# Usar o Network Flow Monitor
O Network Flow Monitor oferece visibilidade quase em tempo real da performance da rede para tráfego entre recursos computacionais (Amazon EC2 e Amazon Elastic Kubernetes Service), tráfego para outros serviços da AWS (Amazon S3 e Amazon DynamoDB) e tráfego na borda de outra Região da AWS. O Network Flow Monitor coleta dados dos agentes de software leve que você instala nas instâncias. Esses agentes coletam estatísticas de performance das conexões TCP e enviam esses dados para o serviço de backend do Network Flow Monitor, que calcula os principais fatores que colaboram para cada tipo de métrica.
O Network Flow Monitor também determina se a AWS é a causa de um problema de rede detectado e relata as informações dos fluxos de rede que você escolhe monitorar.
Você pode visualizar informações sobre a performance da rede referentes aos fluxos de rede para recursos em uma única conta ou pode configurar o Network Flow Monitor com o AWS Organizations a fim de visualizar informações de performance referentes a diversas contas em uma organização ao realizar o acesso com uma conta gerencial ou de administrador delegado.
O Network Flow Monitor é destinado a operadores de rede e desenvolvedores de aplicações que desejam insights em tempo real sobre a performance da rede. No console do Network Flow Monitor no CloudWatch, você pode ver os dados de performance do tráfego de rede de seus recursos que foram agregados de agentes e agrupados em diferentes categorias. Por exemplo, você pode ver dados de fluxos entre zonas de disponibilidade ou entre VPCs. Em seguida, você pode criar monitores para fluxos específicos dos quais deseja ver mais detalhes e acompanhar mais de perto ao longo do tempo.
Usando um monitor, você pode visualizar rapidamente a perda de pacotes e a latência de suas conexões de rede em um período que você especifica. Para cada monitor, o Network Flow Monitor também gera um indicador de integridade da rede (NHI). O valor do NHI informa se há problemas de rede da AWS nos fluxos de rede rastreados pelo monitor durante o período que você está avaliando. Usando as informações do NHI, você pode decidir rapidamente se deseja concentrar os esforços de solução de problemas em um problema de rede da AWS ou em problemas de rede originados nas workloads.
Para obter um exemplo de configuração e de uso do Network Flow Monitor, consulte a seguinte publicação no blog: [Visualizing network performance of your AWS Cloud workloads with Network Flow Monitor](https://aws.amazon.com/blogs/networking-and-content-delivery/visualizing-network-performance-of-your-aws-cloud-workloads-with-network-flow-monitor/).
# O que é o Network Flow Monitor?
O Network Flow Monitor é um recurso do Monitoramento de Rede do Amazon CloudWatch. O Network Flow Monitor usa agentes totalmente gerenciados que você instala nas workloads da AWS para retornar métricas de performance e disponibilidade sobre fluxos de rede. Usando o Network Flow Monitor, você pode acessar métricas quase em tempo real, incluindo retransmissões e dados transferidos, das workloads reais. Você também pode identificar se ocorreu um problema de rede subjacente da AWS nos fluxos de rede rastreados por um monitor, verificando os valores do indicador de integridade da rede (NHI).
**Principais recursos do Network Flow Monitor**
+ Com o Network Flow Monitor, você recebe métricas quase em tempo real da latência e da perda de pacotes experimentadas pelo tráfego baseado em TCP na rede da VPC, para que você possa rastrear e investigar problemas de rede no tráfego da workload.
+ Quando as workloads da AWS sofrem degradação da rede, o Network Flow Monitor ajuda você a determinar se o problema é causado pela workload da aplicação ou pela infraestrutura subjacente da AWS. Em seguida, você pode focar rapidamente a solução de problemas na área em que o problema está ocorrendo.
**Como usar o Network Flow Monitor**
Com o Network Flow Monitor, você instala agentes leves nas instâncias, que coletam e agregam métricas de performance. Os agentes do Network Flow Monitor analisam o tráfego TCP e, em seguida, exportam métricas de performance para o backend do serviço do Network Flow Monitor.
