# マルチアカウントモニタリング用に Network Flow Monitor を初期化する
Network Flow Monitor で、異なるアカウントが所有するリソースのネットワークフローをモニタリングする場合は、まず AWS Organizations で Amazon CloudWatch を設定する必要があります。Network Flow Monitor で複数のアカウントを使用するには、CloudWatch の信頼されたアクセスを有効にする必要があり、委任管理者も登録することがベストプラクティスです。
さらに、コンソールからネットワークフローのモニターを作成する場合は、リソースにアタッチされているロールに Network Flow Monitor ポリシーを追加する必要があります。このポリシーにより、コンソールで他のアカウントのリソースを表示できるため、複数のアカウントのリソースをモニターに追加できます。
異なるアカウントが所有するリソースのネットワークフローをモニタリングするには、追加の設定手順を実行する必要があります。まず、管理アカウントとして、信頼されたアクセスを有効にするように AWS Organizations で CloudWatch を設定する必要があります。通常は、委任管理者アカウントも登録します。次に、委任管理者アカウントを使用して、組織内にアカウントを追加し、ネットワークオブザーバビリティのスコープを設定して、それらのアカウントにリソースを含めることができます (管理アカウントで複数のアカウントを追加することもできますが、サービス内のリソースを操作するときは、委任管理者アカウントを使用するのが Organizations でのベストプラクティスです。以下の Network Flow Monitor の手順では、このガイダンスに従ったステップを示します)。
複数のアカウントからのインスタンスのネットワークフローをモニタリングする必要がない場合は、単一アカウントで Network Flow Monitor を使用できます。Network Flow Monitor のスコープは、サインインする AWS アカウントに自動的に設定されます。
以下のセクションのガイダンスに従って、これらの手順を完了します。
**Topics**
+ [マルチアカウント設定の概要](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [AWS Organizations の設定](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [複数のアカウントを追加する](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [コンソールのアクセス許可を追加する](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## Network Flow Monitor で複数のアカウントを使用する手順の概要
Network Flow Monitor の使用を開始するには、以前に Network Flow Monitor を使用していないアカウントが Network Flow Monitor を初期化する必要があります。アカウントの Network Flow Monitor を初期化すると、Network Flow Monitor はサービスにリンクされたロールの必須のアクセス許可を追加し、ネットワークオブザーバビリティに含めるアカウントのスコープを作成します。Network Flow Monitor で複数のアカウントを操作するには、AWS Organizations と統合し、操作するアカウントを追加するという追加の手順を完了する必要があります。
要約すると、次の手順を実行します。
1. 管理アカウントとして AWS マネジメントコンソールにサインインし、次の操作を行います。
+ CloudWatch で AWS Organizations と統合するために必要な手順を完了します。
1. 委任管理者アカウントとして AWS マネジメントコンソールにサインインし、次の操作を行います。
+ Network Flow Monitor を初期化します。この初期化には、スコープに含めるアカウントの追加が含まれます。
+ コンソールから他のアカウントにあるリソースにアクセスするために必要なアクセス許可を追加します。
複数のアカウントを操作するために Network Flow Monitor を設定しているが、AWS Organizations に慣れていない場合は、以下のリソースを参照して、管理アカウント、信頼されたアクセス、委任管理者アカウントなどの概念について学び、Organizations を CloudWatch と統合する方法を確認してください。
+ 「AWS Organizations ユーザーガイド」の「[Managing accounts in an organization with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)」。
+ 「AWS Organizations ユーザーガイド」の「[Amazon CloudWatch and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)」。
複数のアカウント用に Network Flow Monitor を設定する具体的なガイダンスについては、以下のセクションの手順に従います。
## CloudWatch で AWS Organizations を設定する
AWS Organizations で Network Flow Monitor を設定するには、管理アカウントにサインインし、CloudWatch の信頼されたアクセスを有効にします。次に、Network Flow Monitor の初期化と複数のアカウントの追加に使用する委任管理者アカウントを登録します。
