# Network Flow Monitor の使用
<a name="CloudWatch-NetworkFlowMonitor"></a>

Network Flow Monitor を使用すると、コンピューティングリソース (Amazon EC2 と Amazon Elastic Kubernetes Service) 間のトラフィック、他の AWS サービス (Amazon S3 と Amazon DynamoDB) へのトラフィック、および別の AWS リージョン のエッジへのトラフィックのネットワークパフォーマンスをほぼリアルタイムで可視化できます。Network Flow Monitor は、インスタンスにインストールした軽量ソフトウェアエージェントからデータを収集します。これらのエージェントは TCP 接続からパフォーマンス統計を収集し、このデータを Network Flow Monitor バックエンドサービスに送信します。このサービスは、各メトリクスタイプのトップコントリビューターを計算します。

Network Flow Monitor は、検出されたネットワーク問題の原因が AWS であるかどうかも判断し、詳細のモニタリングする対象として選択したネットワークフローの情報をレポートします。

管理アカウントまたは委任管理者アカウントでサインインすることで、単一のアカウント内のリソースのネットワークフローのネットワークパフォーマンス情報を表示したり、AWS Organizations で Network Flow Monitor を設定して、組織内の複数のアカウントのパフォーマンス情報を表示したりできます。

Network Flow Monitor は、ネットワークのパフォーマンスをほぼリアルタイムで把握しようとするネットワークオペレーターとアプリケーション開発者を対象としています。CloudWatch の Network Flow Monitor コンソールでは、エージェントから集約されてきたリソースのネットワークトラフィックのパフォーマンスデータをさまざまなカテゴリにグループ化して表示できます。例えば、アベイラビリティーゾーン間または VPC 間のフローのデータを表示できます。次に、詳細を確認したり、時間の経過と共にさらに詳細に追跡したりする必要がある特定のフローのモニターを作成できます。

モニターを使用すると、指定した期間におけるネットワーク接続のパケット損失とレイテンシーをすばやく視覚化できます。Network Flow Monitor は、モニターごとにネットワークヘルスインジケータ (NHI) も生成します。NHI 値は、評価している期間中にモニターが追跡したネットワークフローについて、AWS ネットワークの問題があったかどうかを示します。NHI 情報を使用すると、AWS ネットワークの問題やワークロードに起因するネットワークの問題にトラブルシューティング作業を集中させるかどうかをすばやく判断できます。

Network Flow Monitor の設定と使用の例については、ブログ記事「[Visualizing network performance of your AWS Cloud workloads with Network Flow Monitor](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/)」を参照してください。

# Network Flow Monitor とは
<a name="CloudWatch-NetworkFlowMonitor-What-is-NetworkFlowMonitor"></a>

Network Flow Monitor は、Amazon CloudWatch Network Monitoring の機能です。Network Flow Monitor は、AWS ワークロードにインストールしたフルマネージドエージェントを使用して、ネットワークフローに関するパフォーマンスと可用性のメトリクスを返します。Network Flow Monitor を使用すると、実際のワークロードの再送信や転送されたデータなどのほぼリアルタイムのメトリクスにアクセスできます。また、AWS ネットワークヘルスインジケータ (NHI) の値をチェックすることで、モニターが追跡したネットワークフローで根本的なネットワーク問題が発生したかどうかを特定することもできます。

**Network Flow Monitor の主な機能**
+ Network Flow Monitor を使用すると、VPC ネットワーク内の TCP ベースのトラフィックで発生するレイテンシーとパケットロスのほぼリアルタイムのメトリクスを受け取ることができるため、ワークロードトラフィックのネットワーク問題を追跡して調査できます。
+ AWS ワークロードでネットワークのパフォーマンスが低下すると、Network Flow Monitor は、問題の原因がアプリケーションワークロードにあるのか、または基盤となる AWS インフラストラクチャにあるのかを判断するのに役立ちます。その後、問題が発生している領域にトラブルシューティングをすばやく重点的に行うことができます。

**Network Flow Monitor の使用方法**

Network Flow Monitor を使用すると、パフォーマンスメトリクスを収集して集計する軽量エージェントをインスタンスにインストールできます。Network Flow Monitor エージェントは TCP トラフィックを分析し、パフォーマンスメトリクスを Network Flow Monitor サービスのバックエンドにエクスポートします。

エージェントは、ワークロードについて、TCP ラウンドトリップタイム (RTT)、TCP 再送信タイムアウト、TCP 再送信、転送されたデータ (バイト) などのメトリクスを収集します。インスタンスにエージェントをインストールすると、エージェントはインスタンスによってホストされている対応するワークロードを検出します。次に、エージェントはネットワークパフォーマンスメトリクスを生成し、そのメトリクスを Network Flow Monitor バックエンドに送信します。メトリクスは、サブネット、アベイラビリティーゾーン、VPC、AWS サービスなどのカテゴリにまとめられます。

Network Flow Monitor のスコープ内にあるすべてのネットワークフローのトップコントリビューターのパフォーマンスメトリクス (メトリクスタイプ別) は、AWS マネジメントコンソール の **[ワークロードインサイト]** タブに表示されます。上位のコントリビューターの表やグラフを確認することで、トラブルシューティングが必要な障害がある場所や、モニターを作成して継続的に監視するワークロードを判断することができます。

モニターを使用すると、特定のワークロードを経時的かつより詳細にモニタリングし、特定のネットワークフローに関する詳細情報を表示できます。選択したネットワークフローのトップコントリビューターのパフォーマンスメトリクスを表示するだけでなく、ネットワークフローが通過したネットワークホップを含むネットワークパス情報を表示して、問題のトラブルシューティングに役立てることができます。さらに、Network Flow Monitor はモニターのネットワークヘルスインジケータ (NHI) を生成します。NHI 値 **[Degraded]** は、選択した期間中に、モニターによって追跡される AWS ネットワークフローの少なくとも 1 つにネットワークの問題があったことを示します。

作成したモニターの情報を確認するだけでなく、定期的にチェックして **[ワークロードインサイト]** ページのメトリクスを確認し、ネットワークフローのパフォーマンスメトリクスの最新のトップコントリビューターを確認することをお勧めします。最新情報を確認するときは、現在のモニターにワークロードを追加または削除するか、新しいモニターを作成するかを検討してください。

**Topics**
+ [サポートされている AWS リージョン](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [コンポーネント](CloudWatch-NetworkFlowMonitor-components.md)
+ [仕組み](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [料金](CloudWatch-NetworkFlowMonitor.pricing.md)

# Network Flow Monitor がサポートされている AWS リージョン
<a name="CloudWatch-NetworkFlowMonitor-Regions"></a>

Network Flow Monitor を現在利用できるのは、次の AWS リージョン です。


| リージョン名 | リージョン | 
| --- | --- | 
| アジアパシフィック (ムンバイ) | ap-south-1 | 
| アジアパシフィック (大阪) | ap-northeast-3 | 
| アジアパシフィック (ソウル) | ap-northeast-2 | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | 
| アジアパシフィック (シドニー) | ap-southeast-2 | 
| アジアパシフィック (東京) | ap-northeast-1 | 
| カナダ (中部) | ca-central-1 | 
| 欧州 (フランクフルト) | eu-central-1 | 
| 欧州 (アイルランド) | eu-west-1 | 
| 欧州 (ロンドン) | eu-west-2 | 
| 欧州 (パリ) | eu-west-3 | 
| 欧州 (ストックホルム) | eu-north-1 | 
| 南米 (サンパウロ) | sa-east-1 | 
| 米国東部（バージニア北部） | us-east-1  | 
| 米国東部 (オハイオ) | us-east-2 | 
| 米国西部 (北カリフォルニア) | us-west-1 | 
| 米国西部 (オレゴン) | us-west-2 | 

# Network Flow Monitor のコンポーネントと機能
<a name="CloudWatch-NetworkFlowMonitor-components"></a>

Network Flow Monitor は、以下の概念を使用または参照します。

**エージェント**  
Network Flow Monitor の*エージェント*は、AWS コンピューティングリソース (Amazon EC2 と Amazon EKS) にインストールするソフトウェアアプリケーションです。アプリケーションには 2 つのパートがあります。  
+ 1 つ目は、TCP 接続に関連するイベントを受信し、eBPF を使用して Linux カーネル内に登録されます。eBPF は Linux 拡張 Berkley Packet Filter (eBPF) 機能であり、指定されたプログラムが Linux カーネルによって発生した特定のイベントを受信できるようにします。
+ 2 つ目は、eBPF の機能によって収集された統計を集計します。エージェントは、集約されたメトリクスを約 30 秒ごとに Network Flow Monitor バックエンドに送信していますが、これには 5 秒 のジッターが含まれます (つまり 25～35 秒になります)。
エージェントの詳細については、「[仕組み](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)」を参照してください。

**トップコントリビューター**  
*トップコントリビューター*とは、Network Flow Monitor のスコープ内またはモニターで追跡しているネットワークフロー間で、特定のメトリクス (再送信など) の値が最も高いネットワークフローです。パフォーマンスメトリクスの測定値について、報告された数値が最も多いフローを確認すると、調査すべき障害がある箇所を確認するのに役立ちます。Network Flow Monitor は、*ワークロードインサイト*のモニタリング範囲内のトップコントリビューターのパフォーマンスメトリクスを返します。さらに、モニターを作成すると、Network Flow Monitor は、モニターに選択したネットワークフローのトップコントリビューターのパフォーマンスメトリクスを返します。

**ローカルリソースとリモートリソース**  
*ローカルリソース*とは、Network Flow Monitor エージェントがインストールされている 1 つまたは複数のホストの場所を指します。サブネット、VPC、アベイラビリティーゾーン、Amazon EKS クラスター、または AWS リージョン が該当します。例えば、ウェブサービスと DynamoDB などのバックエンドデータベース間のやり取りで構成されるワークロードを考えてみましょう。このシナリオでは、ローカルリソースは、ウェブサービスをホストしている EC2 インスタンスのサブネットであり、そのインスタンス上ではエージェントも実行されています。ネットワークフローは通常、方向性がありますが、双方向に設定できます。  
*リモートリソース*とは、ネットワークフローの反対側の接続先を指します。バックエンドデータベースを備えたウェブサービスのこの例では、DynamoDB がリモートリソースです。リモートリソースには、サブネット、VPC、アベイラビリティーゾーン、AWS サービス、または AWS リージョン を指定できます。リージョンをリモートリソースとして指定すると、Network Flow Monitor はリージョンのエッジまでのネットワークフローのパフォーマンスを測定します。リージョン内の特定のエンドポイントに対するパフォーマンスは測定されません。  
リソースは、リソースの ARN、AWS サービスの名前、またはアベイラビリティーゾーンかリージョンの場合は、ゾーンまたはリージョンの名前によって識別されます。

**ワークロードインサイト**  
*ワークロードインサイト*には、スコープ内のすべてのネットワークフローに対して返されるパフォーマンスメトリクスがあります。AWS マネジメントコンソール の **[ワークロードインサイト]** ページには、ワークロードインスタンスに Network Flow Monitor エージェントをインストールしたワークロードに関するパフォーマンスデータが表示されます。**[ワークロードインサイト]** ページには、転送されたデータ量やその他のメトリクスを含むアプリケーションが、ワークロードのカテゴリ別にグループ化されて表示されます。たとえば、アベイラビリティーゾーン (AZ) 間または AZ 内のトラフィックがあるワークロードのメトリクスをすべて表示できます。これらのインサイトを使用すると、モニターを作成するワークロードを選択して、詳細を表示し、ネットワークパフォーマンスを継続的に追跡できます。

**モニター**  
*モニター*を作成して、1 つまたは複数の特定のワークロードのネットワークパフォーマンスを継続的にモニタリングし、ネットワークフローに関する詳細情報を表示できるようにします。Network Flow Monitor は、モニターごとにエンドツーエンドのパフォーマンスメトリクスとネットワークヘルスインジケータ (NHI) を公開します。この NHI は、障害の属性を判断するのに役立ちます。**[ワークロードインサイト]** ページで情報を確認して、どのネットワークフローに焦点を合わせるかを確認し、それらのフローのモニターを作成することをお勧めします。次に、**[ワークロードのインサイト]** を定期的に確認することで、必要なモニターがあるかどうか、または新しいモニターを作成することが役立つかどうかを判断できます。

**ネットワークヘルスインジケータ (NHI)**  
*ネットワークヘルスインジケータ* (NHI) は、選択した期間中にモニターによって追跡される 1 つ以上のネットワークフローに AWS ネットワークの問題があったかどうかを通知するバイナリ値です。NHI 値が 1 または **[Degraded]** の場合、少なくとも 1 つの AWS ネットワークフローにネットワークの問題があります。NHI インジケータを使用すると、AWS ネットワークの問題やワークロードに起因するネットワークの問題にトラブルシューティングを重点的に行うかどうかをすばやく判断できます。  
詳細については、「[CloudWatch で Network Flow Monitor メトリクスを表示する](CloudWatch-NetworkFlowMonitor-cw-metrics.md)」を参照してください。

**スコープ**  
Network Flow Monitor では、*スコープ*はネットワークパフォーマンスインジケータを確認するときにオブザーバビリティがあるアカウントです。管理アカウントとしてサインインし、CloudWatch で AWS Organizations を設定すると、スコープを組織内の複数のアカウント (合計で最大 100 アカウント) に設定できます。それ以外の場合、Organizations で管理アクセス許可を持たない AWS アカウントでサインインした場合、または CloudWatch で Organizations を設定していない場合は、サインインしているアカウントにスコープが設定されます。  
Organizations を設定したら、アカウントを追加または削除することでスコープを変更できます。ただし、スコープを変更するたびに、Network Flow Monitor はスコープ内のリソースの新しいトポロジを作成する必要があります。詳細については、「[スコープに複数のアカウントを追加する](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)」を参照してください。  
Network Flow Monitor は、スコープに一意の **[スコープ ID]** を生成します。メトリクスデータのクエリでは、スコープ ID を使用して、Network Flow Monitor がメトリクスを生成するリソースを決定します。(Network Flow Monitor でアカウントのパフォーマンスメトリクスを確認する前に、メトリクスデータを収集して送信するエージェントをインストールする必要があります。)

**クエリ ID**  
Network Flow Monitor は、モニターのトップコントリビューターのクエリなど、パフォーマンスメトリクスデータを取得するために作成されるクエリごとに一意の *[クエリ ID]* を生成します。Network Flow Monitor の API コールでクエリ ID を使用すると、クエリのステータスの確認、クエリの停止、クエリの再実行、またはその他の方法でクエリを操作できます。

**パフォーマンスメトリクス**  
Network Flow Monitor は、TCP ラウンドトリップタイム (RTT)、TCP 再送信、TCP 再送信タイムアウト、Network Flow Monitor スコープ内のフローごとに転送されたバイト数などのエンドツーエンドの*パフォーマンスメトリクス*を収集して計算します。このサービスはこれらのメトリクスを集約し、サービスバックエンドに返します。トップコントリビューターをメトリクスタイプ別に表示できます。Network Flow Monitor に異常が見られた場合は、ネットワークヘルスインジケータ (NHI) を確認して、根本的な AWS ネットワークの問題があるかどうかを確認することもできます。  
RTT は必ずしも計算されないため、RTT データはスパースである可能性があることに注意してください。  
Amazon CloudWatch の機能を使用して、これらのメトリクスに基づいてダッシュボード、アラーム、通知を作成することもできます。例えば、[Network Flow Monitor を使用してアラームを作成する](CloudWatch-NetworkFlowMonitor-create-alarm.md) の情報を確認すれば、Network Flow Monitor メトリクスを使用したアラームの設定について説明されています。

# 仕組み
<a name="CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor"></a>

このセクションでは、Network Flow Monitor の仕組みのいくつかの側面について説明します。

**Network Flow Monitor エージェントが統計を収集する方法**  
Network Flow Monitor のエージェントは、AWS コンピューティングリソース (Amazon EC2 と Amazon EKS) にインストールされ、そこでパフォーマンスメトリクスを収集して、Network Flow Monitor バックエンドに送信します。エージェントは、TCP 接続のペイロードにアクセスできません。エージェントは、Linux カーネルから「bpf\$1sock\$1ops」構造と呼ばれるもののみを受け取ります。この構造は、ローカル IP アドレスとリモート IP アドレス、送信元 TCP ポートと送信先 TCP ポート、カウンター、ラウンドトリップタイムを提供します。エージェントによって収集および公開された TCP 統計のリストについては、[CloudWatch で Network Flow Monitor メトリクスを表示する](CloudWatch-NetworkFlowMonitor-cw-metrics.md) を参照してください。  
エージェントは、Network Flow Monitor `Publish` API を使用して、Network Flow Monitor バックエンドサーバーにメトリクスを送信します。  
*注:* Network Flow Monitor は、1 分あたり最大約 500 万フローをサポートします。これは、NFM エージェントがインストールされた約 5,000 インスタンス (Amazon EC2 と Amazon EKS ノード) です。5000 を超えるインスタンスにエージェントをインストールすると、追加の容量が利用可能になるまで、モニタリングパフォーマンスに影響する可能性があります。

**Network Flow Monitor でネットワークフローが分類される方法**  
Network Flow Monitor は、フローの発生元と終了先に応じて、ネットワークフローを分類します。

# Network Flow Monitor の料金
<a name="CloudWatch-NetworkFlowMonitor.pricing"></a>

Network Flow Monitor には、前払いの費用や長期間にわたるコミットメントのはありません。Network Flow Monitor の料金には、モニタリング対象のリソース (インストールされ、アクティブにデータを送信しているエージェント) と CloudWatch メトリクスの 2 つのコンポーネントがあります。作成した追加のメトリクス、ダッシュボード、アラーム、インサイトについても、標準の CloudWatch 料金が請求されることに注意してください。

Network Flow Monitor と Amazon CloudWatch の料金の詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com//cloudwatch/pricing/)」ページの「Network Monitoring」を参照してください。

