다중 계정 모니터링을 위한 Network Flow Monitor 초기화
Network Flow Monitor에서 여러 계정에서 소유한 리소스에 대한 네트워크 흐름을 모니터링하려면 먼저 AWS Organizations를 사용하여 Amazon CloudWatch를 구성해야 합니다 Network Flow Monitor에서 여러 개의 계정을 사용하려면 CloudWatch에 대해 신뢰할 수 있는 액세스를 켜야 하고, 위임된 관리자도 등록하는 것이 좋습니다.
추가로 콘솔에서 네트워크 흐름에 대한 모니터를 생성하려는 경우 리소스에 연결된 역할에 Network Flow Monitor 정책을 추가해야 합니다. 정책을 사용하면 콘솔에서 다른 계정의 리소스를 볼 수 있으므로 여러 계정에 있는 리소스를 모니터에 추가할 수 있습니다.
서로 다른 계정에서 소유한 리소스의 네트워크 흐름을 모니터링하려면 추가 구성 단계를 수행해야 합니다. 먼저 관리 계정으로 AWS Organizations를 사용하여 신뢰할 수 있는 액세스를 켜도록 CloudWatch를 구성해야 하고, 일반적으로 위임된 관리자 계정 역시 등록해야 합니다. 그런 다음 위임된 관리자 계정을 사용하여 조직에 계정을 더 추가하여 해당 계정에 리소스를 포함하도록 네트워크 관찰성 범위를 설정할 수 있습니다. (관리 계정으로 여러 계정을 추가할 수도 있지만 Organizations에서는 서비스의 리소스를 사용할 때 위임된 관리자 계정을 사용하는 것이 좋습니다. Network Flow Monitor에 대한 지침에서 이를 따르는 단계를 제공합니다.)
여러 계정의 인스턴스에 대한 네트워크 흐름을 모니터링할 필요가 없는 경우 단일 계정에서 Network Flow Monitor를 사용할 수 있습니다. Network Flow Monitor의 범위는 로그인한 AWS 계정으로 자동 설정됩니다.
다음 섹션의 지침을 사용하여 단계를 완료합니다.
Network Flow Monitor에서 여러 계정을 사용하는 단계 개요
Network Flow Monitor를 시작하려면 이전에 Network Flow Monitor를 사용하지 않았던 모든 계정에서 Network Flow Monitor를 초기화해야 합니다. 계정에서 Network Flow Monitor를 초기화하면 Network Flow Monitor는 필요한 서비스 연결 역할 권한을 추가하고 네트워크 관찰성에 포함될 계정의 범위를 생성합니다. Network Flow Monitor에서 여러 계정을 사용하려면 추가 단계를 통해 AWS Organizations와 통합한 다음 사용할 계정을 추가해야 합니다.
간단하게 다음 단계를 수행합니다.
관리 계정으로 AWS Management Console에 로그인하고, 다음을 수행합니다.
CloudWatch에서 AWS Organizations와의 통합에 필요한 단계를 완료합니다.
위임된 관리자 계정으로 AWS Management Console에 로그인하고, 다음을 수행합니다.
범위에 포함할 계정 추가를 포함하여 Network Flow Monitor를 초기화합니다.
콘솔에서 다른 계정에 있는 리소스에 액세스하는 데 필요한 권한을 추가합니다.
여러 계정에서 사용하도록 Network Flow Monitor를 설정하고 AWS Organizations 사용이 익숙하지 않은 경우 다음 리소스를 검토하여 관리 계정, 신뢰할 수 있는 액세스 및 위임된 관리자 계정과 같은 개념을 알아보고, Organizations를 CloudWatch와 통합하는 방법을 알아보세요.
AWS Organizations 사용 설명서의 AWS Organizations를 사용하여 조직 내 계정 관리.
AWS Organizations 사용 설명서의 Amazon CloudWatch 및 AWS Organizations.
여러 계정에 대해 Network Flow Monitor를 구성하는 방법과 관련된 구체적인 지침은 다음 섹션의 단계를 따르세요.
CloudWatch에서 AWS Organizations 구성
AWS Organizations로 Network Flow Monitor를 구성하려면 관리 계정으로 로그인하고 CloudWatch에 대한 신뢰할 수 있는 액세스를 켭니다. 그런 다음 Network Flow Monitor를 초기화하고 여러 개의 계정을 추가하는 데 사용할 위임된 관리자 계정을 등록합니다.