Os agentes coletam as seguintes métricas para as workloads: tempo de ida e volta (RTT) do TCP, tempos limite de retransmissão do TCP, retransmissões do TCP e dados (bytes) transferidos. Depois de instalar os agentes nas instâncias, eles detectam as workloads correspondentes que são hospedadas pelas instâncias. Em seguida, os agentes geram métricas de performance da rede e as enviam para o backend do Network Flow Monitor. As métricas são agregadas em categorias como sub-redes, zonas de disponibilidade, VPCs e serviços da AWS.
As métricas de performance para os principais colaboradores, por tipo de métrica, provenientes de todos os fluxos de rede incluídos no escopo do Network Flow Monitor são exibidas na guia **Insights de workloads** do Console de gerenciamento da AWS. Ao analisar as tabelas e os grafos dos principais colaboradores, você pode determinar onde pode haver deficiências que você deseja solucionar e quais workloads deseja monitorar continuamente, criando um monitor.
Com um monitor, você pode monitorar workloads específicas mais de perto ao longo do tempo e ver informações detalhadas sobre fluxos de rede específicos. Além de visualizar as métricas de performance dos principais contribuidores dos fluxos de rede que você selecionou, é possível visualizar as informações do caminho da rede com os saltos de rede que um fluxo de rede percorreu, a fim de ajudar você a solucionar problemas. Além disso, o Network Flow Monitor gera um indicador de integridade da rede (NHI, na sigla em inglês) para os monitores. Um valor de NHI de **Degradado** indica que houve problemas de rede da AWS em pelo menos um dos fluxos de rede rastreados pelo monitor durante o período selecionado.
Além de analisar as informações nos monitores que você cria, recomendamos que também verifique regularmente as métricas na página de **Insights de workloads** para ver os principais colaboradores mais recentes das métricas de performance dos fluxos de rede. Ao analisar as informações mais recentes, considere se seria útil adicionar ou remover workloads dos monitores atuais, ou criar monitores.
**Topics**
+ [Compatível com Regiões da AWS](CloudWatch-NetworkFlowMonitor-Regions.md)
+ [Componentes](CloudWatch-NetworkFlowMonitor-components.md)
+ [Como funciona](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md)
+ [Preços](CloudWatch-NetworkFlowMonitor.pricing.md)
# Compatível com o Regiões da AWS para Network Flow Monitor
No momento, o Network Monitor está disponível nas seguintes Regiões da AWS:
| Nome da região | Região |
| --- | --- |
| Ásia-Pacífico (Mumbai) | ap-south-1 |
| Ásia-Pacífico (Osaka) | ap-northeast-3 |
| Ásia-Pacífico (Seul) | ap-northeast-2 |
| Ásia-Pacífico (Singapura) | ap-southeast-1 |
| Ásia-Pacífico (Sydney) | ap-southeast-2 |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 |
| Canadá (Central) | ca-central-1 |
| Europa (Frankfurt) | eu-central-1 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Londres) | eu-west-2 |
| Europa (Paris) | eu-west-3 |
| Europa (Estocolmo) | eu-north-1 |
| América do Sul (São Paulo) | sa-east-1 |
| Leste dos EUA (Norte da Virgínia) | us-east-1 |
| Leste dos EUA (Ohio) | us-east-2 |
| Oeste dos EUA (N. da Califórnia) | us-west-1 |
| Oeste dos EUA (Oregon) | us-west-2 |
# Componentes e recursos do Network Flow Monitor
O Network Flow Monitor usa ou referencia os conceitos a seguir.
**Agentes**
Um *agente* no Network Flow Monitor é uma aplicação de software que você instala nos recursos de computação da AWS (Amazon EC2 e Amazon EKS). A aplicação tem duas partes:
+ A primeira parte recebe eventos relacionados às conexões TCP e é registrada no kernel do Linux usando o eBPF. O eBPF é o recurso extended Berkley Packet Filter (eBPF) do Linux que permite que um programa designado receba determinados eventos gerados pelo kernel do Linux.