# Network Flow Monitor の使用を開始する
<a name="CloudWatch-NetworkFlowMonitor-get-started"></a>

まず始めに、このセクションでは、Network Flow Monitor を設定してインサイトを得るための手順の大まかな概要を提供します。詳細については、このガイドの Network Flow Monitor の初期化、エージェントのデプロイ、およびモニターの作成に関する追加セクションを参照してください。
+ Network Flow Monitor を初期化して、サービスにリンクされたロールのアクセス許可を受け入れ、Network Flow Monitor でモニタリングする*スコープ*を作成し、初期トポロジを作成します。複数のアカウント内のインスタンスのネットワークフローのネットワークパフォーマンスを確認する場合は、AWS Organizations と統合してから、アカウントをスコープに追加する必要があります。詳細については[Network Flow Monitor を初期化する](CloudWatch-NetworkFlowMonitor-configure-begin.md)を参照してください。
+ リソースのデプロイ方法に応じて、AWS Systems Manager または Kubernetes を設定して、インスタンスに*エージェント*をデプロイします。VPC EC2 インスタンスにエージェントをインストールする場合は、各インスタンスのエージェントに対して、Network Flow Monitor バックエンドにメトリクスを送信するためのアクセス許可を有効にしてください。詳細については[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)を参照してください。
+ エージェントにより返されたネットワークフローのトップコントリビューターのメトリクスを確認して、*ワークロードインサイト*を取得します。ワークロードインサイトは、モニタリングしているスコープ内のネットワークフローのパフォーマンスの概要を提供します。
+ 詳細なネットワーク情報を表示するネットワークフローに基づいて、1 つ以上の*モニター*を作成します。各モニターに対して、ネットワークフローをモニタリングするローカルリソースとリモートリソースを指定します。モニターを使用すると、ネットワークヘルスインジケータなどの詳細なメトリクスと情報を確認できるほか、選択した期間における特定のネットワークフローのネットワークパスを表示することもできます。
+ 定期: 
  + 作成したモニターのネットワークフロー情報を確認することで、ワークロードのネットワーク障害について学習し、トラブルシューティングに役立てることができます。
  + モニタリングしているネットワークフローのワークロードインサイトを確認し、作成したモニターが最も関連性の高いネットワークフローをカバーしているかどうか、または新しいモニターを作成することが役立つかどうかを判断します。

# Network Flow Monitor API オペレーション
<a name="CloudWatch-NetworkFlowMonitor-API-operations"></a>

次の表に、Network Flow Monitor で使用できる Network Flow Monitor API オペレーションを示します。この表には、関連ドキュメントへのリンクも含まれています。


| Action | API オペレーション: | 詳細情報 | 
| --- | --- | --- | 
|  フローモニターを作成します。  |  「[CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html)」を参照してください   |  「[Network Flow Monitor でモニターを作成する](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)」を参照してください。  | 
|  リソースの範囲のメトリクスを生成します。  |  「[CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html)」を参照してください   |  「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。  | 
|  モニターを削除します。  |  「[DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html)」を参照してください   |  「[Network Flow Monitor でモニターを削除する](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)」を参照してください。  | 
|  定義されたスコープを削除します。  |  「[DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html)」を参照してください   |  「[Network Flow Monitor でモニターを削除する](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)」を参照してください。  | 
|  モニターに関する情報を取得します。  |  「[GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html)」を参照してください   |  「[Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)」を参照してください。  | 
|  特定のモニター内のトップコントリビューターのクエリデータを取得します。  |  「[GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html)」を参照してください   |  「[Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)」を参照してください。  | 
|  ワークロードインサイトの定義されたスコープのトップコントリビューターをクエリします。  |  「[GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html)」を参照してください   |  「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。  | 
|  特定のスコープ内のトップコントリビューターのワークロードインサイトデータをクエリします。  |  「[GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html)」を参照してください   |  「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。  | 
|  モニター内のトップコントリビューターのクエリのステータスをチェックして、結果を確認する前に成功したことを確認します。  |  「[GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html)」を参照してください   |  該当なし  | 
|  トップコントリビューターのワークロードインサイトに対するクエリのステータスをチェックして、結果を確認する前に成功したことを確認します。  |  「[GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html)」を参照してください   |  該当なし  | 
|  トップコントリビューターのワークロードインサイトデータのクエリのステータスをチェックして、結果を確認する前に成功したことを確認します。  |  「[GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData)」を参照してください   |  該当なし  | 
|  名前、ステータス、タグ、ターゲットの詳細など、アカウントまたはスコープに関する情報を取得します。  |  「[GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope)」を参照してください   |  「[Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)」を参照してください。  | 
|  アカウント内のすべてのモニターを一覧表示します。  |  「[ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors)」を参照してください   |  [Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)  | 
|  アカウントのすべてのスコープを一覧表示します。  |  「[ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes)」を参照してください   |  該当なし  | 
|  特定のリソースのすべてのタグを一覧表示します。  |  「[ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource)」を参照してください   |  「[Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)」を参照してください。  | 
|  モニター内のトップコントリビューターのクエリデータを参照してください。  |  「[StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors)」を参照してください   |  「[Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)」を参照してください。  | 
|  クエリを開始して、トップコントリビューターのワークロードインサイトデータを収集します。  |  「[StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors)」を参照してください   |  「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。  | 
|  モニター内のトップコントリビューターのクエリを停止します。  |  「[StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors)」を参照してください   |  該当なし  | 
|  トップコントリビューターのワークロードインサイトデータのクエリを停止します。  |  「[StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors)」を参照してください   |  該当なし  | 
|  トップコントリビューターのワークロードインサイトデータのクエリを停止します。  |  「[StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData)」を参照してください   |  該当なし  | 
|  リソースにタグを追加します。  |  「[TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource)」を参照してください   |  「[Network Flow Monitor でモニターを編集する](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)」を参照してください。  | 
|  リソースからタグを削除します。  |  「[UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource)」を参照してください   |  「[Network Flow Monitor でモニターを編集する](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)」を参照してください。  | 
|  モニタ-を更新して、ローカルリソースまたはリモートリソースを追加または削除します。  |  「[UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor)」を参照してください   |  「[Network Flow Monitor でモニターを編集する](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)」を参照してください。  | 
|  スコープを変更して、Network Flow Monitor がメトリクスを生成するリソースを追加または削除します。  |  「[UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope)」を参照してください   |  該当なし  | 

# Network Flow Monitor での CLI の使用例
<a name="CloudWatch-NFM-get-started-CLI"></a>

このセクションでは、Network Flow Monitor のオペレーションで、AWS Command Line Interface を使用する例を示します。

開始する前に、必ずログインして、ネットワークフローのモニタリングに使用するスコープを提供する AWS アカウントで AWS CLI を使用してください。Network Flow Monitor での API アクションの使用については、「[Network Flow Monitor API リファレンスガイド](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)」を参照してください。

**Topics**
+ [モニターを作成する](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [モニターの詳細の表示](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [スコープを作成する](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [モニタの削除](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [スコープを削除する](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [モニターに関する情報を取得する](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [特定のクエリのデータを取得する](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [スコープ情報を参照する](#CloudWatch-NFM-get-scope)
+ [アカウントのモニターのリストを参照する](#CloudWatch-NFM-list-monitors)
+ [アカウントのスコープのリストを参照する](#CloudWatch-NFM-list-scopes)
+ [モニターのタグのリストを表示する](#CloudWatch-NFM-list-tags-for-resource)
+ [クエリの開始と停止](#CloudWatch-NFM-query-monitors)
+ [モニターにタグを付ける](#CloudWatch-NFM-tag-resource)
+ [モニターからタグを削除する](#CloudWatch-NFM-untag-resource)
+ [既存のモニターを更新する](#CloudWatch-NFM-update-monitor)

## モニターを作成する
<a name="CloudWatch-NFM-get-started-CLI-create-monitor"></a>

AWS CLI を使用してモニターを作成するには、`create-monitor` コマンドを使用します。次の例では、指定したアカウントに `demo` という名前のモニターを作成します。

```
aws networkflowmonitor create-monitor \
        --monitor-name demo \
        --local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"  \
        --scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```

出力:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
        "monitorName": "demo",
        "monitorStatus": "ACTIVE",
        "tags": {}
    }
```

詳細については、「[Network Flow Monitor でモニターを作成する](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)」を参照してください。

## モニターの詳細の表示
<a name="CloudWatch-NFM-get-started-CLI-mon-details"></a>

AWS CLI を使用してモニターに関する情報を表示するには、`get-monitor` コマンドを使用します。

```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```

出力:

```
{
    "ClientLocationType": "city",
    "CreatedAt": "2022-09-22T19:27:47Z",
    "ModifiedAt": "2022-09-22T19:28:30Z",
    "MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
    "MonitorName": "TestMonitor",
    "ProcessingStatus": "OK",
    "ProcessingStatusInfo": "The monitor is actively processing data",
    "Resources": [
        "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
    ],
    "MaxCityNetworksToMonitor": 10000,
    "Status": "ACTIVE"
}
```

## スコープを作成する
<a name="CloudWatch-NFM-get-started-CLI-create-scope"></a>

次の `create-scope` の例では、Network Flow Monitor によってネットワークトラフィックメトリクスが生成される対象となるリソースのセットであるスコープを作成します。

```
aws networkflowmonitor create-scope \
        --targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```

出力:

```
    {
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "IN_PROGRESS",
        "tags": {}
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## モニタの削除
<a name="CloudWatch-NFM-get-started-CLI-delete-monitor"></a>

次の `delete-monitor` の例では、アカウントから `Demo` という名前のモニターを削除します。

```
aws networkflowmonitor delete-monitor \
        --monitor-name Demo
```

このコマンドでは何も出力されません。

詳細については、「[Network Flow Monitor でモニターを削除する](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)」を参照してください。

## スコープを削除する
<a name="CloudWatch-NFM-get-started-CLI-delete-scope"></a>

次の `delete-scope` の例では、指定したスコープを削除します。

```
aws networkflowmonitor delete-scope \
        --scope-id sample-aaaa-bbbb-cccc-44556677889
```

このコマンドでは何も出力されません。

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## モニターに関する情報を取得する
<a name="CloudWatch-NFM-get-started-CLI-get-monitor"></a>

次の `get-monitor` の例では、指定されたアカウントの `demo` という名前のモニターに関する情報が表示されます。

```
aws networkflowmonitor get-monitor \ 
        --monitor-name Demo
```

出力:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "localResources": [
            {
                "type": "AWS::EC2::VPC",
                "identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ],
        "remoteResources": [],
        "createdAt": "2024-12-09T12:21:51.616000-06:00",
        "modifiedAt": "2024-12-09T12:21:55.412000-06:00",
        "tags": {}
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## 特定のクエリのデータを取得する
<a name="CloudWatch-NFM-get-started-CLI-get-query-results"></a>

以下のセクションでは、クエリステータスを取得するための CLI コマンドの例を示します。

### get-query-results-workload-insights-top-contributors-data
<a name="get-query-results-workload-insights-top-contributors-data"></a>

`get-query-results-workload-insights-top-contributors-data` の例では、指定したクエリのデータを返します。

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

出力:

```
{
        "datapoints": [
            {
                "timestamps": [
                    "2024-12-09T19:00:00+00:00",
                    "2024-12-09T19:05:00+00:00",
                    "2024-12-09T19:10:00+00:00"
                ],
                "values": [
                    259943.0,
                    194856.0,
                    216432.0
                ],
                "label": "use1-az6"
            }
        ],
        "unit": "Bytes"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

次の `get-query-results-workload-insights-top-contributors` の例では、指定したクエリのデータを返します。

```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

出力:

```
{
        "topContributors": [
            {
                "accountId": "111122223333",
                "localSubnetId": "subnet-SAMPLE1111",
                "localAz": "use1-az6",
                "localVpcId": "vpc-SAMPLE2222",
                "localRegion": "us-east-1",
                "remoteIdentifier": "",
                "value": 333333,
                "localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
                "localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
            }
        ]
    }
```

### get-query-status-monitor-top-contributors
<a name="get-query-status-monitor-top-contributors"></a>

次の `get-query-status-monitor-top-contributors` の例では、指定したアカウントのクエリの現在のステータスを表示します。

```
aws networkflowmonitor get-query-status-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

出力:

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-status-workload-insights-top-contributors-data
<a name="get-query-status-workload-insights-top-contributors-data"></a>

次の `get-query-status-workload-insights-top-contributors-data` の例では、指定したアカウントのクエリの現在のステータスを表示します。

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

出力:

```
{
        "status": "SUCCEEDED"
    }
```

### get-query-results-workload-insights-top-contributors
<a name="get-query-results-workload-insights-top-contributors"></a>

次の `get-query-results-workload-insights-top-contributors` の例では、指定したアカウントのクエリの現在のステータスを表示します。

```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

出力:

```
{
        "status": "SUCCEEDED"
    }
```

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

## スコープ情報を参照する
<a name="CloudWatch-NFM-get-scope"></a>

次の `get-scope` の例では、ステータス、タグ、名前、ターゲットの詳細など、スコープに関する情報を表示します。

```
aws networkflowmonitor get-scope \
        --scope-id sample-aaaa-bbbb-cccc-11112222333
```

出力:

```
{
        "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
        "status": "SUCCEEDED",
        "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
        "targets": [
            {
                "targetIdentifier": {
                    "targetId": {
                        "accountId": "111122223333"
                    },
                    "targetType": "ACCOUNT"
                },
                "region": "us-east-1"
            }
        ],
        "tags": {}
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## アカウントのモニターのリストを参照する
<a name="CloudWatch-NFM-list-monitors"></a>

次の `list-monitors` の例では、指定したアカウントのすべてのモニターを返します。

```
aws networkflowmonitor list-monitors
```

出力:

```
{
        "monitors": [
            {
                "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
                "monitorName": "Demo",
                "monitorStatus": "ACTIVE"
            }
        ]
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## アカウントのスコープのリストを参照する
<a name="CloudWatch-NFM-list-scopes"></a>

次の `list-scopes` の例では、指定したアカウントのすべてのスコープを一覧表示します。

```
aws networkflowmonitor list-scopes
```

出力:

```
{
        "scopes": [
            {
                "scopeId": "sample-aaaa-bbbb-cccc-11112222333",
                "status": "SUCCEEDED",
                "scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
            }
        ]
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

## モニターのタグのリストを表示する
<a name="CloudWatch-NFM-list-tags-for-resource"></a>

次の `list-tags-for-resource` の例では、指定したリソースに関連付けられているすべてのタグを返します。

```
aws networkflowmonitor list-tags-for-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```

出力:

```
{
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

詳細については、「[Amazon CloudWatch リソースにタグを付ける](CloudWatch-Tagging.md)」を参照してください。

## クエリの開始と停止
<a name="CloudWatch-NFM-query-monitors"></a>

以下のセクションでは、Network Flow Monitor でクエリを開始および停止するための CLI コマンドの例を示します。

### start-query-monitor-top-contributors
<a name="start-query-monitor-top-contributors"></a>

次の `start-query-monitor-top-contributors` の例では、トップコントリビューターを取得するための queryId を返すクエリを開始します。

```
aws networkflowmonitor start-query-monitor-top-contributors \
        --monitor-name Demo \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

出力:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

### start-query-workload-insights-top-contributors-data
<a name="start-query-workload-insights-top-contributors-data"></a>

次の `start-query-workload-insights-top-contributors-data` の例では、トップコントリビューターを取得するための queryId を返すクエリを開始します。

```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

出力:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

### start-query-workload-insights-top-contributors
<a name="start-query-workload-insights-top-contributors"></a>

次の `start-query-workload-insights-top-contributors` の例では、トップコントリビューターを取得するための queryId を返すクエリを開始します。

```
aws networkflowmonitor start-query-workload-insights-top-contributors \
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --start-time 2024-12-09T19:00:00Z \
        --end-time 2024-12-09T19:15:00Z \
        --metric-name DATA_TRANSFERRED \
        --destination-category UNCLASSIFIED
```

出力:

```
{
        "queryId": "sample-dddd-eeee-ffff-44556677889"
    }
```

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

### stop-query-monitor-top-contributors
<a name="stop-query-monitor-top-contributors"></a>

次の `stop-query-monitor-top-contributors` の例では、指定したアカウントのクエリを停止します。

```
aws networkflowmonitor stop-query-monitor-top-contributors \
        --monitor-name Demo \
        --query-id sample-dddd-eeee-ffff-44556677889
```

このコマンドでは何も出力されません。

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

### stop-query-workload-insights-top-contributors-data
<a name="stop-query-workload-insights-top-contributors-data"></a>

次の `stop-query-workload-insights-top-contributors-data` では、指定したアカウントのクエリを停止します。

```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

このコマンドでは何も出力されません。

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

### stop-query-workload-insights-top-contributors
<a name="stop-query-workload-insights-top-contributors"></a>

次の `stop-query-workload-insights-top-contributors` の例では、指定したアカウントのクエリを停止します。

```
aws networkflowmonitor stop-query-workload-insights-top-contributors \ 
        --scope-id sample-aaaa-bbbb-cccc-11112222333 \
        --query-id sample-dddd-eeee-ffff-44556677889
```

このコマンドでは何も出力されません。

詳細については、「[ワークロードインサイトを使用してネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)」を参照してください。

## モニターにタグを付ける
<a name="CloudWatch-NFM-tag-resource"></a>

次の `tag-resource` では、指定したアカウントのモニターにタグを追加します。

```
aws networkflowmonitor tag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tags Key=stack,Value=Production
```

このコマンドでは何も出力されません。

詳細については、「[Amazon CloudWatch リソースにタグを付ける](CloudWatch-Tagging.md)」を参照してください。

## モニターからタグを削除する
<a name="CloudWatch-NFM-untag-resource"></a>

次の `untag-resource` の例では、指定したアカウントのモニターへのタグを削除します。

```
aws networkflowmonitor untag-resource \
        --resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
        --tag-keys stack
```

このコマンドでは何も出力されません。

詳細については、「[Amazon CloudWatch リソースにタグを付ける](CloudWatch-Tagging.md)」を参照してください。

## 既存のモニターを更新する
<a name="CloudWatch-NFM-update-monitor"></a>

次の `update-monitor` の例では、指定したアカウントの「Demo」という名前のモニターを更新します。

