Inizializzazione di Network Flow Monitor per il monitoraggio di più account - Amazon CloudWatch
Panoramica della configurazione di più accountConfigurare AWS OrganizationsAggiunta di più accountAggiunta di autorizzazioni per la console

Inizializzazione di Network Flow Monitor per il monitoraggio di più account

Se desideri monitorare i flussi di rete in Network Flow Monitor per risorse di proprietà di account diversi, devi prima configurare Amazon CloudWatch con AWS Organizations. Per utilizzare più account in Network Flow Monitor, è necessario attivare l'accesso attendibile per CloudWatch ed è consigliabile registrare anche un amministratore delegato.

Inoltre, se prevedi di creare monitoraggi per i flussi di rete dalla console, devi aggiungere una policy di Network Flow Monitor al ruolo collegato alle tue risorse. La policy consente di visualizzare le risorse di altri account nella console, in modo da poter aggiungere le risorse di più account a un monitoraggio.

Per monitorare i flussi di rete relativi alle risorse di proprietà di account diversi, è necessario eseguire ulteriori passaggi di configurazione. Innanzitutto, come account di gestione, devi configurare CloudWatch con AWS Organizations per attivare l'accesso attendibile e, in genere, devi anche registrare un account amministratore delegato. Quindi, utilizzando l'account amministratore delegato, è possibile aggiungere altri account all'interno dell'organizzazione, per impostare l'ambito di osservabilità della rete e includere le risorse in tali account. Puoi anche aggiungere più account con un account di gestione, ma in Organizations è consigliabile utilizzare l'account amministratore delegato quando si lavora con le risorse di un servizio. Le istruzioni per Network Flow Monitor riportate qui di seguito si attengono a tale procedura consigliata.

Tieni presente che se non hai bisogno di monitorare i flussi di rete per le istanze di più account, puoi utilizzare Network Flow Monitor con un solo account. L'ambito di Network Flow Monitor viene impostato automaticamente sull'account AWS con cui effettui l'accesso.

Utilizza le istruzioni riportate nelle sezioni seguenti per completare questa procedura.

Panoramica dei passaggi per l'utilizzo di più account in Network Flow Monitor

Per iniziare a usare Network Flow Monitor, tutti gli account che non hanno mai utilizzato Network Flow Monitor devono inizializzare il servizio. Quando inizializzi Network Flow Monitor per un account, Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi e crea un ambito dell'account o degli account da includere nell'osservabilità della rete. Per utilizzare più account in Network Flow Monitor, sono necessari passaggi aggiuntivi per eseguire l'integrazione con AWS Organizations e quindi aggiungere gli account con cui lavorare.

In breve, procedi nel seguente modo:

  1. Accedi alla Console di gestione AWS con l'account di gestione, quindi effettui la procedura seguente:

    • Completa i passaggi richiesti per l'integrazione con AWS Organizations in CloudWatch.

  2. Accedi alla Console di gestione AWS con l'account di amministratore delegato e procedi come indicato di seguito:

    • Inizializza Network Flow Monitor, inclusa l'aggiunta di account da includere nel tuo ambito.

    • Aggiungi le autorizzazioni necessarie per accedere alle risorse presenti in altri account dalla console.

Se stai configurando Network Flow Monitor per lavorare con più account e non hai dimestichezza con AWS Organizations, consulta le seguenti risorse per informazioni su concetti come l'account di gestione, l'accesso attendibile e l'account amministratore delegato e per scoprire come integrare Organizations con CloudWatch.

Segui i passaggi nelle sezioni seguenti per indicazioni specifiche sulla configurazione di Network Flow Monitor per più account.

Configurazione di AWS Organizations in CloudWatch

Per configurare Network Flow Monitor con AWS Organizations, accedi all'account di gestione e attiva l'accesso attendibile per CloudWatch. Quindi, registra un account amministratore delegato da utilizzare per inizializzare Network Flow Monitor e aggiungere più account.