+ A segunda parte agrega as estatísticas coletadas pela parte do eBPF. O agente envia as métricas agregadas para o backend do Network Flow Monitor aproximadamente a cada 30 segundos, com uma possibilidade de instabilidade de cinco segundos (em outras palavras, 25 a 35 segundos).
Para obter mais informações sobre agentes do , consulte [Como funciona](CloudWatch-NetworkFlowMonitor-inside-network-flow-monitor.md).
**Principais responsáveis**
Os *principais colaboradores* são os fluxos de rede que têm os valores mais altos de uma métrica específica (como retransmissões) no escopo do Network Flow Monitor ou entre os fluxos de rede que você está rastreando em um monitor. Analisar os fluxos com os maiores números relatados das medições de métricas de performance pode ajudar a ver onde há deficiências a serem investigadas. O Network Flow Monitor retorna as métricas de performance dos principais colaboradores no escopo de monitoramento dos *insights de workloads*. Além disso, se você criar um monitor, o Network Flow Monitor retornará métricas de performance dos principais colaboradores dos fluxos de rede que você escolher para ele.
**Recursos locais e remotos**
Um *recurso local* é o local do host, ou um local de vários hosts, em que um agente do Network Flow Monitor está instalado. Pode ser uma sub-rede, uma VPC, uma zona de disponibilidade, um cluster do Amazon EKS ou uma Região da AWS. Por exemplo, considere uma workload que consiste em uma interação entre um serviço Web e um banco de dados de backend, por exemplo, o DynamoDB. Nesse cenário, o recurso local é a sub-rede da instância do EC2 que hospeda o serviço Web, que também executa o agente. Um fluxo de rede geralmente é direcional, embora possa ser configurado para ser bidirecional.
Um *recurso remoto* é a outra extremidade de um fluxo de rede. Neste exemplo de um serviço Web com um banco de dados de backend, o DynamoDB é o recurso remoto. Um recurso remoto pode ser uma sub-rede, uma VPC, uma zona de disponibilidade, um serviço da AWS ou uma Região da AWS. Se você especificar uma região como um recurso remoto, o Network Flow Monitor avaliará a performance do fluxo de rede até a borda da região. Ele não avalia a performance em endpoints específicos na região.
Um recurso é identificado pelo ARN do recurso, pelo nome do serviço da AWS ou, para uma zona de disponibilidade ou região, pelo nome da zona ou região.
**Insights de workloads**
Os *Insights de workloads* incluem as métricas de performance retornadas de todos os fluxos de rede no escopo. No Console de gerenciamento da AWS, a página **Insights de workloads** fornece dados de performance sobre workloads em que você instalou agentes do Network Flow Monitor em instâncias de workloads. A página **Insights de workloads** fornece uma visão das aplicações que inclui a quantidade de dados transferidos e várias outras métricas, agrupadas em categorias de workloads. Por exemplo, você pode ver todas as métricas de workloads com tráfego entre zonas de disponibilidade (AZs) ou dentro de uma AZ. Ao usar esses insights, você pode selecionar workloads para as quais deseja criar um monitor para ver mais detalhes e monitorar a performance da rede continuamente.
**Monitores**
Você cria um *monitor* para poder monitorar continuamente a performance da rede de uma ou várias workloads específicas e ver informações mais detalhadas sobre os fluxos da rede. Para cada monitor, o Network Flow Monitor publica métricas de performance de ponta a ponta e um indicador de integridade da rede (NHI), que você pode usar para ajudar a determinar a atribuição de deficiências. Recomendamos que você analise as informações na página **Insights de workloads** para ver em quais fluxos de rede você deseja se concentrar e, em seguida, crie um monitor para esses fluxos. Depois, ao analisar regularmente os **Insights de workloads**, você pode decidir se tem os monitores de que precisa ou se criar novos monitores seria útil.