```
aws networkflowmonitor update-monitor \
        --monitor-name Demo \
        --local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```

出力:

```
{
        "monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
        "monitorName": "Demo",
        "monitorStatus": "ACTIVE",
        "tags": {
            "Value": "Production",
            "Key": "stack"
        }
    }
```

詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」を参照してください。

# EKS の操作
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks"></a>

Network Flow Monitor を使用すると、Amazon Elastic Kubernetes Service (Amazon EKS) を使用するワークロードのパフォーマンスメトリクスを収集できます。この章では、エージェントをステップバイステップでインストールする方法と、モニタリングできるさまざまな EKS シナリオについて説明します。Network Flow Monitor が Amazon EKS に提供するメタデータの詳細な説明はコンソールでも確認でき、ネットワークパフォーマンスを理解するのに役立ちます。

Network Flow Monitor のパフォーマンスモニタリングの利点を活用するには、まず Amazon EKS 用の AWS Network Flow Monitor Agent アドオンをインストールする必要があります。詳細については、「[EKS AWS Network Flow Monitor Agent アドオンをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)」を参照してください。

単一の EKS クラスターをモニタリングし、クラスター内および外部送信先のワークロードトラフィックとパフォーマンスインサイトの可視性を高める場合は、「[Amazon EKS Network Observability](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html)」を参照してください。

**Topics**
+ [EKS AWS Network Flow Monitor Agent アドオンをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Amazon EKS に追加のネットワークパスメタデータが含まれている](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)

# EKS AWS Network Flow Monitor Agent アドオンをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks"></a>

このセクションの手順に従って、Amazon Elastic Kubernetes Service (Amazon EKS) の AWS Network Flow Monitor Agent アドオンをインストールし、Kubernetes クラスターから Network Flow Monitor バックエンドに Network Flow Monitor メトリクスを送信します。ステップを完了すると、AWS Network Flow Monitor Agent ポッドがすべての Kubernetes クラスターノードで実行されます。

セルフマネージド Kubernetes クラスターを使用する場合、前のセクション「[セルフマネージド Kubernetes インスタンス用の エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)」のインストール手順に従ってください。

[カスタマーマネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html)は、Network Flow Monitor ではサポートされていないことに注意してください。

アドオンをインストールするには、コンソールを使用するか、AWS Command Line Interface で API コマンドを使用します。

**Topics**
+ [アドオンのインストールの前提条件](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [コンソールを使用して、アドオンをインストールする](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [CLI を使用してアドオンをインストールする](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [サードパーティーツール用に設定する](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)

## アドオンのインストールの前提条件
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq"></a>

コンソールまたは CLI を使用して AWS Network Flow Monitor Agent アドオンをインストールするかに関係なく、Kubernetes でアドオンをインストールするにはいくつかの要件があります。

**お使いの Kubernetes のバージョンが対応していることを確認します。**  
Network Flow Monitor エージェントのインストールには、Kubernetes バージョン 1.25 またはこれ以降のバージョンが必要です。

**Amazon EKS Pod Identity Agent アドオンのインストール**  
Amazon EKS Pod Identity Agent アドオンは、コンソールまたは CLI を使用してインストールできます。  
EKS Pod Identity の関連付けは、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能があります。Amazon EKS Pod Identity は、追加の Amazon EKS Auth API と各ノードで実行されるエージェントポッドを使用して、ワークロードに認証情報を提供します。  
詳細と Amazon EKS Pod Identity アドオンのインストール手順を確認するには、「Amazon EKS ユーザーガイド」の「[Amazon EKS Pod Identity エージェントのセットアップ](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html)」を参照してください。

## コンソールを使用して AWS Network Flow Monitor Agent アドオンをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console"></a>

このセクションの手順に従って、Amazon EKS コンソールで AWS Network Flow Monitor Agent アドオンをインストールして設定します。

アドオンを既にインストールしていて、新しいバージョンへのアップグレードに問題がある場合は、「[EKS エージェントのインストールに関する問題のトラブルシューティング](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation)」を参照してください。

開始する前に、Amazon EKS Pod Identity Agent アドオンがインストールされていることを確認してください。詳細については、[前のセクション](#NFMPodIdentity)を参照してください。

**コンソールを使用してアドオンをインストールするには**

1. AWS マネジメントコンソール では、Amazon EKS コンソールに移動します。

1. アドオンのインストールページのアドオンの一覧で、**AWS Network Flow Monitor Agent** を選択します。

1. アドオン設定を構成します。

   1. **[アドオンアクセス]** では、**[EKS Pod Identity]** を選択します。

   1. アドオンで使用する IAM ロールには、[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) という AWS 管理ポリシーがアタッチされたロールを使用します。このポリシーは、エージェントがテレメトリレポートを Network Flow Monitor エンドポイントに送信するアクセス許可を付与します。ポリシーがアタッチされたロールがまだない場合は、**[推奨ロールを作成]** を選択し、IAM コンソールのステップに従ってロールを作成します。

   1. **[次へ]** を選択します。

1. **[確認と追加]** ページで、アドオン設定が正しいことを確認し、**[作成]** を選択します。

## AWS Command Line Interface を使用して AWS Network Flow Monitor Agent アドオンをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli"></a>

このセクションの手順に従って、AWS Command Line Interface を使用して Amazon EKS 用の AWS Network Flow Monitor Agent アドオンをインストールします。

**1. EKS Pod Identity Agent アドオンをインストールする**  
開始する前に、Amazon EKS Pod Identity Agent アドオンがインストールされていることを確認してください。詳細については、[前のセクション](#NFMPodIdentity)を参照してください。

**2. 必須の IAM ロールを作成する**  
AWS Network Flow Monitor Agent アドオンには、Network Flow Monitor バックエンドにメトリクスを送信するアクセス許可が必要です。アドオンを作成するときは、必要なアクセス許可を持つロールをアタッチする必要があります。[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) という AWS 管理ポリシーがアタッチされたロールを作成します。アドオンをインストールするには、この IAM ロールの ARN が必要です。

**3. AWS Network Flow Monitor Agent アドオンをインストールする**  
クラスターに AWS Network Flow Monitor Agent アドオンをインストールするには、次のコマンドを実行します。  
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`  
結果は次のようになるはずです:  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "CREATING",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

**4. アドオンがアクティブであることを確認する**  
インストールされた AWS Network Flow Monitor Agent アドオンを確認して、クラスターに対してアクティブであることを確認します。ステータスが `ACTIVE` になったことを確認するために、次のコマンドを実行します。  
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`  
結果は次のようになるはずです:  

```
{
    "addon": {
        "addonName": "aws-network-flow-monitoring-agent",
        "clusterName": "ExampleClusterName",
        "status": "ACTIVE",
        "addonVersion": "v1.0.0-eksbuild.1",
        "health": {
            "issues": []
        },
        "addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
        "createdAt": "2024-10-25T16:38:07.213000+00:00",
        "modifiedAt": "2024-10-25T16:38:07.240000+00:00",
        "tags": {},
         "podIdentityAssociations": [
            "arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
         ]
    }
  }
```

# サードパーティーのモニタリングツールのアドオンを設定する
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party"></a>

Network Flow Monitor アドオンを設定して、インストール中に OpenMetrics サーバーを公開できます。これにより、Prometheus などのサードパーティーのモニタリングツールとの統合が可能になり、既存のモニタリングインフラストラクチャとともにネットワークフローメトリクスを収集して分析できます。[OpenMetrics の詳細について説明します](https://openmetrics.io/)。この機能はアドオンバージョン v1.1.0 から使用できます。

OpenMetrics サーバーを有効にするには、EKS Network Flow Monitor アドオンの設定値に OPEN\$1METRICS、OPEN\$1METRICS\$1ADDRESS、および OPEN\$1METRICS\$1PORT を追加します。このガイドでは、CLI とコンソールの両方を使用してこれを行う方法について説明します。設定値の追加の詳細については、「[Amazon EKS アドオンの詳細設定](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/)」を参照してください。

## CLI 設定
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-cli"></a>

AWS Command Line Interface を使用する場合、設定値をパラメータとして指定できます。

```
aws eks create-addon \
  --cluster-name my-cluster-name \
  --addon-name aws-network-flow-monitoring-agent \
  --addon-version v1.1.0-eksbuild.1 \
  --configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```

## コンソール設定
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-console"></a>

Amazon EKS コンソールを使用する場合、これらの値は、設定値の一部として、[オプションの設定] で追加できます。

**サンプル JSON:**

```
{
    "env": {
        "OPEN_METRICS": "on",
        "OPEN_METRICS_ADDRESS": "0.0.0.0",
        "OPEN_METRICS_PORT": 9109
    }
}
```

**サンプル YAML:**