CloudWatch의 Organizations에서 신뢰할 수 있는 액세스를 켜고 위임된 관리자 계정을 등록하도록 구성한 경우 Organizations에서 Network Flow Monitor에 대해 더 이상 별도로 구성할 필요가 없습니다. CloudWatch의 위임된 관리자 계정으로 로그인하고, 네트워크 관찰성 범위에 여러 계정을 추가하는 작업을 포함하여 Network Flow Monitor를 초기화할 수 있습니다.
아직 CloudWatch에서 Organizations를 구성하지 않은 경우 다음 단계에 따라 신뢰할 수 있는 액세스를 켜고 위임된 관리자 계정을 등록합니다.
CloudWatch에서 신뢰할 수 있는 액세스 켜기
조직의 계정이 2개 이상인 Network Flow Monitor를 사용하려면 먼저 Amazon CloudWatch에서 AWS Organizations에 대해 신뢰할 수 있는 액세스를 켜야 합니다. 다음 단계에 따라 CloudWatch 콘솔에서 신뢰할 수 있는 액세스를 켭니다.
신뢰할 수 있는 액세스 켜기
조직의 관리 계정으로 콘솔에 로그인합니다.
CloudWatch 콘솔의 탐색 창에서 설정을 선택합니다.
조직 탭을 선택합니다.
Organizational Management Settings에서 켜기를 선택합니다. 신뢰할 수 있는 액세스 활성화 페이지가 나타납니다.
역할 정책을 검토하려면 권한 보기 세부 정보를 선택하고 역할 정책을 확인합니다.
신뢰할 수 있는 액세스 활성화를 선택합니다.
이제 CloudWatch가 리소스를 검색하면 Network Flow Monitor에서 리소스에 액세스할 수 있는 권한이 있는 계정에 대한 정보가 자동으로 업데이트됩니다.
위임된 관리자 계정 등록
AWS Organizations 모범 사례에 따라 조직의 관리 계정은 멤버 계정을 CloudWatch의 위임된 관리자 계정으로 등록해야 합니다. CloudWatch에 위임된 관리자 계정을 등록한 후 조직의 멤버는 위임된 관리자 계정으로 로그인하여 Network Flow Monitor의 여러 계정에 있는 리소스의 네트워크 성능을 모니터링할 수 있습니다.
위임된 관리자 계정을 사용하여 Network Flow Monitor의 네트워크 관찰성 범위에 대해 여러 개의 계정을 추가할 수 있습니다. 관리 계정은 여러 계정을 포함하는 범위를 생성할 수도 있지만 AWS Organizations 모범 사례를 따르고 위임된 관리자 계정을 사용하여 Network Flow Monitor에 여러 계정을 추가하는 것이 좋습니다. 위임된 관리자 계정이 아닌 멤버 계정의 경우 범위는 범위에 대해 자동으로 설정된 로그인한 계정으로 제한됩니다.
Organizations의 위임된 관리자 계정은 서비스 관리형 권한에 대한 관리자 액세스를 공유하는 멤버 계정입니다. 위임된 관리자 계정으로 등록하는 계정은 조직 내의 멤버 계정이어야 합니다. 조직의 위임된 관리자 계정은 CloudWatch 외부에서 사용할 수 있으므로 이 절차를 따르기 전에 이 계정 유형에 대해 이해해야 합니다. 자세한 내용은 AWS Organizations 사용 설명서의 Amazon CloudWatch와 AWS Organizations를 참조하세요.
위임된 관리자 계정을 등록하려면 다음을 수행합니다.
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. -
탐색 창에서 설정을 선택합니다.
조직 탭을 선택합니다.
위임된 관리자 등록을 선택합니다.
위임된 관리자 등록 창의 위임된 관리자 계정 ID 필드에 12자리 조직 멤버 계정 ID를 입력합니다.
위임된 관리자 등록을 선택합니다. 페이지 상단에 계정이 등록되었음을 나타내는 메시지가 나타납니다. 조직 설정 페이지가 나타납니다. 위임된 관리자 계정에 대한 정보를 보려면 위임된 관리자 아래의 숫자 위에 마우스 커서를 올립니다.
위임된 관리자 계정을 제거하거나 변경하려면 먼저 계정을 등록 취소합니다. 자세한 내용은 위임된 관리자 계정 등록 해제를 참조하세요.