**Indicador de integridade da rede (NHI)**
O *indicador de integridade da rede* (NHI) é um valor binário que informa se houve problemas de rede da AWS em um ou mais fluxos de rede rastreados por um monitor, durante um período de tempo que você escolher. Quando o valor do NHI é 1, ou **Degradado**, houve um problema de rede da AWS em pelo menos um fluxo de rede. Com as informações do NHI, você pode decidir rapidamente se deseja concentrar os esforços de solução de problemas em um problema de rede da AWS ou em problemas de rede originados nas workloads.
Para obter mais informações, consulte [Visualize as métricas do Network Flow Monitor no CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
**Escopo**
No Network Flow Monitor, o *escopo* refere-se à conta ou às contas sobre as quais você tem capacidade de observabilidade ao analisar os indicadores de performance da rede. Se você realizar o acesso com uma conta gerencial e configurar o AWS Organizations com o CloudWatch, terá a possibilidade de estabelecer seu escopo para diversas contas da organização, até um máximo de cem contas. Caso contrário, se você realizar o acesso com uma Conta da AWS que não contém permissões de gerenciamento no Organizations, ou se não tiver configurado o Organizations com o CloudWatch, o Network Flow Monitor definirá o escopo para a conta usada no momento do acesso.
Depois de configurar o Organizations, você pode alterar seu escopo adicionando ou removendo contas. Porém, sempre que você altera o escopo, o Network Flow Monitor deve criar uma nova topologia dos recursos no escopo. Para obter mais informações, consulte [Adição de diversas contas ao escopo](CloudWatch-NetworkFlowMonitor-multi-account.md#CloudWatch-NetworkFlowMonitor-multi-account.config-scope).
O Network Flow Monitor gera um **ID de escopo** exclusivo para o escopo. As consultas de dados de métricas usam o ID do escopo para determinar os recursos para os quais o Network Flow Monitor gera métricas. (Você deve instalar agentes para coletar e enviar dados de métricas antes de poder visualizar as métricas de performance de uma conta com o Network Flow Monitor.)
**ID da consulta**
O Network Flow Monitor gera um *ID de consulta* exclusivo para cada consulta criada para recuperar dados de métricas de performance, como uma consulta para os principais colaboradores de um monitor. Ao usar um ID de consulta com uma chamada de API no Network Flow Monitor, você pode verificar o status de uma consulta, interromper uma consulta, executar a consulta novamente ou trabalhar com a consulta de outras formas.
**Métricas de performance**
O Network Flow Monitor coleta e calcula *métricas de performance* de ponta a ponta, incluindo tempo de ida e volta (RTT) de TCP, retransmissões de TCP, tempos limite de retransmissão de TCP e bytes transferidos de cada fluxo que está no escopo do Network Flow Monitor. O serviço agrega essas métricas e as retorna para o backend do serviço. Você pode ver os principais colaboradores por tipo de métrica. Ao ver uma anomalia no Network Flow Monitor, você também pode verificar o indicador de integridade da rede (NHI) para ver se há um problema de rede subjacente da AWS.
Lembre-se de que os dados do RTT podem ser esparsos, pois nem sempre o RTT é calculado.
Você também pode usar os recursos do Amazon CloudWatch para criar painéis, alarmes e notificações com base nessas métricas. Por exemplo, você pode aprender a configurar alarmes com as métricas do Network Flow Monitor ao analisar as informações em [Criar alarmes com o Network Flow Monitor](CloudWatch-NetworkFlowMonitor-create-alarm.md).
# Como funciona
Esta seção fornece informações sobre vários aspectos do funcionamento do Network Flow Monitor.