```
env:
  OPEN_METRICS: "on"
  OPEN_METRICS_ADDRESS: "0.0.0.0"
  OPEN_METRICS_PORT: 9109
```

## EKS Network Flow Monitor アドオン OpenMetric パラメータ
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-parameters"></a>
+ **OPEN\$1METRICS:**
  + オープンメトリクスを有効または無効にします。指定しない場合は無効になります
  + タイプ: 文字列
  + 値: ["on", "off"]
+ **OPEN\$1METRICS\$1ADDRESS:**
  + オープンメトリクスエンドポイントのリッスン IP アドレス。指定しない場合、デフォルトは 127.0.0.1 です
  + タイプ: 文字列
+ **OPEN\$1METRICS\$1PORT:**
  + オープンメトリクスエンドポイントのリッスンポート。指定しない場合、デフォルトは 80 です
  + タイプ: 整数
  + 範囲: [0..65535]

**重要:** OPEN\$1METRICS\$1ADDRESS を 0.0.0.0 に設定すると、メトリクスエンドポイントは任意のネットワークインターフェイスからアクセス可能になります。localhost のみのアクセスにするために 127.0.0.1 を使用することを検討するか、適切なネットワークセキュリティコントロールを実装して、承認されたモニタリングシステムのみにアクセスを制限します。

## トラブルシューティング
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting"></a>

OpenMetrics サーバー設定で問題が発生した場合は、次の情報を使用して一般的な問題を診断して解決します。

### メトリクスが表示されない
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-not-displaying"></a>

問題: OpenMetrics サーバーが設定されていますが、メトリクスがモニタリングツールに表示されません。

トラブルシューティングの手順:

1. アドオン設定で OpenMetrics サーバーが有効になっていることを確認します。
   + 設定値で OPEN\$1METRICS が「オン」に設定されていることを確認します。「[describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html)」を参照してください。
   + *選択したアドオン設定を構成する*で、アドオンバージョンが v1.1.0 以降であることを確認します。

1. メトリクスエンドポイントを次のように直接テストします。
   + http://*pod-ip:port*/metrics のメトリクスにアクセスします (pod-ip を実際のポッド IP アドレスに置き換え、ポートを設定したポートに置き換えます)。
   + エンドポイントにアクセスできない場合は、ネットワーク設定とセキュリティグループ設定を確認します。

1. モニタリングツールの設定を検証します。以下の方法の詳細については、モニタリングツールユーザーガイドを参照してください。
   + モニタリングツール (Prometheus など) が正しいエンドポイントをスクレイプするように設定されていることを確認します。
   + スクレイピング間隔とタイムアウトの設定が適切であることを確認します。
   + モニタリングツールにポッド IP アドレスへのネットワークアクセス権があることを確認します。

### 特定のポッドに欠落しているメトリクス
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-metrics-missing-pods"></a>

問題: メトリクスが一部のポッドから使用できますが、クラスター内の他のポッドからは使用できません。

トラブルシューティングの手順:

Network Flow Monitor アドオンは、hostNetwork: true を使用するポッドをサポートしていません。ポッド仕様にこの設定が含まれている場合、それらのポッドからメトリクスを使用することはできません。

回避策: 可能であれば、ポッド仕様から hostNetwork: true 設定を削除します。アプリケーションにホストネットワークが必要な場合は、それらの特定のポッドに代替のモニタリングアプローチを使用することを検討してください。

### 接続がエラーを拒否しました
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-connection-refused"></a>

問題: メトリクスエンドポイントにアクセスしようとすると、「接続が拒否されました」というエラーが表示されます。

トラブルシューティングの手順:

1. OPEN\$1METRICS\$1ADDRESS 設定を次のように確認します。
   + 127.0.0.1 に設定されていると、エンドポイントにはポッド内からのみアクセスできます。
   + 0.0.0.0 に設定されていると、エンドポイントはクラスター内の他のポッドからアクセス可能であるはずです。
   + モニタリングツールが設定されたアドレスに到達できることを確認します。

1. OPEN\$1METRICS\$1PORT 設定を確認します。
   + ポート番号が別のサービスで既に使用されていないか確認します。
   + ポートが有効な範囲 (1～65535) にあることを確認します。
   + セキュリティグループまたはネットワークポリシーがこのポートでのトラフィックを許可していることを確認します。

### 検証手順
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party-troubleshooting-verification"></a>

OpenMetrics 設定が正しく動作していることを確認するには:

1. アドオンのステータスを次のように確認します。

   ```
   aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
   ```

1. ポッドのステータスを次のように確認します。

   ```
   kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
   ```

1. クラスター内からメトリクスエンドポイントを次のようにテストします。

   ```
   kubectl exec add-on-pod-name -- curl localhost:9109/metrics
   ```

   9109 を設定したポート番号に置き換え、ポッド名を AddOn ポッド名に置き換えます。

# Amazon EKS に追加のネットワークパスメタデータが含まれている
<a name="CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata"></a>

Network Flow Monitor が Amazon EKS コンポーネント間のネットワークフローのパフォーマンスメトリクスを収集すると、そこには、ワークロードのネットワークパスのパフォーマンスをよりよく理解できるように、ネットワークパスに関する追加のメタデータ情報が含まれます。

関心のあるネットワークフローのモニターを作成し、**[Historical Explorer]** タブで詳細を表示することで、Amazon EKS ネットワークフローのパフォーマンスに関する詳細情報を表示できます。

Network Flow Monitor を使用すると、次の Amazon EKS コンポーネント間のネットワークパフォーマンスを測定して、ワークロードの Amazon EKS 設定でのパフォーマンスをよりよく理解し、ボトルネックや障害がある場所を特定できます。
+ ポッドから同じノード上のポッドへ
+ ノードから同じクラスター上のノードへ
+ ポッドから別のクラスター上のポッドへ
+ 異なるクラスター上のノード間
+ Network Load Balancer の有無

次の表に、Network Flow Monitor が各ネットワークフローシナリオに対して返す情報を示します。


| **接続情報** | **メタデータ情報** |  | **[Local]** (ローカル) | **リモート** | **シナリオ** | **起動手段** | **[Local]** (ローカル) | **リモート** | **ポッド名** | **サービス** | **名前空間** | **ポッド名** | **サービス** | **名前空間** | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 別の内部クラスターサービスのクラスター IP に接続するローカルポッド | ローカル | ローカルポッド IP アドレス | リモートポッド IP アドレス (クラスター IP アドレス経由) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ | 
| 別の内部クラスターサービスのクラスター IP に接続するノードネットワーク名前空間のローカルポッド | ローカル | ローカルノード IP アドレス | リモートポッド IP アドレス (クラスター IP アドレス経由) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ | 
| 別のポッドの個々のポッド IP アドレスに接続するローカルポッド (ヘッドレスサービス) | ローカル | ローカルポッド IP アドレス | リモートポッド IP アドレス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ノードネットワーク名前空間内の別のポッドの個々のポッド IP アドレスに接続するローカルポッド (ヘッドレスサービス) | ローカル | ローカルポッド IP アドレス | リモートノード IP アドレス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| 別のクラスターのリモートポッドに接続するローカルポッド | ローカル | ローカルポッド IP アドレス | リモートポッド IP アドレス (別のクラスター) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| 外部ネットワークアドレスに接続するローカルポッド | ローカル | ローカルポッド IP アドレス | 外部 IP アドレス | ✓ | ✓ | ✓ | 該当なし | 該当なし | 該当なし | 
| 外部ネットワーク IP アドレスに接続するノードネットワーク名前空間で動作するローカルポッド | ローカル | ローカルノード IP アドレス | 外部 IP アドレス | ✓ ² | ✓ ² | ✓ ² | 該当なし | 該当なし | 該当なし | 
| クラスター IP アドレスを介してローカルポッドに接続するリモートポッド | リモート | ローカルポッド IP アドレス (クラスター IP アドレス経由) | リモートポッド IP アドレス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ローカルポッドに接続するノードネットワーク名前空間のリモートポッド | リモート | ローカルポッド IP アドレス (クラスター IP アドレス経由) | リモートノード IP アドレス | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ | 
| ローカルポッドに接続するリモートポッド (ヘッドレスサービス) | リモート | ローカルポッド IP アドレス | リモートポッド IP アドレス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ローカルポッドに接続する外部ポッド | リモート | ローカルポッド IP アドレス | リモートポッド IP アドレス | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ | 
| NodePort または Load Balancer を介してローカルポッドに接続する外部リソース | リモート | ローカルポッド IP アドレス | 外部 IP アドレス ⁴ | ✓ | ✓ | ✓ | 該当なし | 該当なし | 該当なし | 
| NodePort または Load Balancer を介してノードネットワーク名前空間で動作するローカルポッドに接続する外部リソース | リモート | ローカルノード IP アドレス | 外部 IP アドレス ⁴ | ✓ | ✓ | ✓ | 該当なし | 該当なし | 該当なし | 

前の表の脚注でマークされた項目に対応する以下の追加情報に注意してください。

1. EKS コントロールプレーンによって管理される Kubernetes サービスなど、他の所有者がいるポッドの場合、このシナリオではポッド名は表示されません。

1. 他のポッドがノードネットワーク名前空間に存在する場合、ローカルポッド名、サービス、名前空間は解決されません。

1. 他のポッドがノードネットワーク名前空間に存在する場合、リモートポッド名、サービス、名前空間は解決されません。

1. サービスがインスタンスモードで NodePort または LoadBalancer を使用していて、`ExternalTrafficPolicy` が `Cluster` に設定されている場合、この IP アドレスは NodePort 接続を受信するノードの IP アドレスとして報告されます。

# EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents"></a>

AWS ワークロード内のネットワークフローのパフォーマンスメトリクスを提供するために、Network Flow Monitor は、メトリックを Network Flow Monitor に送信するインストールした*エージェント*に依存します。Network Flow Monitor のエージェントをインスタンスにインストールし、エージェントが Network Flow Monitor バックエンドにメトリクスを送信できるように、エージェントに適切なアクセス許可を設定します。

エージェントは、VPC EC2 インスタンスなどの リソースにインストールする軽量ソフトウェアアプリケーションです。エージェントは、パフォーマンスメトリクスを継続的に Network Flow Monitor バックエンドに送信します。次に、Network Flow Monitor コンソールの **[ワークロードインサイト]** ページでメトリクスを表示できます。モニターを作成することで、特定のネットワークフローまたはフローのセットの詳細なメトリックを追跡することもできます。

インスタンスにエージェントをデプロイする手順は、インスタンスタイプ (Amazon EKS Kubernetes インスタンス、VPC EC2 インスタンス、またはセルフマネージド (非 EKS) Kubernetes インスタンス) によって異なります。
+ EKS にエージェントをインストールするなど、Amazon EKS を操作する方法については、「[EKS の操作](CloudWatch-NetworkFlowMonitor-work-with-eks.md)」を参照してください。
+ VPC EC2 インスタンスとセルフマネージド Kubernetes インスタンスにエージェントをインストールする方法については、この章の該当するセクションを参照してください。

AWS PrivateLink を使用して、VPC と Network Flow Monitor エージェント間のプライベート接続を確立できます。詳細については、「[インターフェイス VPC エンドポイントでの CloudWatch、CloudWatch Synthetics、および CloudWatch Network Monitoring の使用](cloudwatch-and-interface-VPC.md)」を参照してください。

**Topics**
+ [Network Flow Monitor エージェントでサポートされている Linux バージョン](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [EC2 インスタンスのエージェントをインストールして管理する](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [セルフマネージド Kubernetes インスタンス用の エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)

# Network Flow Monitor エージェントでサポートされている Linux バージョン
<a name="CloudWatch-NetworkFlowMonitor-agents-versions"></a>

エージェントをインストールするインスタンスは、サポートされている Linux のバージョンとディストリビューションを実行している必要があります。Network Flow Monitor のサポートするエージェントは Linux のみで実行可能で、Linux カーネルのバージョンは 5.8 以降である必要があります。次の Linux ディストリビューションがサポートされています。エージェントは、これらのディストリビューションの最新バージョンで実行するようにテストされていることに注意してください。
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ Suse Linux
+ x86 と aarch64 の両方の Debian ディストリビューション

# EC2 インスタンスのエージェントをインストールして管理する
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2"></a>

このセクションの手順に従って、Amazon EC2 インスタンス上のワークロードに Network Flow Monitor エージェントをインストールします。エージェントをインストールするには、SSM を使用するか、コマンドラインを使用して Network Flow Monitor エージェント用に事前構築済みパッケージをダウンロードしてインストールします。

EC2 インスタンスにエージェントをインストールするために使用する方法にかかわらず、エージェントが Network Flow Monitor バックエンドにパフォーマンスメトリクスを送信できるようにするには、エージェントのアクセス許可を設定する必要があります。

**Topics**
+ [エージェントのアクセス許可を設定する](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [SSM を使用する EC2 インスタンスエージェント](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [エージェントをダウンロードしてインストールする](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)

# エージェントのアクセス許可を設定する
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-permissions"></a>

エージェントが Network Flow Monitor 取り込みバックエンドにメトリクスを送信できるようにするには、エージェントが実行される EC2 インスタンスで、適切なアクセス許可がアタッチされたポリシーを持つロールを使用する必要があります。必要なアクセス許可を付与するには、[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) という AWS 管理ポリシーがアタッチされたロールを使用します。Network Flow Monitor エージェントをインストールする EC2 インスタンスの IAM ロールにこのポリシーをアタッチします。

EC2 インスタンスにエージェントをインストールする前に、アクセス許可を追加することをお勧めします。エージェントをインストールするまで待つことを選択できますが、エージェントはアクセス許可が設定されるまでサービスにメトリクスを送信できません。

**Network Flow Monitor エージェントのアクセス許可を追加するには**

1. AWS マネジメントコンソール の Amazon EC2 コンソールで、Network Flow Monitor エージェントをインストールする予定の EC2 インスタンスを見つけます。

1. [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) を各インスタンスの IAM ロールにアタッチします。

   インスタンスに IAM ロールがアタッチされていない場合は、次の手順を実行してロールを選択します。

   1. **[アクション]** で、**[セキュリティ]** を選択します。

   1. **[IAM ロールを変更]** を選択するか、**[IAM ロールを新規作成]** を選択して新しいロールを作成します。

   1. インスタンスのロールを選択し、[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) ポリシーをアタッチします。

# SSM を使用して EC2 インスタンスにエージェントをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm"></a>

Network Flow Monitor エージェントは、ネットワークフローに関するパフォーマンスメトリクスを提供します。このセクションの手順に従って、AWS Systems Manager を使用して、EC2 インスタンスの Network Flow Monitor エージェントをインストールして操作します。Kubernetes を使用する場合は、Amazon EKS クラスターまたは自己管理型 Kubernetes クラスターを使用したエージェントのインストールに関する情報について、次のセクションを参照してください。

Network Flow Monitor はエージェントのインストールまたはアンインストールに使用できるディストリビューター パッケージを Systems Manager に提供します。さらに、Network Flow Monitor には、Document Type コマンドを使用してエージェントをアクティブ化または非アクティブ化するためのドキュメントが用意されています。パッケージとドキュメントを使用するには、標準の Systems Manager の手順を使用するか、詳細なガイダンスについては、ここに記載されている手順に従ってください。

Systems Manager の使用に関する詳細については、次のドキュメントを参照してください。
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager ディストリビューター](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)

次のセクションの手順を完了して、アクセス許可を設定し、Network Flow Monitor エージェントをインストールして操作します。

**目次**
+ [パッケージをインストールまたはアンインストールする](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [エージェントをアクティブ化または非アクティブ化する](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)

## Systems Manager を使用してエージェントをインストールまたはアンインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-install"></a>

Network Flow Monitor には、Network Flow Monitor エージェントをインストールするために、AWS Systems Manager にディストリビューターパッケージ **AmazonCloudWatchNetworkFlowMonitorAgent** が用意されています。パッケージにアクセスし、実行してエージェントをインストールするには、ここに示すステップに従います。

**EC2 インスタンスにエージェントをインストールするには**

1. AWS マネジメントコンソール にある AWS Systems Manager の **[ノードツール]** で、**[ディストリビューター]** を選択します。

1. **[Amazon が所有]** で、Network Flow Monitor パッケージ **AmazonCloudWatchNetworkFlowMonitorAgent** を見つけて選択します。

1. **[コマンドを実行]** フローで、**[1 回限りのインストール]** または **[スケジュールへのインストール]** を選択します。

1. **[ターゲットの選択]** セクションで、エージェントをインストールする EC2 インスタンスを選択する方法を選択します。タグに基づいてインスタンスを選択したり、手動でインスタンスを選択したり、リソースグループに基づいて選択したりできます。

1. **[コマンドパラメータ]** セクションの **[アクション]** で、**[インストール]** を選択します。

1. 必要に応じて下にスクロールし、**[実行]** を選択してインストールを開始します。

インストールが成功し、インスタンスに Network Flow Monitor エンドポイントへのアクセス許可がある場合、エージェントはメトリクスの収集を開始し、Network Flow Monitor バックエンドにレポートを送信します。

アクティブな (メトリクスデータを送信する) エージェントには、請求コストが発生します。Network Flow Monitor と Amazon CloudWatch の料金の詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com//cloudwatch/pricing/)」ページの「Network Monitoring」を参照してください。メトリクスデータを一時的に必要としない場合は、エージェントを非アクティブ化することができます。詳細については、[「Systems Manager を使用して、エージェントをアクティブ化または非アクティブ化する](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)」を参照してください。Network Flow Monitor エージェントが不要になった場合は、EC2 インスタンスからアンインストールできます。

**EC2 インスタンスからエージェントをアンインストールするには**

1. AWS マネジメントコンソール にある AWS Systems Manager の **[ノードツール]** で、**[ディストリビューター]** を選択します。

1. **[Amazon が所有]** で、Network Flow Monitor パッケージ **AmazonCloudWatchNetworkFlowMonitorAgent** を見つけて選択します。

1. **[コマンドパラメータ]** セクションの **[アクション]** で、**[アンインストール]** を選択します。

1. エージェントをアンインストールする EC2 インスタンスを選択します。

1. 必要に応じて下にスクロールし、**[実行]** を選択してインストールを開始します。

## Systems Manager を使用して、エージェントをアクティブ化または非アクティブ化する
<a name="CloudWatch-NetworkFlowMonitor-agents-ec2-manage"></a>

SSM で Network Flow Monitor エージェントをインストールした後、インストール先のインスタンスからネットワークフローメトリクスを受信するためにエージェントをアクティブ化する必要があります。アクティブな (メトリクスデータを送信する) エージェントには、請求コストが発生します。Network Flow Monitor と Amazon CloudWatch の料金の詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com//cloudwatch/pricing/)」ページの「Network Monitoring」を参照してください。メトリクスデータを一時的に必要としない場合は、エージェントを非アクティブ化してエージェントに対する課金を防ぐことができます。

Network Flow Monitor には、EC2 インスタンスにインストールしたエージェントを有効または無効にできる AWS Systems Manager のドキュメントが用意されています。このドキュメントを実行してエージェントを管理することで、エージェントをアクティブ化してパフォーマンスメトリクスの受信を開始できます。または、エージェントをアンインストールせずに、エージェントを非アクティブ化してメトリクスの送信を一時的に停止することもできます。

エージェントをアクティブ化または非アクティブ化するために使用できる SSM のドキュメントは、**AmazonCloudWatch-NetworkFlowMonitorManageAgent** と呼ばれます。ドキュメントにアクセスして実行するには、手順のステップに従ってください。

**Network Flow Monitor エージェントを有効または無効にするには**

1. AWS マネジメントコンソール にある AWS Systems Manager の **[変更管理ツール]** で、**[ドキュメント]** を選択します。

1. **[Amazon が所有]** で、Network Flow Monitor ドキュメント **NetworkFlowMonitorManageAgent** を見つけて選択します。

1. **[ターゲットの選択]** セクションで、エージェントをインストールする EC2 インスタンスを選択する方法を選択します。タグに基づいてインスタンスを選択したり、手動でインスタンスを選択したり、リソースグループに基づいて選択したりできます。

1. **[コマンドパラメータ]** セクションの **[アクション]** で、エージェントに対して行うアクションに応じて **[アクティブ化]** または **[非アクティブ化]** を選択します。

1. 必要に応じて下にスクロールし、**[実行]** を選択してインストールを開始します。

# コマンドラインを使用して Network Flow Monitor エージェントの事前構築済みパッケージをダウンロードする
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline"></a>

コマンドラインを使用して、Network Flow Monitor エージェントを Amazon Linux 2023 のパッケージとしてインストールするか、Network Flow Monitor エージェントの事前構築済みパッケージをダウンロードしてインストールできます。

事前構成済みパッケージをダウンロードする前またはダウンロードした後に、必要に応じてパッケージの署名を確認できます。詳細については、「[Network Flow Monitor エージェントパッケージの署名を確認する](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig)」を参照してください。

使用している Linux オペレーティングシステムとインストールのタイプに応じて、次の手順から選択します。

**Amazon Linux AMI**  
Network Flow Monitor エージェントは、Amazon Linux 2023 でパッケージとして利用できます。このオペレーティングシステムを使用している場合は、以下のコマンドを入力してパッケージをインストールできます。  
`sudo yum install network-flow-monitor-agent`  
また、インスタンスにアタッチされた IAM ロールに [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) ポリシーがアタッチされていることを確認する必要もあります。詳細については、「[エージェントのアクセス許可を設定する](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)」を参照してください。

**Amazon Linux 2023**  
次のいずれかのコマンドを使用して、アーキテクチャのパッケージをインストールします。  
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm` 
+ **ARM64 (Graviton)**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm` 
次のコマンドを実行して、Network Flow Monitor エージェントが正常にインストールされたことを確認し、エージェントが有効でアクティブであることがレスポンスに表示されることを確認します。  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

**DEB ベースのディストリビューション (Debian、Ubuntu)**  
次のいずれかのコマンドを使用して、アーキテクチャのパッケージをインストールします。  
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb` 
+ **ARM64 (Graviton)**: `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb` 
次のコマンドを使用してパッケージをインストールします: `$ sudo apt-get install ./network-flow-monitor-agent.deb`  
次のコマンドを実行して、Network Flow Monitor エージェントが正常にインストールされたことを確認し、エージェントが有効でアクティブであることがレスポンスに表示されることを確認します。  

```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
     Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```

## Network Flow Monitor エージェントパッケージの署名を確認する
<a name="CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig"></a>

Linux インスタンス用の Network Flow Monitor エージェント rpm および deb インストーラーパッケージは、暗号化で署名されています。パブリックキーを使用して、エージェントのパッケージがオリジナルであり、変更されていないことを確認できます。ファイルが損傷していたり、改変されていた場合、検証は失敗します。RPM または GPG を使用して、インストーラーパッケージの署名を確認できます。次の情報は、Network Flow Monitor エージェントバージョン 0.1.3 以降に関するものです。

各アーキテクチャとオペレーティングシステムに適した署名ファイルを検索するには、次の表を使用してください。


| アーキテクチャ | プラットフォーム | ダウンロードリンク | 署名ファイルリンク | 
| --- | --- | --- | --- | 
|  x86-64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm.sig  | 
|  ARM64 |  Amazon Linux 2023  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm.sig  | 
|  x86-64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb  |  https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig  | 
|  ARM64 |  Debian/Ubuntu  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb  |  https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig  | 

以下の手順に従って、Network Flow Monitor エージェントの署名を確認します。

**Amazon S3 パッケージの Network Flow Monitor エージェントの署名を確認するには**

1. GnuPG をインストールして、gpg コマンドを実行できるようにします。GnuPG は、Amazon S3 パッケージ用にダウンロードした Network Flow Monitor エージェントの信頼性と整合性を検証するために必要です。GnuPG は、Amazon Linux Amazon マシンイメージ (AMI) にデフォルトでインストールされています。

1. 次のパブリックキーをコピーし、`nfm-agent.gpg` という名前のファイルに保存します。

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. パブリックキーをキーリングにインポートし、返された値をメモします。

   ```
   PS>  rpm --import nfm-agent.gpg
   gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
   gpg: Total number processed: 1
   gpg: imported: 1 (RSA: 1)
   ```

   次の手順で必要になるため、キーの値を書きとめておきます。この例では、値は `3B789C72` です。

1. 次のコマンドを実行して、フィンガープリントを検証します。*key-value* は、前の手順の値に置き換えてください。RPM を使用してインストーラーパッケージを確認する場合でも、GPG を使用してフィンガープリントを確認することをお勧めします。

   ```
   PS>  gpg --fingerprint key-value
   pub   rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
         7673 6CA9 97AD D3E9 D277  26A8 EFBD A4CC BC95 FAD1
   uid   Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>
   ```

   フィンガープリントは、次のものと同一になる必要があります。

   `7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`

   フィンガープリント文字列が一致しない場合は、エージェントをインストールしないでください。Amazon Web Services にお問い合わせください。

   フィンガープリントを確認したら、それを使用して、Network Flow Monitor エージェントパッケージの署名を確認できます。

1. インスタンスのアーキテクチャとオペレーティングシステムに基づいてパッケージ署名ファイルをダウンロードします (まだ実行していない場合)。

1. インストーラパッケージの署名を確認します。`signature-filename` および `agent-download-filename` は、このトピックの表で前述したように、署名ファイルとエージェントをダウンロードしたときに指定した値に置き換えてください。

   ```
   PS> gpg --verify sig-filename agent-download-filename
   gpg: Signature made Tue Apr  8 00:40:02 2025 UTC
   gpg:                using RSA key 77777777EXAMPLEKEY
   gpg:                issuer "network-flow-monitor-agent@amazon.com"
   gpg: Good signature from "Network Flow Monitor Agent <network-flow-monitor-agent@amazon.com>" [unknown]
   gpg: WARNING: Using untrusted key!
   ```

   出力結果に「`BAD signature`」という句が含まれる場合、手順が正しいことを確認してください。このレスポンスが続く場合は、[AWS サポート](https://aws.amazon.com/premiumsupport/)に連絡し、ダウンロードしたファイルは使用しないでください。

   信頼性に関する警告に注意します。キーは、自分や信頼する人が署名した場合にのみ信頼できます。つまり、署名が無効であるわけではなく、パブリックキーを確認していないことになります。