CloudWatch で Organizations の信頼されたアクセスを有効にし、委任管理者アカウントを登録するように CloudWatch で Organizations を既に設定している場合は、Network Flow Monitor に固有の Organizations に対してさらに設定する必要はありません。CloudWatch の委任管理者アカウントでサインインした後、Network Flow Monitor を初期化できます。この初期化には、ネットワークオブザーバビリティスコープへの複数のアカウントの追加が含まれます。
CloudWatch で Organizations をまだ設定していない場合は、以下の手順に従って信頼されたアクセスを有効にし、委任管理者アカウントを登録します。
### CloudWatch で信頼されたアクセスを有効にする
Network Flow Monitor を組織内の複数のアカウントで使用するには、Amazon CloudWatch で AWS Organizations の信頼されたアクセスを有効にする必要があります。CloudWatch コンソールで信頼されたアクセスを有効にするには、次の手順を実行します。
**信頼されたアクセスを有効にするには**
1. 組織の管理アカウントでコンソールにサインインします。
1. CloudWatch コンソールのナビゲーションペインで、**[設定]** を選択します。
1. **[組織]** タブを選択します。
1. **[組織管理設定]** で、**[有効にする]** を選択します。**[信頼されたアクセスを有効にする]** ページが表示されます。
1. ロールポリシーを確認するには、**[アクセス許可の詳細を表示]** を選択してロールポリシーを表示します。
1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。
これで、CloudWatch はリソースを検出すると、Network Flow Monitor のリソースにアクセスするためのアクセス許可を持つアカウントに関する情報を自動的に更新します。
### 委任管理者アカウントを登録する
AWS Organizations のベストプラクティスとして、組織の管理アカウントがメンバーアカウントを CloudWatch の委任管理者アカウントとして登録することをお勧めします。CloudWatch に委任管理者アカウントを登録すると、組織のメンバーは委任管理者アカウントでサインインして、Network Flow Monitor の複数のアカウントのリソースのネットワークパフォーマンスをモニタリングできます。
委任管理者アカウントを使用して、Network Flow Monitor でネットワークオブザーバビリティスコープに複数のアカウントを追加できます。管理アカウントは複数のアカウントを含むスコープを作成することもできますが、AWS Organizations のベストプラクティスに従い、委任管理者アカウントを使用して Network Flow Monitor に複数のアカウントを追加することをお勧めします。委任管理者アカウントではないメンバーアカウントの場合、スコープはサインインアカウントに限定されます。サインインアカウントはスコープに自動的に設定されます。
Organizations の委任管理者アカウントは、サービス管理アクセス許可の管理者アクセスを共有するメンバーアカウントです。委任管理者アカウントとして登録するアカウントは、組織内のメンバーアカウントである必要があります。組織の委任管理者アカウントは CloudWatch の外部でも使用できるため、この手順に従う前に、必ずこのアカウントタイプについて十分に理解してください。詳細については、「AWS Organizations ユーザーガイド」の「[Amazon CloudWatch と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)」を参照してください。
**委任管理者アカウントを登録するには**
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[組織]** タブを選択します。
1. [**Register delegated administrator (委任管理者の登録)**] を選択します。
1. **[委任管理者の登録]** ウィンドウで、**[委任管理者アカウント ID]** フィールドに、12 桁の組織メンバーアカウント ID を入力します。
1. [**Register delegated administrator (委任管理者の登録)**] を選択します。ページの上部に、アカウントが正常に登録されたことを示すメッセージが表示されます。**[組織設定]** ページが表示されます。委任された管理者アカウントに関する情報を表示するには、**[委任された管理者]** の下の番号にカーソルを合わせます。
委任管理者アカウントを削除または変更するには、まずアカウントの登録を解除します。詳細については、「[委任管理者アカウントを登録解除する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)」を参照してください。
## スコープに複数のアカウントを追加する
Network Flow Monitor スコープにアカウントを追加するには、委任管理者アカウントでサインインします (管理アカウントでサインインしている場合は、スコープにアカウントを追加できますが、AWS Organizations では、委任管理者アカウントを使用してリソースを操作することがベストプラクティスです)。