**Como os agentes do Network Flow Monitor coletam estatísticas**
Os agentes no Network Flow Monitor são instalados nos recursos de computação da AWS (Amazon EC2 e Amazon EKS), nos quais coletam métricas de performance e enviam para o backend do Network Flow Monitor. Os agentes não têm acesso à carga útil das conexões TCP. Os agentes recebem somente o que é denominado estrutura “bpf\$1sock\$1ops” do kernel do Linux. Essa estrutura fornece o endereço IP local e remoto e a porta TCP local e remota, bem como contadores e tempos de ida e volta. Para obter uma lista das estatísticas de TCP coletadas e publicadas pelo agente, consulte [Visualize as métricas do Network Flow Monitor no CloudWatch](CloudWatch-NetworkFlowMonitor-cw-metrics.md).
O agente usa a API `Publish` do Network Flow Monitor para enviar métricas para o servidor de backend do Network Flow Monitor.
*Observação* o Network Flow Monitor tem capacidade para aproximadamente cinco milhões de fluxos por minuto. Isso corresponde a aproximadamente 5.000 instâncias (nós do Amazon EC2 e do Amazon EKS) com o agente do NFM instalado. Instalar agentes em um número superior a 5.000 instâncias pode impactar a performance do monitoramento enquanto não houver capacidade adicional provisionada.
**Como os fluxos de rede são categorizados no Network Flow Monitor**
O Network Flow Monitor categoriza os fluxos de rede em classificações, dependendo de onde os fluxos são gerados e de onde terminam.
# Preços do Network Flow Monitor
Com o Network Flow Monitor, não há custos iniciais nem compromissos de longo prazo. Os preços para o Network Flow Monitor são definidos com base em dois componentes: os recursos monitorados, que incluem os agentes instalados e que estão enviando dados ativamente, e as métricas disponibilizadas pelo CloudWatch. Além disso, observe que serão cobrados os preços padrão do CloudWatch para quaisquer métricas, painéis, alarmes ou insights adicionais que você criar.
Para obter mais informações sobre os preços do Network Flow Monitor e do Amazon CloudWatch, consulte Network Monitoring na página [Amazon CloudWatch pricing](https://aws.amazon.com//cloudwatch/pricing/).
# Conceitos básicos do Network Flow Monitor
Com o intuito de ajudar você a começar a usar, a presente seção fornece uma visão geral detalhada das etapas necessárias para configurar e, posteriormente, usar o Network Flow Monitor para obter insights. Para obter mais detalhes, consulte as seções adicionais deste guia sobre a inicialização do Network Flow Monitor, a implantação de agentes e a criação de monitores.
+ Realize a inicialização do Network Flow Monitor para aceitar as permissões relacionadas aos perfis vinculados ao serviço, crie um *escopo* para o monitoramento no Network Flow Monitor e configure uma topologia inicial. Caso deseje acompanhar a performance da rede para fluxos de rede de instâncias distribuídas em diversas contas, é necessário realizar a integração com o AWS Organizations e, em seguida, adicionar as contas ao seu escopo de monitoramento. Para saber mais, consulte [Inicialização do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-begin.md).
+ Implante *agentes* nas instâncias usando o AWS Systems Manager ou configurando o Kubernetes, dependendo de como os recursos são implantados. Se você instalar agentes em instâncias do EC2 na VPC, certifique-se de habilitar as permissões dos agentes em cada instância para enviar métricas para o backend do Network Flow Monitor. Para saber mais, consulte [Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas](CloudWatch-NetworkFlowMonitor-agents.md).
+ Analise as principais métricas dos colaboradores dos fluxos de rede retornados pelos agentes para obter *insights de workloads*. Os insights de workloads fornecem uma visão de alto nível da performance dos fluxos de rede no escopo que você está monitorando.
+ Com base nos fluxos de rede sobre os quais você deseja ver informações detalhadas da rede, crie um ou mais *monitores*. Para cada monitor, especifique os recursos locais e remotos entre os quais você deseja monitorar os fluxos de rede. Usando um monitor, você pode ver métricas e informações detalhadas, incluindo o indicador de integridade da rede, bem como visualizar caminhos de rede para fluxos de rede específicos, nos períodos de tempo selecionados.