次に、以下の手順に従って RPM パッケージを確認します。

**RPM パッケージの署名を確認するには**

1. 次のパブリックキーをコピーし、`nfm-agent.gpg` という名前のファイルに保存します。

   ```
   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mQINBGf0b5IBEAC6YQc0aYrTbcHNWWMbLuqsqfspzWrtCvoU0yQ62ld7nvCGBha9
   lu4lbhtiwoDawC3h6Xsxc3Pmm6kbMQfZdbo4Gda4ahf6zDOVI5zVHs3Yu2VXC2AU
   5BpKQJmYddTb7dMI3GBgEodJY05NHQhq1Qd2ptdh03rsX+96Fvi4A6t+jsGzMLJU
   I+hGEKGif69pJVyptJSibK5bWCDXh3eS/+vB/CbXumAKi0sq4rXv/VPiIhn6bsCI
   A2lmzFd3vMJQUM/T7m7skrqetZ4mWHr1LPDFPK/H/81s8TJawx7MACsK6kIRUxu+
   oicW8Icmg9S+BpIgONT2+Io5P1tYO5a9AyVF7X7gU0VgHUA1RoLnjHQHXbCmnFtW
   cYEuwhUuENMl+tLQCZ+fk0kKjOlIKqeS9AVwhks92oETh8wpTwTE+DTBvUBP9aHo
   S39RTiJCnUmA6ZCehepgpwW9AYCc1lHv/xcahD418E0UHV22qIw943EwAkzMDA4Q
   damdRm0Nud0OmilCjo9oogEB+NUoy//5XgQMH1hhfsHquVLU/tneYexXYMfo/Iu5
   TKyWL2KdkjKKP/dMR4lMAXYi0RjTJJ5tg5w/VrHhrHePFfKdYsgN6pihWwj2Px/M
   ids3W1Ce50LOEBc2MOKXYXGd9OZWyR8l15ZGkySvLqVlRGwDwKGMC/nS2wARAQAB
   tEJOZXR3b3JrIEZsb3cgTW9uaXRvciBBZ2VudCA8bmV0d29yay1mbG93LW1vbml0
   b3ItYWdlbnRAYW1hem9uLmNvbT6JAlcEEwEIAEEWIQR2c2ypl63T6dJ3JqjvvaTM
   vJX60QUCZ/RvkgIbAwUJBaOagAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAK
   CRDvvaTMvJX60euSD/9cIu2BDL4+MFFHhyHmG3/se8+3ibW0g8SyP3hsnq7qN+bm
   ZzLAhll7DVoveNmEHI1VC7Qjwb30exgLcyK2Ld6uN6lwjjK0qiGGz943t230pJ3z
   u7V2fVtAN+vgDVmD7agE6iqrRCWu3WfcgzFlEkE/7nkhtbWzlaK+NkdEBzNZ+W7/
   FmLClzIbMjIBW2M8LdeZdQX0SWljy18x7NGNukWeNTJxmkDsjAeKl+zkXYk9h7ay
   n3AVl1KrLZ5P9vQ5XsV5e4T6qfQ3XNY1lm54cpa+eD7NyYcTGRDK+vIxO4xD8i2M
   yl1iNf2+84Tt6/SAgR/P9SJ5tbKD0iU9n4g1eBJVGmHDuXTtDR4H/Ur7xRSxtuMl
   yZP/sLWm8p7+Ic7aQJ5OVw36MC7Oa7/K/zQEnLFFPmgBwGGiNiw5cUSyCBHNvmtv
   FK0Q2XMXtBEBU9f44FMyzNJqVdPywg8Y6xE4wc/68uy7G6PyqoxDSP2ye/p+i7oi
   OoA+OgifchZfDVhe5Ie0zKR0/nMEKTBV0ecjglb/WhVezEJgUFsQcjfOXNUBesJW
   a9kDGcs3jIAchzxhzp/ViUBmTg6SoGKh3t+3uG/RK2ougRObJMW3G+DI7xWyY+3f
   7YsLm0eDd3dAZG3PdltMGp0hKTdslvpws9qoY8kyR0Fau4l222JvYP27BK44qg==
   =INr5
   -----END PGP PUBLIC KEY BLOCK-----
   ```

1. 公開鍵をキーリングにインポートします。

   ```
   PS>  rpm --import nfm-agent.gpg
   ```

1. インストーラパッケージの署名を確認します。`agent-download-filename` は、このトピックの表で前述したように、エージェントをダウンロードしたときに指定した値に置き換えてください。

   ```
   PS>  rpm --checksig agent-download-filename
   ```

   例えば、Amazon Linux 2023 の x86\$164 アーキテクチャの場合、次のコマンドを使用します。

   ```
   PS>  rpm --checksig network-flow-monitor-agent.rpm
   ```

   このコマンドは、次のような出力を返します。

   ```
   network-flow-monitor-agent.rpm: digests signatures OK
   ```

   出力に「`NOT OK (MISSING KEYS: (MD5) key-id)`」という句が含まれる場合、手順が正しいことを確認してください。このレスポンスが続く場合は、[AWS サポート](https://aws.amazon.com/premiumsupport/)に連絡し、エージェントをインストールしないでください。

# セルフマネージド Kubernetes インスタンス用の エージェントをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks"></a>

このセクションの手順に従って、セルフマネージド Kubernetes クラスターにワークロード用の Network Flow Monitor エージェントをインストールします。ステップを完了すると、Network Flow Monitor エージェントポッドはすべてのセルフマネージド Kubernetes クラスターノードで実行されます。

Amazon Elastic Kubernetes Service (Amazon EKS) を使用する場合、実行するインストール手順については、次のセクションの「[EKS AWS Network Flow Monitor Agent アドオンをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)」を参照してください。

**Topics**
+ [[開始する前に]](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Helm チャートをダウンロードしてエージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [エージェントがメトリクスを配信するためのアクセス許可を設定する](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)

# [開始する前に]
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin"></a>

インストールプロセスを開始する前に、このセクションのステップに従って、適切な Kubernetes クラスターにエージェントを正常にインストールするように環境が設定されていることを確認します。

**お使いの Kubernetes のバージョンが対応していることを確認します。**  
Network Flow Monitor エージェントのインストールには、Kubernetes バージョン 1.25 またはこれ以降のバージョンが必要です。

**必要なツールがインストールされていることを確認する**  
このインストールプロセスで使用するスクリプトでは、次のツールをインストールする必要があります。ツールがまだインストールされていない場合は、提供されているリンクで詳細を確認してください。  
+ AWS Command Line Interface (CLI)。詳細については、AWS Command Line Interface リファレンスガイドの「[AWS Command Line Interface の最新バージョンをインストールまたは更新](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
+ Helm パッケージマネージャー。詳細については、Helm ウェブサイトの「[Helm のインストール](https://helm.sh/docs/intro/install/)」を参照してください。
+ `kubectl` コマンドラインツール 詳細については、Kubernetes ウェブサイトの「[Kubernetes のインストール](https://kubernetes.io/docs/tasks/tools/#kubectl)」を参照してください。
+ `make` Linux コマンドの依存関係。詳細については、次のブログ記事「[Linux コマンドを作成するための入門: インストールと使用](https://ioflood.com/blog/install-make-command-linux/)」を参照してください。例として、以下のいずれかを実行します。
  + Ubuntu などの Debian ベースのディストリビューションの場合は、コマンド `sudo apt-get install make` を使用します。
  + CentOS などの RPM ベースのディストリビューションの場合は、コマンド `sudo yum install make` を使用します。

**KubeConfig 環境変数が有効で正しく設定されていることを確認します。**  
Network Flow Monitor エージェントのインストールでは、Helm パッケージマネージャーツールを使用します。このツールでは、kubeconfig 変数 `$HELM_KUBECONTEXT` を使用して、使用するターゲット Kubernetes クラスターを決定します。また、Helm がインストールスクリプトを実行すると、デフォルトで標準 `~/.kube/config` ファイルを参照することに注意してください。設定の環境変数を変更して、別の設定ファイルを使用するか (`$KUBECONFIG` を更新することによる)、連携するターゲットクラスターを定義できます (`$HELM_KUBECONTEXT` を更新することによる)。

**Network Flow Monitor Kubernetes 名前空間を作成する**  
Network Flow Monitor エージェントの Kubernetes アプリケーションは、そのリソースを特定の名前空間にインストールします。インストールを成功させるには、名前空間が存在している必要があります。必要な名前空間を確実に設定するには、次のいずれかを実行します。  
+ 開始する前に、デフォルトの名前空間 `amazon-network-flow-monitor` を作成します。
+ 別の名前空間を作成し、インストールを実行してターゲットを作成するときに `$NAMESPACE` 環境変数で定義します。

# Helm チャートをダウンロードしてエージェントをインストールする
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents"></a>

次のコマンドを使用して、AWS パブリックリポジトリから Network Flow Monitor エージェント Helm チャートをダウンロードできます。まず、GitHub アカウントで確実に認証してください。

`git clone https://github.com/aws/network-flow-monitor-agent.git`

`./charts/amazon-network-flow-monitor-agent` ディレクトリでは、Network Flow Monitor エージェントの Helm チャートとエージェントのインストールに使用するインストールの make ターゲットを含む Makefile があります。Network Flow Monitor のエージェントをインストールするには、Makefile ターゲット `helm/install/customer` を使用します。

インストールをカスタマイズするには、たとえば、次の操作を行います。

```
# Overwrite the kubeconfig files to use
KUBECONFIG=<MY_KUBECONFIG_ABS_PATH> make helm/install/customer
 
# Overwrite the Kubernetes namespace to use
NAMESPACE=<MY_K8S_NAMESPACE> make helm/install/customer
```

Network Flow Monitor エージェントの Kubernetes アプリケーションポッドが正常に作成され、デプロイされたことを確認するには、それらの状態が `Running` であることを確認します。コマンド `kubectl get pods -o wide -A | grep amazon-network-flow-monitor` を実行すれば、エージェントのステータスを確認できます。

# エージェントがメトリクスを配信するためのアクセス許可を設定する
<a name="CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions"></a>

Network Flow Monitor のエージェントをインストールしたら、エージェントが Network Flow Monitor の取り込み API にネットワークメトリクスを送信できるようにする必要があります。Network Flow Monitor のエージェントは、インスタンスごとに収集したネットワークフローメトリクスを配信できるように、Network Flow Monitor の取り込み API にアクセスするための許可を持っている必要があります。このアクセス許可は、サービスアカウント (IRSA) の IAM ロールを実装することによって付与されます。

エージェントがネットワークメトリクスを Network Flow Monitor に配信できるようにするには、このセクションのステップに従います。

1. **サービスアカウントの IAM ロールを実行**

   サービスアカウントの IAM ロールには、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能があります。IRSA の実装は、Network Flow Monitor エージェントが Network Flow Monitor 取り込み API に正常にアクセスするために必要なすべてのアクセス許可を付与するために推奨される方法です。詳細については、「Amazon EKS ユーザーガイド」の「[サービスアカウントの IAM ロール](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html)」を参照してください。

   Network Flow Monitor エージェントに IRSA を設定するときは、次の情報を使用します。
   + **[ServiceAccount:]** IAM ロールの信頼ポリシーを定義するときに、`ServiceAccount` に `aws-network-flow-monitor-agent-service-account` を指定します。
   + **[名前空間:]** `namespace` には、`amazon-network-flow-monitor` を指定します。
   + **[一時的な認証情報のデプロイ:]** Network Flow Monitor エージェントポッドをデプロイした後にアクセス許可を設定する場合、IAM ロールで `ServiceAccount` を更新すると、Kubernetes は IAM ロールの認証情報をデプロイしません。Network Flow Monitor エージェントが、指定した IAM ロールの認証情報を確実に取得するには、`DaemonSet` の再起動をロールアウトする必要があります。例えば、以下のようなコマンドを使用します。

     `kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`

1. **Network Flow Monitor エージェントが Network Flow Monitor 取り込み API に正常にアクセスしていることを確認する**

   Network Flow Monitor エージェントポッドの HTTP 200 ログを使用して、エージェントの設定が正しく動作していることを確認できます。まず、Network Flow Monitor エージェントポッドを検索してから、ログファイルを検索して、成功した HTTP 200 リクエストを見つけます。例えば、次のオペレーションを実行できます。

   1. Network Flow Monitor エージェントのポッド名を見つけます。例えば、次のコマンドを使用できます。

      ```
      RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
      ```

   1. 指定したポッド名の HTTP ログをすべてグレップします。NAMESPACE を変更した場合は、新しいものを使用してください。

      ```
      NAMESPACE=amazon-network-flow-monitor
      kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
      ```

   アクセスが正常に許可されると、次のようなログエントリが表示されます。

   ```
   ...
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
   {"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
   ```

   Network Flow Monitor エージェントは、Network Flow Monitor 取り込み API を呼び出して、30 秒ごとにネットワークフローレポートを発行することに注意してください。

# Network Flow Monitor を初期化する
<a name="CloudWatch-NetworkFlowMonitor-configure-begin"></a>

ネットワークフローのパフォーマンスメトリクスを表示する前に、Network Flow Monitor を初期化する必要があります。これにより、必要なアクセス許可が付与され、アカウントの初期トポロジが作成されます。複数のアカウントのリソースをモニタリングする場合は、Amazon CloudWatch で AWS Organizations も設定する必要があります。次に、Network Flow Monitor スコープのアカウントを指定して、Network Flow Monitor がパフォーマンスメトリクスを追跡するすべてのアカウントの初期トポロジを作成できるようにします。

さらに、Network Flow Monitor 取り込みサーバーにパフォーマンスメトリクスを送信するには、インスタンスにエージェントをインストールする必要があります。詳細については、「[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)」を参照してください。

Network Flow Monitor を初期化する手順は、単一アカウントでリソースのパフォーマンスメトリクスを測定するか、組織内の複数のアカウントが所有するリソースのメトリクスをモニタリングするかによって異なります。
+ [単一アカウントモニタリングの初期化](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [マルチアカウントモニタリングの初期化](CloudWatch-NetworkFlowMonitor-multi-account.md)

# 単一アカウントモニタリング用に Network Flow Monitor を初期化する
<a name="CloudWatch-NetworkFlowMonitor-single-account"></a>

Network Flow Monitor を初期化してネットワークパフォーマンスメトリクスをモニタリングするには、アクセス許可を付与し、Network Flow Monitor がアカウントの初期トポロジを作成する必要があります。1 つのアカウントのみでリソースをモニタリングする場合、Network Flow Monitor はアカウントをネットワークモニタリングのスコープとして設定し、そのスコープのトポロジを作成します。

Network Flow Monitor を初期化すると、次のことが行われます。
+ Network Flow Monitor がアカウントで必要なサービスにリンクされたロールを使用するためのアクセス許可が付与されます。Network Flow Monitor では、この機能がユーザーに代わって Amazon CloudWatch にメトリクスを送信し、ネットワークフローのトポロジを作成できるように、特定のアクセス許可を付与する必要があります。詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。
+ Network Flow Monitor のモニタリングスコープがサインインしている AWS アカウントに設定されます。詳細については、「[Network Flow Monitor のコンポーネントと機能](CloudWatch-NetworkFlowMonitor-components.md)」の「**スコープ**」を参照してください。
+ スコープの初期トポロジが作成されます。

必要なアクセス許可を提供するサービスにリンクされたロールを設定し、スコープをアカウントに設定し、ネットワークフローパフォーマンスモニタリングのトポロジを作成して、Network Flow Monitor を初期化するには、次の手順に従います。

**Network Flow Monitor を初期化するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. **[Network Flow Monitor 入門]** セクションのステップ 1 で、**[初期化を開始]** を選択します。

1. **[Network Flow Monitor を設定]** ページで、下にスクロールし、**[Network Flow Monitor を初期化]** を選択します。

初期化の完了には 20～30 分かかる場合があります。

アカウントの Network Flow Monitor を初期化した後、ネットワークフローパフォーマンスメトリクスを表示する前に、Network Flow Monitor のバックアップされた取り込みサーバーにパフォーマンスメトリクスを送信するリソースの Network Flow Monitor エージェントもインストールする必要があります。詳細については、「[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)」を参照してください。

# マルチアカウントモニタリング用に Network Flow Monitor を初期化する
<a name="CloudWatch-NetworkFlowMonitor-multi-account"></a>

Network Flow Monitor で、異なるアカウントが所有するリソースのネットワークフローをモニタリングする場合は、まず AWS Organizations で Amazon CloudWatch を設定する必要があります。Network Flow Monitor で複数のアカウントを使用するには、CloudWatch の信頼されたアクセスを有効にする必要があり、委任管理者も登録することがベストプラクティスです。

さらに、コンソールからネットワークフローのモニターを作成する場合は、リソースにアタッチされているロールに Network Flow Monitor ポリシーを追加する必要があります。このポリシーにより、コンソールで他のアカウントのリソースを表示できるため、複数のアカウントのリソースをモニターに追加できます。

異なるアカウントが所有するリソースのネットワークフローをモニタリングするには、追加の設定手順を実行する必要があります。まず、管理アカウントとして、信頼されたアクセスを有効にするように AWS Organizations で CloudWatch を設定する必要があります。通常は、委任管理者アカウントも登録します。次に、委任管理者アカウントを使用して、組織内にアカウントを追加し、ネットワークオブザーバビリティのスコープを設定して、それらのアカウントにリソースを含めることができます (管理アカウントで複数のアカウントを追加することもできますが、サービス内のリソースを操作するときは、委任管理者アカウントを使用するのが Organizations でのベストプラクティスです。以下の Network Flow Monitor の手順では、このガイダンスに従ったステップを示します)。

複数のアカウントからのインスタンスのネットワークフローをモニタリングする必要がない場合は、単一アカウントで Network Flow Monitor を使用できます。Network Flow Monitor のスコープは、サインインする AWS アカウントに自動的に設定されます。

以下のセクションのガイダンスに従って、これらの手順を完了します。

**Topics**
+ [マルチアカウント設定の概要](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [AWS Organizations の設定](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [複数のアカウントを追加する](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [コンソールのアクセス許可を追加する](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)

## Network Flow Monitor で複数のアカウントを使用する手順の概要
<a name="CloudWatch-NetworkFlowMonitor-multi-account.overview"></a>

Network Flow Monitor の使用を開始するには、以前に Network Flow Monitor を使用していないアカウントが Network Flow Monitor を初期化する必要があります。アカウントの Network Flow Monitor を初期化すると、Network Flow Monitor はサービスにリンクされたロールの必須のアクセス許可を追加し、ネットワークオブザーバビリティに含めるアカウントのスコープを作成します。Network Flow Monitor で複数のアカウントを操作するには、AWS Organizations と統合し、操作するアカウントを追加するという追加の手順を完了する必要があります。

要約すると、次の手順を実行します。

1. 管理アカウントとして AWS マネジメントコンソールにサインインし、次の操作を行います。
   + CloudWatch で AWS Organizations と統合するために必要な手順を完了します。

1. 委任管理者アカウントとして AWS マネジメントコンソールにサインインし、次の操作を行います。
   + Network Flow Monitor を初期化します。この初期化には、スコープに含めるアカウントの追加が含まれます。
   + コンソールから他のアカウントにあるリソースにアクセスするために必要なアクセス許可を追加します。