Se hai già configurato Organizations in CloudWatch per attivare l'accesso attendibile per Organizations in CloudWatch e hai registrato un account amministratore delegato, non sono necessarie altre impostazioni specifiche per Organizations per Network Flow Monitor. Puoi accedere con l'account amministratore delegato per CloudWatch e quindi inizializzare Network Flow Monitor, inclusa l'aggiunta di più account per l'ambito di osservabilità della rete.

Se non hai ancora configurato Organizations in CloudWatch, segui i passaggi qui per attivare l'accesso attendibile e registrare un account amministratore delegato.

Attivazione dell'accesso attendibile in CloudWatch

Prima di poter utilizzare Network Flow Monitor con più di un account nella tua organizzazione, devi attivare l'accesso attendibile per AWS Organizations in Amazon CloudWatch. Utilizza la procedura seguente per attivare l'accesso attendibile nella console CloudWatch.

Per attivare l'accesso attendibile

  1. Accedi alla console utilizzando l'account di gestione della tua organizzazione.

  2. Nella console CloudWatch, nel pannello di navigazione, scegli Impostazioni.

  3. Scegli la scheda Organizzazioni.

  4. In Impostazioni di gestione organizzativa, scegli Attiva. Viene visualizzata la pagina Abilita accesso attendibile.

  5. Per rivedere la policy relativa a questo ruolo, scegli Visualizza autorizzazioni per visualizzare la policy del ruolo.

  6. Scegliere Enable trusted access (Abilita accesso sicuro).

Ora, man mano che CloudWatch rileva le risorse, aggiorna automaticamente le informazioni sugli account per i quali hai l'autorizzazione ad accedere alle risorse in Network Flow Monitor.

Registrazione di un account di amministratore delegato

Come best practice di AWS Organizations, l'account di gestione dell'organizzazione deve registrare un account membro come account di amministratore delegato per CloudWatch. Dopo aver registrato un account di amministratore delegato in CloudWatch, i membri dell'organizzazione possono accedere con l'account di amministratore delegato per monitorare le prestazioni di rete per le risorse in più account in Network Flow Monitor.

Effettuando l'accesso con l'account di amministratore delegato, puoi aggiungere account al tuo ambito di osservabilità della rete in Network Flow Monitor. Sebbene l'account di gestione possa anche creare un ambito che include più account, consigliamo di seguire le best practice per AWS Organizations e di utilizzare un account di amministratore delegato per aggiungere più account in Network Flow Monitor. Per gli account membro che non sono l'account di amministratore delegato, l'ambito è limitato all'account con il quale è stato effettuato l'accesso, che viene impostato automaticamente quale ambito.

Un account di amministratore delegato per Organizations è un account membro che condivide l'accesso di amministratore per le autorizzazioni gestite dal servizio. L'account che scegli di registrare come account di amministratore delegato deve essere un account membro dell'organizzazione. Un account di amministratore delegato per la tua organizzazione può essere utilizzato al di fuori di CloudWatch, quindi assicurati di conoscere questo tipo di account prima di seguire questa procedura. Per ulteriori informazioni, consulta Amazon CloudWatch and AWS Organizations e la Guida per l'utente di AWS Organizations.

Per registrare un account di amministratore delegato

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Organizzazione.

  4. Scegliere Registra amministratore delegato.

  5. Nella finestra Registra amministratore delegato, nel campo ID account amministratore delegato, inserisci l'ID dell'account membro di Organizations a 12 cifre.

  6. Scegliere Registra amministratore delegato. Nella parte superiore della pagina, viene visualizzato un messaggio che indica che l'account è stato registrato correttamente. Viene visualizzata la pagina Impostazioni dell'organizzazione. Per visualizzare le informazioni sull'account di amministratore delegato, passa il mouse sul numero sotto Amministratori delegati.

Per rimuovere o modificare l'account di amministratore delegato, annulla prima la registrazione dell'account. Per ulteriori informazioni, consulta Deregistering a delegated administrator account.