サインインしたら、手順に従って Network Flow Monitor を初期化します。これは、サービスにリンクされたロールの必須のアクセス許可を認可し、アカウントを追加してネットワークオブザーバビリティのスコープを設定してから、設定したスコープ内のアカウントの初期トポロジを作成するプロセスです。サインインするアカウント (この場合は委任管理者アカウント) が Network Flow Monitor スコープに自動的に含まれます。
**スコープ内の複数のアカウントで Network Flow Monitor を初期化するには**
1. 組織の委任管理者アカウントを使用してコンソールにサインインします。
1. CloudWatch コンソールのナビゲーションペインの **[ネットワークモニタリング]** で、**[フローモニター]** を選択します。
1. **[Network Flow Monitor 入門]** のステップ 1 で、**[初期化を開始]** を選択します。
1. **[Network Flow Monitor]** ページの **[アカウントを追加]** で、**[追加]** を選択します。サインインしているアカウントは自動的にスコープに含まれ、**[スコープ内のアカウント]** テーブルに **[(このアカウント)]** として表示されます。
1. **[アカウントを追加]** ダイアログページで、必要に応じてアカウントをフィルタリングし、スコープに追加するアカウントを最大 99 個選択します。スコープ内のアカウントの最大数は 100 です。
1. **[Add]** (追加) を選択します。
1. **[Network Flow Monitor を初期化]** を選択します。Network Flow Monitor は、サービスにリンクされたロールの必須のアクセス許可を追加し、指定したすべてのアカウントを含むスコープを作成し、スコープ内のアカウント内のリソースの初期トポロジを作成します。
Network Flow Monitor の初期化が既に完了した後にスコープのアカウントを追加または削除するには、以下の手順に従います。
アカウントを追加または削除するためにスコープを変更した後、スコープに別の変更を加えるには約 20 分待つ必要があることに注意してください。この遅延は、Network Flow Monitor がトポロジ情報を更新するのに少し時間を必要とするためです。
**スコープのアカウントを追加または削除するには**
1. 組織の委任管理者アカウントを使用してコンソールにサインインします。
1. CloudWatch コンソールのナビゲーションペインの **[ネットワークモニタリング]** で、**[フローモニター]** を選択します。
1. **[モニター]** で、モニターを選択します。
1. **[モニターの詳細]** タブの **[スコープ内のアカウント]** で、**[追加]** または **[削除]** を選択します。
1. スコープに追加するアカウント (合計で最大 100 アカウント) を選択するか、削除するアカウントを選択します。
1. 確認ダイアログで手順を完了します。
## マルチアカウントリソースアクセスのアクセス許可を設定する (コンソールのみ)
コンソールからネットワークフローのモニターを作成する場合は、スコープ内のメンバーアカウントごとに特定のポリシーが必要です。このポリシーでは、ローカルリソースとリモートリソースをモニターに追加するときに、他のアカウントのリソースを表示できます。
スコープ内のアカウントごとに、ロール **[NetworkFlowMonitorAccountResourceAccess]** を作成し、**[AmazonEC2ReadOnlyAccess]** ポリシーをアタッチします。ポリシーのアクセス許可の詳細を確認するには、「AWS マネージドポリシーリファレンスガイド」の「[AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)」を参照してください。
このポリシーは、Network Flow Monitor エージェントがインスタンスから Network Flow Monitor 取り込みバックエンドサーバーにパフォーマンスメトリクスを送信できるように、各インスタンスに追加する必要があるポリシーとは別のものです。エージェントの要件の詳細については、「[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)」を参照してください。
次の手順では、Network Flow Monitor コンソールでスコープ内のリソースにアクセスするために必要なロールを作成するステップの概要を示します。IAM でロールを作成する一般的なガイダンスについては、「AWS Identity and Access Management ユーザーガイド」の「[IAM ユーザーにアクセス許可を付与するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
**Network Flow Monitor コンソールでリソースアクセス用のロールを作成するには**
1. AWS マネジメントコンソール にサインインし、IAM コンソール を開きます。
1. コンソールのナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。
1. **[AWS アカウント]** の信頼されたエンティティを指定します。この信頼されたエンティティタイプにより、他の AWS アカウントのプリンシパルはロールを引き受け、他のアカウントのリソースにアクセスできます。
1. [**次へ**] を選択します。
1. AWS マネージドポリシーのリストで、**[AmazonEC2ReadOnlyAccess]** ポリシーを選択します。
1. [**次へ**] を選択します。
1. ロール名には、**[NetworkFlowMonitorAccountResourceAccess]** と入力します。
1. ロールを確認したら、**[ロールを作成]** を選択します。