複数のアカウントを操作するために Network Flow Monitor を設定しているが、AWS Organizations に慣れていない場合は、以下のリソースを参照して、管理アカウント、信頼されたアクセス、委任管理者アカウントなどの概念について学び、Organizations を CloudWatch と統合する方法を確認してください。
+ 「AWS Organizations ユーザーガイド」の「[Managing accounts in an organization with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)」。
+ 「AWS Organizations ユーザーガイド」の「[Amazon CloudWatch and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)」。

複数のアカウント用に Network Flow Monitor を設定する具体的なガイダンスについては、以下のセクションの手順に従います。

## CloudWatch で AWS Organizations を設定する
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs"></a>

AWS Organizations で Network Flow Monitor を設定するには、管理アカウントにサインインし、CloudWatch の信頼されたアクセスを有効にします。次に、Network Flow Monitor の初期化と複数のアカウントの追加に使用する委任管理者アカウントを登録します。

CloudWatch で Organizations の信頼されたアクセスを有効にし、委任管理者アカウントを登録するように CloudWatch で Organizations を既に設定している場合は、Network Flow Monitor に固有の Organizations に対してさらに設定する必要はありません。CloudWatch の委任管理者アカウントでサインインした後、Network Flow Monitor を初期化できます。この初期化には、ネットワークオブザーバビリティスコープへの複数のアカウントの追加が含まれます。

CloudWatch で Organizations をまだ設定していない場合は、以下の手順に従って信頼されたアクセスを有効にし、委任管理者アカウントを登録します。

### CloudWatch で信頼されたアクセスを有効にする
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.trusted-access"></a>

Network Flow Monitor を組織内の複数のアカウントで使用するには、Amazon CloudWatch で AWS Organizations の信頼されたアクセスを有効にする必要があります。CloudWatch コンソールで信頼されたアクセスを有効にするには、次の手順を実行します。

**信頼されたアクセスを有効にするには**

1. 組織の管理アカウントでコンソールにサインインします。

1. CloudWatch コンソールのナビゲーションペインで、**[設定]** を選択します。

1. **[組織]** タブを選択します。

1. **[組織管理設定]** で、**[有効にする]** を選択します。**[信頼されたアクセスを有効にする]** ページが表示されます。

1. ロールポリシーを確認するには、**[アクセス許可の詳細を表示]** を選択してロールポリシーを表示します。

1.  [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

これで、CloudWatch はリソースを検出すると、Network Flow Monitor のリソースにアクセスするためのアクセス許可を持つアカウントに関する情報を自動的に更新します。

### 委任管理者アカウントを登録する
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-orgs.delegated-admin"></a>

AWS Organizations のベストプラクティスとして、組織の管理アカウントがメンバーアカウントを CloudWatch の委任管理者アカウントとして登録することをお勧めします。CloudWatch に委任管理者アカウントを登録すると、組織のメンバーは委任管理者アカウントでサインインして、Network Flow Monitor の複数のアカウントのリソースのネットワークパフォーマンスをモニタリングできます。

委任管理者アカウントを使用して、Network Flow Monitor でネットワークオブザーバビリティスコープに複数のアカウントを追加できます。管理アカウントは複数のアカウントを含むスコープを作成することもできますが、AWS Organizations のベストプラクティスに従い、委任管理者アカウントを使用して Network Flow Monitor に複数のアカウントを追加することをお勧めします。委任管理者アカウントではないメンバーアカウントの場合、スコープはサインインアカウントに限定されます。サインインアカウントはスコープに自動的に設定されます。

Organizations の委任管理者アカウントは、サービス管理アクセス許可の管理者アクセスを共有するメンバーアカウントです。委任管理者アカウントとして登録するアカウントは、組織内のメンバーアカウントである必要があります。組織の委任管理者アカウントは CloudWatch の外部でも使用できるため、この手順に従う前に、必ずこのアカウントタイプについて十分に理解してください。詳細については、「AWS Organizations ユーザーガイド」の「[Amazon CloudWatch と AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html)」を参照してください。

**委任管理者アカウントを登録するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインで **[設定]** を選択します。

1. **[組織]** タブを選択します。

1. [**Register delegated administrator (委任管理者の登録)**] を選択します。

1. **[委任管理者の登録]** ウィンドウで、**[委任管理者アカウント ID]** フィールドに、12 桁の組織メンバーアカウント ID を入力します。

1. [**Register delegated administrator (委任管理者の登録)**] を選択します。ページの上部に、アカウントが正常に登録されたことを示すメッセージが表示されます。**[組織設定]** ページが表示されます。委任された管理者アカウントに関する情報を表示するには、**[委任された管理者]** の下の番号にカーソルを合わせます。

委任管理者アカウントを削除または変更するには、まずアカウントの登録を解除します。詳細については、「[委任管理者アカウントを登録解除する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator)」を参照してください。

## スコープに複数のアカウントを追加する
<a name="CloudWatch-NetworkFlowMonitor-multi-account.config-scope"></a>

Network Flow Monitor スコープにアカウントを追加するには、委任管理者アカウントでサインインします (管理アカウントでサインインしている場合は、スコープにアカウントを追加できますが、AWS Organizations では、委任管理者アカウントを使用してリソースを操作することがベストプラクティスです)。

サインインしたら、手順に従って Network Flow Monitor を初期化します。これは、サービスにリンクされたロールの必須のアクセス許可を認可し、アカウントを追加してネットワークオブザーバビリティのスコープを設定してから、設定したスコープ内のアカウントの初期トポロジを作成するプロセスです。サインインするアカウント (この場合は委任管理者アカウント) が Network Flow Monitor スコープに自動的に含まれます。

**スコープ内の複数のアカウントで Network Flow Monitor を初期化するには**

1. 組織の委任管理者アカウントを使用してコンソールにサインインします。

1. CloudWatch コンソールのナビゲーションペインの **[ネットワークモニタリング]** で、**[フローモニター]** を選択します。

1. **[Network Flow Monitor 入門]** のステップ 1 で、**[初期化を開始]** を選択します。

1. **[Network Flow Monitor]** ページの **[アカウントを追加]** で、**[追加]** を選択します。サインインしているアカウントは自動的にスコープに含まれ、**[スコープ内のアカウント]** テーブルに **[(このアカウント)]** として表示されます。

1. **[アカウントを追加]** ダイアログページで、必要に応じてアカウントをフィルタリングし、スコープに追加するアカウントを最大 99 個選択します。スコープ内のアカウントの最大数は 100 です。

1. **[Add]** (追加) を選択します。

1. **[Network Flow Monitor を初期化]** を選択します。Network Flow Monitor は、サービスにリンクされたロールの必須のアクセス許可を追加し、指定したすべてのアカウントを含むスコープを作成し、スコープ内のアカウント内のリソースの初期トポロジを作成します。

Network Flow Monitor の初期化が既に完了した後にスコープのアカウントを追加または削除するには、以下の手順に従います。

アカウントを追加または削除するためにスコープを変更した後、スコープに別の変更を加えるには約 20 分待つ必要があることに注意してください。この遅延は、Network Flow Monitor がトポロジ情報を更新するのに少し時間を必要とするためです。

**スコープのアカウントを追加または削除するには**

1. 組織の委任管理者アカウントを使用してコンソールにサインインします。

1. CloudWatch コンソールのナビゲーションペインの **[ネットワークモニタリング]** で、**[フローモニター]** を選択します。

1. **[モニター]** で、モニターを選択します。

1. **[モニターの詳細]** タブの **[スコープ内のアカウント]** で、**[追加]** または **[削除]** を選択します。

1. スコープに追加するアカウント (合計で最大 100 アカウント) を選択するか、削除するアカウントを選択します。

1. 確認ダイアログで手順を完了します。

## マルチアカウントリソースアクセスのアクセス許可を設定する (コンソールのみ)
<a name="CloudWatch-NetworkFlowMonitor-multi-account.console-perms"></a>

コンソールからネットワークフローのモニターを作成する場合は、スコープ内のメンバーアカウントごとに特定のポリシーが必要です。このポリシーでは、ローカルリソースとリモートリソースをモニターに追加するときに、他のアカウントのリソースを表示できます。

スコープ内のアカウントごとに、ロール **[NetworkFlowMonitorAccountResourceAccess]** を作成し、**[AmazonEC2ReadOnlyAccess]** ポリシーをアタッチします。ポリシーのアクセス許可の詳細を確認するには、「AWS マネージドポリシーリファレンスガイド」の「[AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)」を参照してください。

このポリシーは、Network Flow Monitor エージェントがインスタンスから Network Flow Monitor 取り込みバックエンドサーバーにパフォーマンスメトリクスを送信できるように、各インスタンスに追加する必要があるポリシーとは別のものです。エージェントの要件の詳細については、「[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)」を参照してください。

次の手順では、Network Flow Monitor コンソールでスコープ内のリソースにアクセスするために必要なロールを作成するステップの概要を示します。IAM でロールを作成する一般的なガイダンスについては、「AWS Identity and Access Management ユーザーガイド」の「[IAM ユーザーにアクセス許可を付与するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。

**Network Flow Monitor コンソールでリソースアクセス用のロールを作成するには**

1. AWS マネジメントコンソール にサインインし、IAM コンソール を開きます。

1. コンソールのナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。

1. **[AWS アカウント]** の信頼されたエンティティを指定します。この信頼されたエンティティタイプにより、他の AWS アカウントのプリンシパルはロールを引き受け、他のアカウントのリソースにアクセスできます。

1. **[次へ]** を選択します。

1. AWS マネージドポリシーのリストで、**[AmazonEC2ReadOnlyAccess]** ポリシーを選択します。

1. **[次へ]** を選択します。

1. ロール名には、**[NetworkFlowMonitorAccountResourceAccess]** と入力します。

1. ロールを確認したら、**[ロールを作成]** を選択します。

## インスタンスにエージェントをインストールする
<a name="CloudWatch-NetworkFlowMonitor-configure-begin.agents"></a>

Network Flow Monitor でネットワークパフォーマンスを追跡するには、サービスを初期化する必要がありますが、ワークロードの EC2 インスタンスに Network Flow Monitor エージェントをインストールし、エージェントがネットワークパフォーマンスメトリクスを Network Flow Monitor に送信するためのアクセス許可を追加する必要もあります。エージェントをインストールした後、Network Flow Monitor バックエンドへのデータの送信が開始されるまで、少しの間 (約 20 分) 待ちます。次に、**[ワークロードインサイト]** タブでネットワークパフォーマンスメトリクスを表示したり、モニターを作成して詳細情報を表示したりできます。

例えば、Network Flow Monitor エージェントによって収集されたローカルリソースとリモートリソース間のネットワークフローについて、データ転送と再送信のタイムアウトのトップコントリビューターのパフォーマンスメトリクスを表示できます。これらのメトリクスを表示および分析することで、詳細を表示し、モニターでより密接に追跡する特定のフローを選択できます。特定のフローのモニターを作成することで、各メトリクスタイプのトップコントリビューターでソートされたメトリクスや、各ネットワークフローのネットワークパスなど、詳細な情報を表示できます。

モニターには、Network Flow Monitor が提供するネットワークヘルスインジケータ (NHI) も含まれており、これを使用して、選択した期間中に、モニターで追跡しているネットワークフローに AWS ネットワーク障害が発生していたかどうかを確認できます。この情報は、ネットワークのトラブルシューティングを重点的に行うところを決定するのに役立ちます。

詳細、およびエージェントをインストールする手順については、「[EC2 およびセルフマネージド Kubernetes インスタンスに Network Flow Monitor エージェントをインストールする](CloudWatch-NetworkFlowMonitor-agents.md)」を参照してください。

# Network Flow Monitor でネットワークフローをモニタリングおよび分析する
<a name="CloudWatch-NetworkFlowMonitor-configure"></a>

Network Flow Monitor を使用すると、スコープでモニタリングしているトラフィックのネットワークフローとパフォーマンスを把握できます。まず、**[ワークロードインサイト]** タブで、各メトリクスタイプ別のトップコントリビューター情報を確認します。次に、**[ワークロードインサイト]** で選択したネットワークフローについて、さまざまな時間枠にわたってネットワークパフォーマンスを詳細に調査できるようにモニターを作成します。

Network Flow Monitor を初期化し、インスタンスにエージェントをインストールすると、Network Flow Monitor はそれらのインスタンスからのネットワークフローのパフォーマンスメトリクスを生成します。Network Flow Monitor を使用して Network Flow Monitor でネットワークパフォーマンスを評価する方法、より詳細な情報を得るためのモニターを作成する方法、Network Flow Monitor が提供する特定のメトリクスについては、この章の各セクションを参照してください。

これらのセクションで説明するステップでは、AWS マネジメントコンソール を使用します。また、Network Flow Monitor API オペレーションを AWS Command Line Interface (AWS CLI) または AWS SDK と共に使用して、ワークロードインサイトとトップコントリビューターメトリクスを確認したり、モニターを作成および設定したりすることもできます。詳細については、以下のリソースを参照してください。
+ CLI で Network Flow Monitor を操作する予定の場合は、「[Network Flow Monitor での CLI の使用例](CloudWatch-NFM-get-started-CLI.md)」を参照してください。
+ Network Flow Monitor API オペレーションの操作の詳細については、「[Network Flow Monitor API リファレンスガイド](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html)」を参照してください。

**Topics**
+ [ネットワークフローを評価する](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [モニターを作成して操作する](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [モニタリングと分析を行う](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [スコープを削除する](CloudWatch-NetworkFlowMonitor-disable.md)

# ワークロードインサイトを使用してネットワークフローを評価する
<a name="CloudWatch-NetworkFlowMonitor-configure-evaluate-flows"></a>

Network Flow Monitor は、モニタリングを有効にしたスコープ内のネットワークフローに関するワークロードインサイトを提供します。各メトリクスタイプのトップコントリビューターネットワークフローを表示することで、どのフローで問題が発生している可能性があるかを確認できます。これらのトップコントリビューターメトリクスは、**[ワークロードインサイト]** タブのコンソールで表示できます。Network Flow Monitor では、トップコントリビューターは、各ネットワークパフォーマンスメトリクスの値が最も高いネットワークフローです。

**トップコントリビューター**  
Network Flow Monitor コンソールの **[ワークロードインサイト]** ページに、Network Flow Monitor は、エージェントを配置したモニタリングスコープ内にある全リソース間のネットワークフローについて、トップコントリビューターのネットワークパフォーマンス統計を表示します。  
トップコントリビューターのリストを作成するために、Network Flow Monitor は、スコープ内で再送信、再送信タイムアウト、および転送されたデータの値が最も高いネットワークフローを特定します。これらのネットワークフローは、各メトリクスタイプの*トップコントリビューター*です。  
ワークロードインサイトでは、パフォーマンス情報を受け取るすべてのネットワークフロー、つまり Network Flow Monitor エージェントをインストールしたスコープ内のすべてのリソースのネットワークフローについて、トップコントリビューターが決定されます。

**ネットワークフロー分類**  
Network Flow Monitor は、メトリクスを指定されたローカル-リモートカテゴリに分類します。メトリクスは 2 種類のフローにグループ化されます。  
+ **ネットワークヘルスインジケータ (NHI) フロー:** ネットワークヘルスインジケータ (NHI) の計算に影響するフロー:
  + AZ 間 (`INTER_AZ`)。常に同じ VPC 内。
  + AZ 内 (`INTRA_AZ`)。常に同じ VPC 内。
  + VPC 間 (`INTER_VPC`) VPC の境界にまたがる。
  + リージョン間 (`INTER_REGION`)。これは、リージョン内のリソースと別のリージョンのエッジとの間のネットワークフローのパフォーマンスを意味します。
  + Amazon S3 バケットへ (`AMAZON_S3`)
  + Amazon DynamoDB へ (`AMAZON_DYNAMODB`)
+ **非ネットワークヘルスインジケータ (NHI) フロー:** ネットワークヘルスインジケータ (NHI) の計算には影響しないフロー:
  + インターネットへ (`INTERNET`)。インターネットゲートウェイを経由し、パブリックインターネットで終わるフロー。
  + AWS サービスへ (`AWS_SERVICE`)。完全にはモニタリングされていない AWS サービス (CloudFront や API Gateway など) で終わるフロー。
  + Transit Gateway へ (`TRANSIT_GATEWAY`)。この区分のフローは Transit Gateway に到達するフローですが、フローの最終到達先は不明です。
  + ローカルゾーンへ (`LOCAL_ZONE`)。ローカルゾーンで開始または終了するフロー
  + 分類できないその他のフロー (`UNCLASSIFIED`)。

**パフォーマンスメトリクス**  
**[ワークロードインサイト]** のパフォーマンスメトリクスは、再送信、再送信タイムアウト、および転送されたデータのメトリクスタイプごとに個別のテーブルに表示されます。提供されるデータは、各タイプのトップコントリビューターを対象としています。Network Flow Monitor エージェントを初めてインストールした際は、パフォーマンスメトリクスが表示されるまでの待機時間 (約 20 分) があることに注意してください。この間に、エージェントはデータを収集して Network Flow Monitor バックエンドに送信します。

**特定のネットワークフローをモニタリングする**  
パフォーマンスメトリクスを確認するときに、詳細を調査する特定のリソースまたはネットワークフローが表示されたら、それらのフローのみを含むモニターを作成できます。  
モニターを使用すると、特定のネットワークフローグループを一定期間追跡して、ワークロードの 1 つの側面に関するインサイトを得ることができます。また、ネットワークヘルスインジケータ (NHI) をチェックして、表示される問題が AWS 障害によって引き起こされているかどうかを確認するなど、トラブルシューティングに役立つ情報を取得することもできます。  
詳細については、[Network Flow Monitor でモニターを作成し操作する](CloudWatch-NetworkFlowMonitor-configure-monitors.md) を参照してください。

**マルチアカウントカバレッジ**  
Network Flow Monitor で複数のアカウントを使用するには、CloudWatch と AWS Organizations の統合を設定する必要があります。Organizations を設定することで、Network Flow Monitor カバレッジのスコープにアカウントを追加できます。次に、スコープ内に複数のアカウントがあり、それぞれにネットワークフローをモニタリングするリソースがある場合は、すべてのアカウントを含むスコープを指定し、リソースにインストールした Network Flow Monitor エージェントによって収集されたパフォーマンスメトリクスを表示できます。詳細については、「[マルチアカウントモニタリング用に Network Flow Monitor を初期化する](CloudWatch-NetworkFlowMonitor-multi-account.md)」を参照してください。