범위에 여러 계정 추가
Network Flow Monitor 범위에 계정을 추가하려면 위임된 관리자 계정으로 로그인합니다. (관리 계정으로 로그인한 경우에도 범위에 계정을 추가할 수 있지만, AWS Organizations의 모범 사례에 따라 리소스를 사용하려면 위임된 관리자 계정을 사용해야 합니다.)
위임된 관리자 계정으로 로그인한 후 Network Flow Monitor를 초기화하여 필요한 서비스 연결 역할 권한을 승인하고, 계정을 추가하여 네트워크 관찰성 범위를 설정하고, 범위 내 계정에 대한 초기 토폴로지를 생성합니다. 로그인한 계정(이 경우에는 위임된 관리자 계정)은 Network Flow Monitor 범위에 자동으로 포함됩니다. 여러 계정의 리소스에 대한 네트워크 흐름을 모니터링할 수 있도록 범위에 계정을 추가하려면 다음 단계를 따릅니다.
범위에 계정 추가
조직의 관리 계정으로 콘솔에 로그인합니다.
CloudWatch 콘솔의 탐색 창에 있는 네트워크 모니터링에서 흐름 모니터를 선택합니다.
Network Flow Monitor 시작하기의 1단계에서 초기화 시작을 선택합니다.
Network Flow Monitor 페이지의 계정 추가에서 추가를 선택합니다. 로그인한 계정은 자동으로 범위에 포함되고 이미 범위에 속하는 계정 테이블에 (이 계정)으로 표시됩니다.
계정 추가 대화 상자에서 계정을 필터링하고, 최대 99개의 추가 계정을 선택하여 범위에 추가합니다. 범위의 최대 계정 수는 100개입니다.
추가를 선택합니다.
Network Flow Monitor 초기화를 선택합니다. Network Flow Monitor는 필요한 서비스 연결 역할 권한을 추가하고, 지정한 모든 계정을 포함하는 범위를 생성하고, 범위에 속하는 계정의 리소스에 대한 초기 토폴로지를 생성합니다.
다중 계정 리소스 액세스 권한 설정(콘솔에만 해당)
콘솔에서 네트워크 흐름에 대한 모니터를 생성하려는 경우 범위 내 각 멤버 계정에 대한 특정 정책이 필요합니다. 이 정책을 통해 모니터에 로컬 및 원격 리소스를 추가할 때 다른 계정의 리소스를 볼 수 있습니다.
범위에 속하는 각 계정에 대해 NetworkFlowMonitorAccountResourceAccess 역할을 생성하고, AmazonEC2ReadOnlyAccess 정책을 연결합니다. 정책의 권한 세부 정보를 확인하려면 AWS 관리형 정책 참조 가이드에서 AmazonEC2ReadOnlyAccess를 참조하세요.
이 정책은 Network Flow Monitor 에이전트가 인스턴스에서 Network Flow Monitor 수집 백엔드 서버로 성능 지표를 전송할 수 있도록 각 인스턴스에 추가해야 하는 정책과는 별도의 정책입니다. 에이전트 요구 사항에 대한 자세한 내용은 인스턴스에 Network Flow Monitor 에이전트 설치 섹션을 참조하세요.
다음 절차에서는 Network Flow Monitor 콘솔에서 범위 내 리소스에 액세스하는 데 필요한 역할을 생성하는 단계에 관한 요약을 제공합니다. IAM에서 역할을 생성하는 방법에 대한 일반적인 지침은 AWS Identity and Access Management 사용 설명서의 IAM 사용자에게 권한을 부여할 역할 생성을 참조하세요.
Network Flow Monitor 콘솔에서 리소스 액세스를 위한 역할 생성
AWS Management Console에 로그인하고 IAM 콘솔을 엽니다.
콘솔의 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.
AWS 계정의 신뢰할 수 있는 엔터티를 지정합니다. 이 신뢰할 수 있는 엔터티 유형을 사용하면 다른 AWS 계정의 보안 주체가 역할을 맡아 다른 계정의 리소스에 액세스할 수 있습니다.
다음을 선택합니다.
AWS 관리형 정책 목록에서 AmazonEC2ReadOnlyAccess 정책을 선택합니다.
다음을 선택합니다.
역할 이름에 NetworkFlowMonitorAccountResourceAccess를 입력합니다.
역할을 검토한 다음 역할 생성을 선택합니다.