Aggiungi più account al tuo ambito

Per aggiungere account al tuo ambito di Network Flow Monitor, effettua l'accesso con l'account di amministratore delegato. Puoi aggiungere account a un ambito se hai effettuato l'accesso con l'account di gestione, ma in AWS Organizations è consigliabile utilizzare l'account di amministratore delegato per lavorare con le risorse.

Dopo aver effettuato l'accesso con l'account di amministratore delegato, inizializza Network Flow Monitor per autorizzare le autorizzazioni richieste per i ruoli collegati ai servizi, imposta l'ambito di osservabilità della rete aggiungendo gli account e crea una topologia iniziale per gli account inclusi nell'ambito. L'account con cui accedi, in questo caso l'account di amministratore delegato, viene automaticamente incluso nell'ambito di Network Flow Monitor. Per aggiungere account al tuo ambito in modo da poter monitorare i flussi di rete alla ricerca di risorse in più account, procedi nel seguente modo.

Per aggiungere più account all'ambito

  1. Accedi alla console utilizzando l'account di gestione della tua organizzazione.

  2. Nel pannello di navigazione della console CloudWatch, in Monitoraggio della rete, scegli Monitor di flusso.

  3. In Guida introduttiva a Network Flow Monitor, nel Passaggio 1, scegli Avvia inizializzazione.

  4. Nella pagina Network Flow Monitor, in Aggiungi account, scegli Aggiungi. L'account con cui hai effettuato l'accesso viene automaticamente incluso nell'ambito e appare già nella tabella Account nell'ambito come (questo account).

  5. Nella pagina di dialogo Aggiungi account, filtra facoltativamente gli account, quindi seleziona fino a 99 account aggiuntivi da aggiungere all'ambito. Il numero massimo di account in un ambito è 100.

  6. Scegli Aggiungi.

  7. Scegli Inizializza Network Flow Monitor. Network Flow Monitor aggiunge le autorizzazioni necessarie per i ruoli collegati ai servizi, crea un ambito che include tutti gli account specificati e quindi crea una topologia iniziale delle risorse negli account inclusi nell'ambito.

Configurazione delle autorizzazioni per l'accesso alle risorse multi-account (solo console)

Se prevedi di creare monitoraggi per i flussi di rete dalla console, è necessaria una policy specifica per ogni account membro del tuo ambito. Questa policy consente di visualizzare le risorse di altri account quando si aggiungono risorse locali e remote a un monitoraggio.

Per ogni account del tuo ambito, crea un ruolo, NetworkFlowMonitorAccountResourceAccess, e collega la policy AmazonEC2ReadOnlyAccess. Per visualizzare le autorizzazioni per questa policy, consulta AmazonEC2ReadOnlyAccess nella Guida di riferimento sulle policy gestite da AWS.

Questa policy si aggiunge alla policy che devi aggiungere a ciascuna istanza in modo che l'agente Network Flow Monitor possa inviare le metriche delle prestazioni dall'istanza al server di backend di importazione di Network Flow Monitor. Per ulteriori informazioni sui requisiti per gli agenti, consulta Installazione degli agenti Network Flow Monitor sulle istanze.

La procedura seguente fornisce un riepilogo dei passaggi per creare il ruolo richiesto per l'accesso alle risorse dell'ambito nella console Network Flow Monitor. Per indicazioni generali su come creare un ruolo in IAM, consulta Create a role to give permissions to an IAM user nella Guida per l'utente di AWS Identity and Access Management.

Per creare un ruolo per l'accesso alle risorse nella console Network Flow Monitor

  1. Accedi alla Console di gestione AWS e apri la console IAM.

  2. Nel pannello di navigazione della console, scegli Ruoli e successivamente Crea ruolo.

  3. Specifica l'entità attendibile dell'account AWS. Questo tipo di entità attendibile consente ai titolari di altri account AWS di assumere il ruolo e accedere alle risorse di altri account.

  4. Scegli Next (Successivo).

  5. Nell'elenco delle policy gestite da AWS, scegli la policy AmazonEC2ReadOnlyAccess.

  6. Scegli Next (Successivo).

  7. Per il nome del ruolo, immetti NetworkFlowMonitorAccountResourceAccess.

  8. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).