# Network Flow Monitor でモニターを作成し操作する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors"></a>

モニターを作成して、ワークロードの 1 つまたは複数のネットワークフローのネットワークパフォーマンスの詳細を確認します。Network Flow Monitor は、モニターごとにエンドツーエンドのパフォーマンスメトリクスとネットワークヘルスインジケータ (NHI) を発行し、個々のネットワークフローのネットワークパスを生成します。モニターを作成したら、モニターによって提供された情報を **[モニター]** タブのコンソールで表示できます。

フローモニターは、AWS リージョン 内の障害やローカルリージョンとリモートリージョン間の AWS グローバルネットワークの問題など、ワークロードに影響を与えているネットワークパフォーマンスの問題を評価するのに役立ちます。モニターによって提供されるネットワークヘルスインジケータ (NHI) は、リージョン間におけるワークロードのネットワークパス上の AWS グローバルネットワークのヘルスもキャプチャします。これにより、ローカルリージョン、AWS グローバルネットワーク、リモートリージョンの障害がワークロードに影響を与えているかどうかをすばやく特定できます。

リモートリージョンの場合、モニターはリージョンのパブリック IP アドレスへのフローと、VPC ピアリングまたは Transit Gateway ピアリングを介してリモートリージョンに流れるプライベートトラフィックのネットワーク可視性を提供できます。

モニターを作成した後は、いつでもモニターを編集して変更を加えたり (モニター名の変更を除く)、モニターを削除したりできます。

次のセクションでは、Network Flow Monitor コンソールでモニターを作成、編集、および削除する手順について説明します。

**Topics**
+ [モニターを作成する](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [モニターの編集](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [モニタの削除](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)

# Network Flow Monitor でモニターを作成する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create"></a>

**[ワークロードインサイト]** タブでトップコントリビューターを確認するときに、一定期間にわたって追跡または詳細を確認する必要があるネットワークフローが 1 つまたは複数ある場合、**[ワークロードインサイト]** から直接モニターを作成できます。これにより、特定のネットワークフローのモニターを作成するプロセスが簡素化されます。

または、別の AWS リージョン へのすべてのネットワークフローのパフォーマンス情報を確認するなど、モニターで追跡する特定のネットワークフローがわかっている場合は、**[モニターを作成]** ウィザードを使用してモニターを最初から作成できます。この方法でモニターを作成するときは、モニタリングするネットワークフローを定義するすべてのローカルリソースとリモートリソースを指定します。

具体的な手順については、以下のセクションを参照してください。
+  [ネットワークフローを指定してモニターを作成する](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+  [ローカルリソースとリモートリソースを指定してモニターを作成する](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)

## ネットワークフローを指定してモニターを作成する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights"></a>

ネットワークフローを選択してモニターを作成するには、**[ワークロードインサイト]** タブから開始します。1 つのリージョンの 1 つのテーブルで 1 つ以上のネットワークフローを選択し、次にそれらのフローでモニターを作成することを選択します。

この方法でモニターを作成すると、**[モニターを作成]** ウィザードによってローカルリソースとリモートリソースが事前入力され、モーダルダイアログに表示されます。これらのリソースを使用してモニターを作成するか、ローカルリソースまたはリモートリソースの選択を編集して、含めるリソースを追加または削除するかを選択できます。

**[ワークロードインサイト]** のトップコントリビューターを継続的に確認することで、必要なモニターがあるかどうか、または新しいモニターを作成することが役立つかどうかを定期的に評価できます。

**重要**  
これらの手順は、すべてを一度に完了することを想定しています。実行中の作業を保存して、後で続行することはできません。

****[ワークロードインサイト]** からモニターを作成するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. **[ワークロードインサイト]** を選択します。

1. **[トップコントリビューター]** テーブルのいずれかで、1 つ以上のネットワークフローを選択し、**[モニターを作成]** を選択します。

1. 開いたモーダルウィンドウで、選択したネットワークフローを定義するリソースを編集するか、**[モニターを作成]** を選択できます。

## ローカルリソースとリモートリソースを指定してモニターを作成する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone"></a>

詳細を表示するネットワークフローを定義する特定のローカルリソースとリモートリソースに対して、いつでもモニターを作成できます。

例えば、以下のいずれかのシナリオのモニターを作成できます。
+ ローカルリージョン内の特定の VPC から同じリージョン内の別の VPC へのネットワークフローを含むモニター。(別のリージョンでは、VPC などの特定のリソースをネットワークフローエンドポイント、つまりリモートリソースとして選択することはできません。)
  + ローカルリソースの場合は、**[*リージョン*の特定のリソース]** を選択します。次に、**[VPC とサブネット]** を選択し、テーブルで特定の VPC を選択します。
  + リモートリソースの場合は、同じ操作を行います。**[*リージョン*の特定のリソース]** を選択し、次に **[VPC とサブネット]** を選択し、最後に特定の VPC を選択します。
+ ローカルリージョンのワークロードから特定のアベイラビリティーゾーンへのすべてのネットワークフローを含むモニター。
  + ローカルリソースの場合は、**[*リージョン*のあらゆる場所]** を選択します
  + リモートリソースの場合は、**[アベイラビリティーゾーン]** を選択し、特定の AZ を選択します
+ ローカルリージョン内のワークロードのすべてのネットワークフローを含むモニター。
  + ローカルリソースの場合は、**[*リージョン*のあらゆる場所]** を選択します
  + リモートリソースの場合は、**[*リージョン*のあらゆる場所]** を選択します
+ ローカルリージョンから別のリージョンのエッジへのワークロードのすべてのネットワークフローを含むモニター。
  + ローカルリソースの場合は、**[*リージョン*のあらゆる場所]** を選択します
  + リモートリソースの場合は、**[別のリージョン]** を選択し、リモートリージョンを選択します

**重要**  
これらの手順は、すべてを一度に完了することを想定しています。実行中の作業を保存して、後で続行することはできません。

**コンソールを使用してモニターを作成するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. [Network Flow Monitor] ページで **[モニター]** タブを選択してから、**[モニターを作成]** を選択します。

1. **[モニター名]** には、モニターに使用する名前を入力します。この名前は後で変更できません。

1. **[次へ]** を選択します。

1. モニタリングするネットワークフローのローカルリソース (1 つ以上) を選択します。
   + リージョン内のすべてのリソースからのネットワークフローをモニタリングするには、**[*リージョン*のあらゆる場所]** を選択します。
   + フローをモニタリングする対象の特定のローカルリソースを選択するには、**[*リージョン*の特定のリソース]** を選択します。次に、**[リソースを追加]** で、**[アベイラビリティーゾーン]**、**[EKS クラスター]**、または **[VPC とサブネット]** を選択してから、追加するリソースを選択します。

1. **[次へ]** を選択します。

1. モニタリングするネットワークフローのリモートリソース (1 つ以上) を選択します。
   + リージョン内のすべてのリソースへのネットワークフローをモニタリングするには、**[*リージョン*のあらゆる場所]** を選択します。
   + 特定のリモートリソースからのフローをモニタリングするには、**[*リージョン*の特定のリソース]** を選択します。**[リソースを追加]** で、**[VPC とサブネット]**、**[アベイラビリティーゾーン]**、または **[AWS サービス]** を選択し、追加するリソースを選択します。
   + 別のリージョンのエッジへのネットワークフローをモニタリングするには、**[別のリージョン]** を選択します。

1. **[次へ]** を選択します。

1. 選択内容を確認してモニタリングするネットワークフローを確定するか、オプションを編集して変更を加えます。

1. **[Create monitor]** (モニターの作成) を選択します。

モニターを作成した後は、いつでもモニターを編集または削除して、ネットワークフローを追加または削除できます。モニターを選択してから、**[編集]** または **[削除]** を選択します。モニターの名前は変更できないことに注意してください。

**Network Flow Monitor ダッシュボードを表示するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. ナビゲーションペインで、**[ネットワークモニタリング]**、**[フローモニター]** の順に選択します。

   **[Monitors]** (モニタ) タブには、作成済みのモニタが一覧表示されます。

特定のモニターの詳細情報を表示するには、モニターを選択します。

# Network Flow Monitor でモニターを編集する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-edit"></a>

いつでもモニターを編集して、ネットワークフローを追加または削除できます。

モニターの作成後はモニターの名前を変更できないことに注意してください。

**重要**  
これらの手順は、すべてを一度に完了することを想定しています。実行中の作業を保存して、後で続行することはできません。

**コンソールを使用してモニタを編集するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. **[モニター]** タブでモニターを選択し、**[アクション]** メニューで **[編集]** を選択します。

1. モニターに追加または削除するローカルリソースまたはリモートリソースを選択します。スコープに複数のアカウントがある場合は、リソースがあるアカウントを指定し、リソースを選択します。

1. モニターの更新が完了したら、**[次へ]** を選択して、モニタリングするネットワークフローを確認して確定します。

1. **[モニターを保存]** を選択します。

# Network Flow Monitor でモニターを削除する
<a name="CloudWatch-NetworkFlowMonitor-configure-monitors-delete"></a>

Network Flow Monitor でモニターを削除するには、以下のステップに従ってください。

**モニタを削除する**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. **[モニター]** タブでモニターを選択し、**[アクション]** メニューで **[削除]** を選択します。

1. 表示するダイアログに、確認テキストを入力してから、**[削除]** を選択します。

# Network Flow Monitor を使用してネットワークフローをモニタリングおよび分析する
<a name="CloudWatch-NetworkFlowMonitor-monitor-and-analyze"></a>

Network Flow Monitor のデータとグラフは、ネットワークの問題の視覚化と追跡に役立ちます。モニターを作成して、個々のネットワークフローのネットワークパスのビューなど、AWS ワークロードの特定のネットワークセグメントに関する詳細情報を表示できます。Network Flow Monitor で 1 つまたは複数のモニターを作成したら、パフォーマンスとメトリクスを観察し、履歴データを調べて異常を見つけることができます。

モニターによって提供される情報を表示するには、**[モニター]** タブの **[モニター]** テーブルでモニターを選択します。次に、**[概要]**、**[Historical Explorer]**、**[モニターの詳細]** タブのいずれかを選択します。

**[概要] タブ**  
**[概要]** タブで、指定した期間について以下を確認できます。NHI やトラフィックの要約データなど、より広範囲またはより狭い履歴情報を表示するには、ページの上部にある期間の選択を調整します。  
+ **[ネットワークヘルスインジケータ (NHI):]** NHI は、パフォーマンスメトリクスを表示するために選択した期間中に、モニターによって追跡される 1 つ以上のネットワークフローに AWS ネットワークの問題があったかどうかを警告します。NHI はバイナリ値、言い換えれば 1 または 0 であり、コンソールには **[Degraded]** または **[Healthy]** と表示されます。
  + モニター内のネットワークフローが選択した時間枠内の任意の時点で通過した AWS ネットワーク部分に問題がある場合、NHI は **[Degraded]** と表示されます。
  + それ以外の場合、NHI は **[Healthy]** と表示されます。

  NHI が **[Degraded]** である場合は、**[ネットワークヘルスインジケータ]** の棒グラフで詳細を確認できます。グラフには、選択した期間中に、モニターによって追跡されたネットワークフローに AWS ネットワークの問題が発生した日時が表示されます。
+ **[トラフィックの概要:]** 選択した期間、このモニターによって追跡されるフローの全体的なメトリクスを観測します。モニターには、平均ラウンドトリップ時間、送信タイムアウトと再送信の合計 (合計)、フローに転送されたデータの平均量が表示されます。RTT は必ずしも計算されないため、RTT データはスパースである可能性があることに注意してください。

**Historical Explorer タブ**  
**[Historical Explorer]** タブでは、特定のフローに関する情報を深く調査することができます。指定した時間枠のトップコントリビューターのネットワークフローのメトリクスとネットワークパスを確認できます。メトリクスのテーブルでは、アベイラビリティーゾーン (`INTER_AZ`) 間のフローなど、さまざまなカテゴリのフローでデータをフィルタリングできます。  
+ **[メトリクス:]** Network Flow Monitor がデータを集約する各メトリクスタイプのトップコントリビューターの詳細な情報を表示します。再送信タイムアウト、再送信、ラウンドトリップタイム、および転送されたデータについては、トップコントリビューターの個別のテーブルが提供されます。
+ **[ネットワークパス:]** 異常が発生している場所を把握するには、ネットワークフローのネットワークパスを表示できます。メトリクステーブルで特定のメトリクスを選択すると、そのフローのネットワークパスがテーブルの下に表示されます。

**モニターの詳細タブ**  
**[モニターの詳細]** タブで、モニターのステータス、ARN、モニターの作成日時と最終更新日時、含まれるフローなど、モニターの詳細を確認できます。

**[モニター]** タブの任意のページからモニターを編集または削除できます。

Network Flow Monitor を定期的に使用する一環として、**[ワークロードインサイト]** ページのデータを定期的に確認して、時間の経過とともにより詳細に追跡するメトリクスの異常を示す新しいフローがあるかどうかを判断することをお勧めします。詳細を表示する **[ワークロードインサイト]** ページに一連のフローが表示されたら、フローを選択してモニターを作成します。

# Network Flow Monitor のスコープを削除する
<a name="CloudWatch-NetworkFlowMonitor-disable"></a>

Network Flow Monitor を使用してネットワークフローをモニタリングする必要がなくなった場合は、Network Flow Monitor スコープを削除できます。スコープを削除すると、ネットワークパフォーマンス情報が表示されなくなります。

スコープを削除する前に、すべてのモニターを削除する必要があります。モニターの削除をリクエストした後、モニターの削除が完了するまでに約 15 分かかる場合があることに注意してください。詳細については、「[Network Flow Monitor でモニターを削除する](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)」を参照してください。

**スコープを削除するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. 左側のナビゲーションペインで、**[ネットワークモニタリング]** の下にある **[フローモニター]** を選択します。

1. **[設定]** タブで、**[スコープを削除]** を選択します。

1. ダイアログボックスに、確認テキストを入力してから、**[スコープを削除]** を選択します。

# CloudWatch で Network Flow Monitor メトリクスを表示する
<a name="CloudWatch-NetworkFlowMonitor-cw-metrics"></a>

Network Flow Monitor は、ラウンドトリップタイム、TCP 再送信、TCP 再送信タイムアウト、転送されたデータ、ネットワークヘルスインジケータのネットワークフローパフォーマンスメトリクスをお使いのアカウントに発行します。Amazon CloudWatch コンソールの CloudWatch Metrics でこれらのメトリクスを表示することができます。

モニタですべてのメトリクスを検索するには、CloudWatch メトリクスダッシュボードでカスタム名前空間 `AWS/NetworkFlowMonitor` を使用します。メトリクスは、デプロイされアクティブになっているモニターごとに集計されます。

Network Flow Monitor は以下のメトリクスを提供しています。RoundTripTime メトリクスは常に計算されるとは限らないため、そのデータはスパースである可能性があることに注意してください。


| メトリクス | 説明 | 
| --- | --- | 
| DataTransferred | モニターのすべてのフローに転送されたバイト数。 | 
| Retransmissions | モニターの再送信の合計数。再送信は、送信者が破損または紛失したパケットを再送信する必要がある場合に発生します。 | 
|  タイムアウト | モニターの合計再送信タイムアウト。これは、送信者があまりに多くの確認応答を受信できない場合に発生し、その結果タイムアウトして送信を完全に停止することを決定します。 | 
| RoundTripTime | モニターのネットワークフローの平均ラウンドトリップ時間。このメトリックはマイクロ秒単位で測定され、パフォーマンスの尺度となります。トラフィックがローカルリソースからリモート IP アドレスに送信され、関連するレスポンスが受信されるまでにかかる時間を記録します。この時間は集計期間の平均です。このメトリクスは常に計算されるとは限らないため、データはスパースである可能性があります。 | 
| ヘルスインジケータ | モニター全体のネットワークヘルスインジケータ (NHI)。ネットワークヘルスインジケータ (NHI) は、AWS ネットワーク障害を表面化する値です。指定された時間枠内に AWS ネットワークの問題が発生した場合、NHI 値は 1 (デグレード) です。AWS ネットワークの問題が検出されなかった場合、0 (正常) に設定されます。NHI を観察すると、ワークロードまたは AWS ネットワークのどちらかのトラブルシューティングを優先できます。 | 

# Network Flow Monitor を使用してアラームを作成する
<a name="CloudWatch-NetworkFlowMonitor-create-alarm"></a>

Amazon CloudWatch アラームは、他の CloudWatch メトリクスと同様に、Network Flow Monitor メトリクスに基づいて作成できます。

例えば、Network Flow Monitor のメトリクス `Retransmissions` に基づいてアラームを作成し、このメトリクスが選択した値を上回ったときに通知を送信するように設定できます。Network Flow Monitor メトリクスのアラームは、他の CloudWatch メトリクスと同じガイドラインに従って設定します。

アラームの作成対象として選択できる Network Flow Monitor メトリクスの例は次のとおりです。
+ **[Retransmissions]**
+ ** タイムアウト**
+ **[RoundTripTime]**

Network Flow Monitor で使用できるすべてのメトリックを確認するには、「[静的しきい値に基づいて CloudWatch アラームを作成する](ConsoleAlarms.md)」を参照してください。

以下の手順は、CloudWatch ダッシュボードのメトリクスに移動し、**[Retransmissions]** に対するアラームを設定する例を示しています。次に、CloudWatch の通常の手順に従って、選択したしきい値に基づいてアラームを作成し、通知を設定するか、その他のオプションを選択します。

**CloudWatch Metrics で **[Retransmissions]** のアラームを作成するには**

1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。

1. **[メトリクス]** を選択し、次に **[すべてのメトリクス]** を選択します。

1. `AWS/NetworkFlowMonitor` を選択して Network Flow Monitor をフィルタリングします。

1. **[MeasurementSource, MonitorName]** を選択します。

1. リストで、**[Retransmissions]** を選択します。

1. **[アクション]** にある **[GraphedMetrics]** タブで、ベルのアイコンを選択し、静的なしきい値に基づいてアラームを作成します。

次に、CloudWatch の通常の手順に従ってアラームのオプションを選択します。例えば、**[Retransmissions]** が特定のしきい値を下回った場合に Amazon SNS メッセージで通知を受けるように選択することができます。別の方法として、またはそれに加えて、ダッシュボードにアラームを追加することもできます。

