organizzazione possono accedere con l'account amministratore delegato per monitorare le prestazioni di rete relative alle risorse di più account in Network Flow Monitor.

Utilizzando l'account amministratore delegato, è possibile aggiungere più account per l'ambito di osservabilità della rete in Network Flow Monitor. Sebbene l'account di gestione possa anche creare un ambito che include più account, consigliamo di seguire le migliori pratiche AWS Organizations e utilizzare un account amministratore delegato per aggiungere più account in Network Flow Monitor. Per gli account membro che non sono l'account amministratore delegato, l'ambito è limitato all'account con accesso, che viene impostato automaticamente per l'ambito.

Un account amministratore delegato per Organizations è un account membro che condivide l'accesso di amministratore per le autorizzazioni gestite dal servizio. L'account che scegli di registrare come account amministratore delegato deve essere un account membro dell'organizzazione. Un account amministratore delegato per la tua organizzazione può essere utilizzato al di fuori di CloudWatch, quindi assicurati di conoscere questo tipo di account prima di seguire questa procedura. Per ulteriori informazioni, consulta Amazon CloudWatch e AWS Organizations nella Guida AWS Organizations per l'utente.

Per registrare un account amministratore delegato

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Organizzazione.

  4. Scegliere Registra amministratore delegato.

  5. Nella finestra Registra amministratore delegato, nel campo ID account amministratore delegato, inserisci l'ID dell'account membro dell'organizzazione a 12 cifre.

  6. Scegliere Registra amministratore delegato. Nella parte superiore della pagina, viene visualizzato un messaggio che indica che l'account è stato registrato correttamente. Viene visualizzata la pagina Impostazioni dell'organizzazione. Per visualizzare le informazioni sull'account amministratore delegato, passa il mouse sul numero sotto Amministratori delegati.

Per rimuovere o modificare l'account amministratore delegato, annulla prima la registrazione dell'account. Per ulteriori informazioni, consulta Annullamento della registrazione di un account amministratore delegato.

Aggiungi più account al tuo ambito

Per aggiungere account all'ambito di Network Flow Monitor, accedi con l'account amministratore delegato. (Puoi aggiungere account a un ambito se hai effettuato l'accesso con l'account di gestione, ma è consigliabile AWS Organizations utilizzare l'account amministratore delegato per lavorare con le risorse.)

Dopo aver effettuato l'accesso con l'account amministratore delegato, inizializza Network Flow Monitor per autorizzare le autorizzazioni richieste per i ruoli collegati al servizio, imposta l'ambito di osservabilità della rete aggiungendo account e crea una topologia iniziale per gli account inclusi nell'ambito. L'account con cui accedi, in questo caso, l'account amministratore delegato, viene automaticamente incluso nell'ambito del Network Flow Monitor. Per aggiungere account al tuo ambito in modo da poter monitorare i flussi di rete alla ricerca di risorse in più account, procedi nel seguente modo.

Per aggiungere account al tuo ambito

  1. Accedi alla console con l'account di gestione della tua organizzazione.

  2. Nel pannello di navigazione della CloudWatch console, in Monitoraggio della rete, scegli Monitoraggi di flusso.

  3. In Guida introduttiva a Network Flow Monitor, nel passaggio 1, scegli Avvia inizializzazione.

  4. Nella pagina Network Flow Monitor, in Aggiungi account, scegli Aggiungi. L'account con cui hai effettuato l'accesso viene automaticamente incluso nell'ambito e appare già nella tabella Account nell'ambito come (questo account).

  5. Nella pagina di dialogo Aggiungi account, filtra facoltativamente gli account, quindi seleziona fino a 99 account aggiuntivi da aggiungere all'ambito. Il numero massimo di account in un ambito è 100.

  6. Scegli Aggiungi.

  7. Scegli Initialize Network Flow Monitor. Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati al servizio, crea un ambito che include tutti gli account specificati e quindi crea una topologia iniziale delle risorse negli account inclusi nell'ambito.

Imposta le autorizzazioni per l'accesso alle risorse con più account (solo console)

Se prevedi di creare monitor per i flussi di rete dalla console, è richiesta una politica specifica per ogni account membro del tuo ambito. Questa politica consente di visualizzare le risorse di altri account quando si aggiungono risorse locali e remote a un monitor.

Per ogni account che rientra nel tuo ambito, crea un ruolo e allega la EC2 ReadOnlyAccess policy di Amazon. NetworkFlowMonitorAccountResourceAccess Per vedere i dettagli delle autorizzazioni per la politica, consulta Amazon EC2 ReadOnlyAccess nella AWS Managed Policy Reference Guide.

Questa politica si aggiunge alla politica che è necessario aggiungere a ciascuna istanza in modo che l'agente Network Flow Monitor possa inviare i parametri delle prestazioni dall'istanza al server backend di ingestione di Network Flow Monitor. Per ulteriori informazioni sui requisiti per gli agenti, vedere. Installa gli agenti Network Flow Monitor sulle istanze

La procedura seguente fornisce un riepilogo dei passaggi per creare il ruolo richiesto per l'accesso alle risorse dell'ambito nella console Network Flow Monitor. Per indicazioni generali su come creare un ruolo in IAM, consulta Creare un ruolo per concedere autorizzazioni a un utente IAM nella Guida per l' AWS Identity and Access Management utente.

Per creare un ruolo per l'accesso alle risorse nella console Network Flow Monitor

  1. Accedi AWS Management Console e apri la console IAM.

  2. Nel pannello di navigazione della console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Specificate l'entità attendibile dell'AWS account. Questo tipo di entità affidabile consente ai responsabili di altri AWS account di assumere il ruolo e accedere alle risorse di altri account.

  4. Scegli Next (Successivo).

  5. Nell'elenco delle politiche AWS gestite, scegli la EC2 ReadOnlyAccess politica di Amazon.

  6. Scegli Next (Successivo).

  7. Per il nome del ruolo, inserisci NetworkFlowMonitorAccountResourceAccess.

  8. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).