以下に留意してください。
+ 通常、Network Flow Monitor メトリクスは集約され、30 秒ごとに Network Flow Monitor バックエンドに送信されますが、これには 5 秒 のジッターが含まれています (つまり 25～35 秒になります)。
+ Network Flow Monitor のメトリクスに基づいてアラームを作成する場合は、アラームのルックバック期間を設定するときに、公開前にわずかな遅延があることを考慮してください。**評価期間**には、ルックバックウィンドウを最低 25 分設定することをお勧めします。

CloudWatch アラームを作成する時のオプションの詳細については、「[静的しきい値に基づいて CloudWatch アラームを作成する](ConsoleAlarms.md)」を参照してください。

# Network Flow Monitor の AWS CloudTrail
<a name="CloudWatch-NetworkFlowMonitor-monitoring-overview"></a>

サービスの監視は、Network Flow Monitor およびその他の AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。*AWS CloudTrail* は、AWS アカウント によって、または代わって行われた API コールおよび関連イベントをキャプチャし、指定した Amazon S3 バケットにログファイルを配信します。AWS を呼び出したユーザーとアカウント、呼び出し元の IP アドレス、および呼び出しの発生日時を特定できます。詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)をご参照ください。

Network Flow Monitor CloudTrail ログ記録の詳細については、「[CloudTrail の Network Flow Monitor](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct)」を参照してください。

# Network Flow Monitor における問題のトラブルシューティング
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting"></a>

このセクションでは、エージェントのインストールに関する問題の解決など、Network Flow Monitor でのエラーのトラブルシューティングについて説明します。

## EKS エージェントのインストールに関する問題のトラブルシューティング
<a name="CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation"></a>

AWS マネジメントコンソール で EKS の AWS Network Flow Monitor Agent アドオンを v1.0.0 から v1.0.1 にアップグレードしようとすると、次のエラーメッセージが表示されることがあります。

「Pod Identity 設定のサービスアカウント `aws-network-flow-monitoring-agent-service-account` はアドオン `aws-network-flow-monitoring-agent` ではサポートされていません」

このエラーは、リソースの名前が変更されたために返されました。EKS アドオン v1.0.1 は、サービスアカウント名を `aws-network-flow-monitoring-agent-service-account` から `aws-network-flow-monitor-agent-service-account` に変更します。

その後、コンソールで **[未設定]** が選択されていない場合、Pod Identity の関連付けは新しいリソース名にリセットされません。

この問題を修正するには、コンソールで新しいバージョンにアップグレードするときに、次の操作を行います。

1. **サービスアカウントの Pod Identity IAM ロール**で、**[未設定]** を選択します。

1. **[新しいバージョン (v1.0.1)]** を選択します。

1. **[アップグレード]** を選択します。

1. **[Save changes]** (変更の保存) をクリックします。

# Network Flow Monitor のデータセキュリティとデータ保護
<a name="CloudWatch-NetworkFlowMonitor-security-nfw"></a>

AWS でのクラウドセキュリティは最優先事項です。AWS のユーザーは、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを利用できます。

セキュリティは AWS とお客様の間の共有責任です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** - AWS は、AWS クラウド で AWS のサービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、ユーザーが安全に使用できるサービスも提供します。[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Network Flow Monitor に適用するコンプライアンスプログラムの詳細については、「[コンプライアンスプログラムによる対象範囲の AWS サービス](https://aws.amazon.com/compliance/services-in-scope/)」「」を参照してください。
+ **クラウド内のセキュリティ** - ユーザーの責任は、使用する AWS のサービスに応じて異なります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

このドキュメントは、Network Flow Monitor を使用する際の共有責任モデルの適用方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成に向けて Network Flow Monitor を設定する方法について説明します。また、Network Flow Monitor リソースの監視や保護に役立つ他の AWS のサービスの使用方法についても説明します。

**Topics**
+ [Network Flow Monitor でのデータ保護](data-protection-nfw.md)
+ [Network Flow Monitor のインフラストラクチャセキュリティ](infrastructure-security-nfw.md)
+ [Network Flow Monitor 用の ID およびアクセス管理](CloudWatch-NetworkFlowMonitor-security-iam.md)

# Network Flow Monitor でのデータ保護
<a name="data-protection-nfw"></a>

AWS [共有責任モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)は、Network Flow Monitor のデータ保護に適用されます。このモデルで説明されているように、「AWS」は、「AWS クラウド」のすべてを実行するグローバルインフラストラクチャを保護する責任があります。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データを保護するため、「AWS アカウント」認証情報を保護し、AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「**AWS CloudTrail ユーザーガイド」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して AWS にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK によって Network Flow Monitor や他の AWS のサービス サービスを使用する場合も同様です。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

# Network Flow Monitor のインフラストラクチャセキュリティ
<a name="infrastructure-security-nfw"></a>

マネージドサービスとして、Network Flow Monitor は、[Amazon Web Services: セキュリティプロセスの概要](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)のホワイトペーパーで説明されている AWS グローバルネットワークセキュリティ手順で保護されています。

ネットワーク経由で Network Flow Monitor にアクセスするには、AWS が発行した API コールを使用します。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS 1.2 以降が推奨されています。また、DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、[AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

# Network Flow Monitor 用の ID およびアクセス管理
<a name="CloudWatch-NetworkFlowMonitor-security-iam"></a>

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するために役立つ AWS のサービス です。IAM の管理者は、誰を*認証* (サインインを許可) し、誰に Network Flow Monitor リソースの使用を*承認する* (アクセス許可を持たせる) かを制御します。IAM は、追加費用なしで使用できる AWS のサービスです。

**Topics**
+ [IAM と Network Flow Monitor の連携のしくみ](security_iam_service-with-iam-network-flow-monitor.md)
+ [AWS マネージドポリシー](security-iam-awsmanpol-network-flow-monitor.md)
+ [サービスリンクロール](using-service-linked-roles-network-flow-monitor.md)

# IAM と Network Flow Monitor の連携のしくみ
<a name="security_iam_service-with-iam-network-flow-monitor"></a>

IAM を使用して Network Flow Monitor へのアクセスを管理する前に、Network Flow Monitor で利用できる IAM の機能を確認してください。

AWS のサービスが大部分の IAM 機能と連動する方法に関する同様の概要のビューを表示するテーブルを確認するには、「IAM ユーザーガイド」の「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。


**Network Flow Monitor で利用できる IAM 機能**  

| IAM 機能 | Network Flow Monitor のサポート | 
| --- | --- | 
|  [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies-nfm)  |   あり  | 
|  [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies-nfm)  |   なし   | 
|  [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions-nfm)  |   あり  | 
|  [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources-nfm)  |   はい  | 
|  [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm)  |   はい  | 
|  [ACL](#security_iam_service-with-iam-acls-nfm)  |   なし   | 
|  [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags-nfm)  |   あり  | 
|  [一時的な認証情報](#security_iam_service-with-iam-roles-tempcreds-nfm)  |   あり  | 
|  [プリンシパルアクセス権限](#security_iam_service-with-iam-principal-permissions-nfm)  |   あり  | 
|  [サービスロール](#security_iam_service-with-iam-roles-service-nfm)  |   いいえ   | 
|  [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked-nfm)  |   あり  | 

## Network Flow Monitor の ID ベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies-nfm"></a>

**アイデンティティベースのポリシーのサポート:** あり

アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

## Network Flow Monitor 内のリソースベースのポリシー
<a name="security_iam_service-with-iam-resource-based-policies-nfm"></a>

**リソースベースのポリシーのサポート:** なし 

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。

## Network Flow Monitor のポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions-nfm"></a>

**ポリシーアクションのサポート:** あり

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Network Flow Monitor アクションのリストを確認するには、「*サービス認可リファレンス*」の「[Network Flow Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)」を参照してください。

Network Flow Monitor のポリシーアクションは、アクションの前に次のプレフィックスを使用します。

```
networkflowmonitor
```

単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。

```
"Action": [
      "networkflowmonitor:action1",
      "networkflowmonitor:action2"
         ]
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "networkflowmonitor:Describe*"
```

## Network Flow Monitor のポリシー リソース
<a name="security_iam_service-with-iam-id-based-policies-resources-nfm"></a>

**ポリシーリソースのサポート:** あり

「*サービス認可リファレンス*」では、Network Flow Monitor に関連する次の情報を確認できます。
+ Network Flow Monitor リソースタイプおよびその ARN のリストを表示するには、「[Network Flow Monitor で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies)」を参照してください。
+ どのアクションで各リソースの ARN を指定できるかについては、「[Network Flow Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)」を参照してください。

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

## Network Flow Monitor のポリシー条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys-nfm"></a>

**サービス固有のポリシー条件キーのサポート:** あり

管理者は AWS JSON ポリシーを使用して、だれが何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどんな**リソース**にどんな**条件**で**アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)を参照してください。

Network Flow Monitor の条件キーのリストを確認するには、「*サービス認可リファレンス*」の「[Network Flow Monitor の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys)」を参照してください。どのアクションやリソースで条件キーを使用できるかについては、「[Network Flow Monitor で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions)」を参照してください。

## Network Flow Monitor での ACL
<a name="security_iam_service-with-iam-acls-nfm"></a>

**ACL のサポート:** なし 

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

## Network Flow Monitor での ABAC
<a name="security_iam_service-with-iam-tags-nfm"></a>

**ABAC (ポリシー内のタグ) のサポート:** あり

Network Flow Monitor は、ポリシー内のタグの*一部*をサポートしています。リソースの 1 つであるモニタのタグ付けをサポートしています。

Network Flow Monitor でタグを使用するには、AWS Command Line Interface または AWS SDK を使用します。AWS マネジメントコンソール では、Network Flow Monitor のタグ付けをサポートしていません。

ポリシーにおけるタグの使用全般の詳細については、次の情報を確認してください。

属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグを付けることで、プリンシパルのタグがリソースタグと一致するときに操作を許可する ABAC ポリシーを設計できます。

タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。

ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。

## Network Flow Monitor での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds-nfm"></a>

**一時的な認証情報のサポート:** あり

一時的な認証情報は、AWSリソースへの短期的なアクセスを提供し、フェデレーションの使用時またはロールの切り替え時に自動的に作成されます。AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

## Network Flow Monitor のクロスサービスプリンシパル許可
<a name="security_iam_service-with-iam-principal-permissions-nfm"></a>

**転送アクセスセッション (FAS) のサポート:** あり

 転送アクセスセッション (FAS) は、AWS のサービス を呼び出すプリンシパルのアクセス許可を AWS のサービス のリクエストと合わせて使用し、ダウンストリームのサービスに対してリクエストを行います。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。

## Network Flow Monitor のサービスロール
<a name="security_iam_service-with-iam-roles-service-nfm"></a>

**サービスロールのサポート:** なし 

 サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、「*IAM ユーザーガイド*」の「[AWS のサービス にアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。

## Network Flow Monitor のサービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked-nfm"></a>

**サービスリンクロールのサポート:** あり

 サービスにリンクされたロールは、AWS のサービス にリンクされているサービスロールの一種です。サービスがロールを引き受け、ユーザーに代わってアクションを実行できるようになります。サービスにリンクされたロールは、AWS アカウント に表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Network Flow Monitor のサービスリンクロールの詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。

AWS のサービスリンクロール全般の作成または管理の詳細については、「[IAM と提携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。

# Network Flow Monitor の AWS マネージドポリシー
<a name="security-iam-awsmanpol-network-flow-monitor"></a>

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、*IAM ユーザーガイド*の [AWS管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorServiceRolePolicy"></a>

IAM エンティティに `CloudWatchNetworkFlowMonitorServiceRolePolicy` をアタッチすることはできません。このポリシーは、**AWSServiceRoleForNetworkFlowMonitor** という名前のサービスリンクロールにアタッチされます。このロールは、Network Flow Monitor エージェントによって収集されたネットワークテレメトリの集約結果を CloudWatch に発行します。また、これによりサービスで AWS Organizations を使用して、マルチアカウントシナリオの情報も取得できるようになります。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)」を参照してください。

詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy"></a>

IAM エンティティに ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` をアタッチすることはできません。このポリシーは、**AWSServiceRoleForNetworkFlowMonitor\$1Topology** という名前のサービスリンクロールにアタッチされます。これらのアクセス許可と内部メタデータ情報の収集 (パフォーマンス効率のため) を使用して、このサービスリンクロールは、このサービスがネットワークトラフィックを監視するリソースのルートテーブルやゲートウェイの記述など、リソースネットワーク設定に関するメタデータを収集します。このメタデータにより、Network Flow Monitor はリソースのトポロジスナップショットを生成できます。ネットワークのパフォーマンスが低下すると、Network Flow Monitor はトポロジーを使用して、ネットワーク内の問題の場所に関するインサイトを提供し、問題があるところを特定するのに役立ちます。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)」を参照してください。

詳細については、「[Network Flow Monitor のサービスリンクロール](using-service-linked-roles-network-flow-monitor.md)」を参照してください。

## AWS マネージドポリシー: CloudWatchNetworkFlowMonitorAgentPublishPolicy
<a name="security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy"></a>

このポリシーは、テレメトリレポート (メトリクス) を Network Flow Monitor エンドポイントに送信するために、Amazon EC2 および Amazon EKS インスタンスリソースにアタッチされた IAM ロールで使用できます。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html)」を参照してください。

## Network Flow Monitor のサービスリンクロールを更新する
<a name="security-iam-awsmanpol-network-flow-monitor-updates"></a>

Network Flow Monitor サービスリンクロールの AWS マネージドポリシーの更新については、CloudWatch の [AWS マネージドポリシーの更新表](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)を参照してください。CloudWatch の[ドキュメント履歴のページ](DocumentHistory.md)で、自動 RSS アラートにサブスクライブすることもできます。

# Network Flow Monitor のサービスリンクロール
<a name="using-service-linked-roles-network-flow-monitor"></a>

Network Flow Monitor は、AWS Identity and Access Management (IAM) [サービスリンクロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Network Flow Monitor に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは Network Flow Monitor によって事前に定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。

Network Flow Monitor は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Network Flow Monitor のみがそのロールを担うことができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。この制限により、リソースへのアクセス許可を誤って削除することがなくなるため、Network Flow Monitor リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連動する AWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、[**Service-linked roles**] (サービスにリンクされたロール) の列内で [**Yes**] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。

## Network Flow Monitor のサービスにリンクされたロールのアクセス許可
<a name="service-linked-role-permissions-NetworkFlowMonitor"></a>

Network Flow Monitor は、以下のサービスリンクロールを使用します。
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**

### AWSServiceRoleForNetworkFlowMonitor のサービスリンクロール許可の使用
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor"></a>

Network Flow Monitor は、**[AWSServiceRoleForNetworkFlowMonitor]** という名前のサービスリンクロールを使用します。このロールにより、Network Flow Monitor は、インスタンス間、およびインスタンスと AWS のロケーション間のネットワークトラフィック用に収集された CloudWatch 集約テレメトリメトリクスを発行できます。また、これによりサービスで AWS Organizations を使用して、マルチアカウントシナリオの情報も取得できるようになります。

このサービスリンクロールは、マネージドポリシーである `CloudWatchNetworkFlowMonitorServiceRolePolicy` を使用します。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)」を参照してください。

**[AWSServiceRoleForNetworkFlowMonitor]** サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
+ `networkflowmonitor.amazonaws.com`

### AWSServiceRoleForNetworkFlowMonitor\$1Topology のサービスリンクロールのアクセス許可
<a name="service-linked-role-permissions-AWSServiceRoleForNetworkFlowMonitor_Topology"></a>

Network Flow Monitor は、**[AWSServiceRoleForNetworkFlowMonitor\$1Topology]** という名前のサービスリンクロールを使用します。このロールにより、Network Flow Monitor は Network Flow Monitor で使用するリソースのトポロジスナップショットを生成できます。

このサービスリンクロールは、マネージドポリシーである `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` を使用します。

このポリシーに対する許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)」を参照してください。

**[AWSServiceRoleForNetworkFlowMonitor\$1Topology]** サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `topology.networkflowmonitor.amazonaws.com`

## Network Flow Monitor のサービスにリンクされたロールの作成
<a name="create-service-linked-role-network-flow-monitor"></a>

Network Flow Monitor のサービスリンクロールを手動で作成する必要はありません。Network Flow Monitor を初めて初期化すると、Network Flow Monitor によって **[AWSServiceRoleForNetworkFlowMonitor]** と **[AWSServiceRoleForNetworkFlowMonitor\$1Topology]** が作成されます。

詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

## Network Flow Monitor のサービスにリンクされたロールの編集
<a name="edit-service-linked-role-network-flow-monitor"></a>

Network Flow Monitor がサービスにリンクされたロールをアカウントに作成すると、多くのエンティティによってロールが参照される可能性があるため、ロールの名前を変更することはできません。IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Network Flow Monitor のサービスにリンクされたロールの削除
<a name="delete-service-linked-role-network-flow-monitor"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除する際に、Network Flow Monitor サービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってから再試行してください。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、AWS CLI、または AWS API を使用して、サービスリンクロールである **[AWSServiceRoleForNetworkFlowMonitor]** または **[AWSServiceRoleForNetworkFlowMonitor\$1Topology]** を削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Network Flow Monitor のサービスリンクロールを更新する
<a name="security-iam-awsmanpol-updates-network-flow-monitor"></a>

Network Flow Monitor のサービスリンクロールの AWS マネージドポリシーである `CloudWatchNetworkFlowMonitorServiceRolePolicy`、または `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` への更新については、「[AWS マネージドポリシーに関する CloudWatch の更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch [ドキュメントの履歴](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)ページから、RSS フィードにサブスクライブしてください。