+ Com regularidade:
+ Realize uma análise das informações provenientes dos fluxos de rede nos monitores criados por você, para compreender e auxiliar na solução de problemas relacionados a falhas na rede em suas workloads.
+ Realize uma análise dos insights de workloads para os fluxos de rede que você está monitorando, a fim de determinar se os monitores criados estão abrangendo os fluxos de rede mais relevantes ou se há necessidade de criar novos monitores.
# Operações da API do Network Flow Monitor
A tabela a seguir lista as operações da API do Network Flow Monitor que você pode usar com o Network Flow Monitor. A tabela também inclui links para a documentação relevante.
| Ação | Operação de API | Mais informações |
| --- | --- | --- |
| Crie um monitor de fluxo. | Consultar [CreateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateMonitor.html) | Consulte [Criar um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md) |
| Gere métricas para um escopo de recursos. | Consultar [CreateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_CreateScope.html) | Consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Remova um monitor. | Consultar [DeleteMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteMonitor.html) | Consulte [Excluir um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Exclua um escopo definido. | Consultar [DeleteScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_DeleteScope.html) | Consulte [Excluir um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md) |
| Obtenha informações sobre um monitor. | Consultar [GetMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetMonitor.html) | Consulte [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Obtenha dados de consulta dos principais contribuidores em um monitor específico. | Consultar [GetQueryResultsMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsMonitorTopContributors.html) | Consulte [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Consulte os principais contribuidores de um escopo definido para obter insights sobre a workload. | Consultar [GetQueryResultsWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributors.html) | Consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Consulte dados de insights de workloads dos principais contribuidores em um escopo específico. | Consultar [GetQueryResultsWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryResultsWorkloadInsightsTopContributorsData.html) | Consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Verifique o status de uma consulta dos principais contribuidores em um monitor para garantir que ela tenha tido êxito antes de analisar os resultados. | Consultar [GetQueryStatusMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusMonitorTopContributors.html) | N/D |
| Verifique o status de uma consulta sobre insights de workloads dos principais contribuidores para garantir que ela tenha tido êxito antes de analisar os resultados. | Consultar [GetQueryStatusWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributors.html) | N/D |
| Verifique o status de uma consulta sobre dados de insights de workloads dos principais contribuidores para garantir que ela tenha tido êxito antes de analisar os resultados. | Consultar [GetQueryStatusWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetQueryStatusWorkloadInsightsTopContributorsData) | N/D |
| Obtenha informações sobre uma conta ou escopo, incluindo nome, status, tags e detalhes do destino. | Consultar [GetScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_GetScope) | Consulte [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Liste todos os monitores em uma conta. | Consultar [ListMonitors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListMonitors) | [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Liste todos os escopos de uma conta. | Consultar [ListScopes](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListScopes) | N/D |
| Liste todas as tags de um recurso da específico. | Consultar [ListTagsForResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_ListTagsForResource) | Consulte [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Veja os dados de consulta dos principais contribuidores em um monitor. | Consultar [StartQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryMonitorTopContributors) | Consulte [Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md) |
| Inicie uma consulta para coletar dados de insights de workloads dos principais contribuidores. | Consultar [StartQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StartQueryWorkloadInsightsTopContributors) | Consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md) |
| Interrompa uma consulta dos principais contribuidores em um monitor. | Consultar [StopQueryMonitorTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryMonitorTopContributors) | N/D |
| Interrompa uma consulta sobre dados de insights de workloads dos principais colaboradores. | Consultar [StopQueryWorkloadInsightsTopContributors](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributors) | N/D |
| Interrompa uma consulta sobre dados de insights de workloads dos principais colaboradores. | Consultar [StopQueryWorkloadInsightsTopContributorsData](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_StopQueryWorkloadInsightsTopContributorsData) | N/D |
| Adicione uma tag a um recurso. | Consultar [TagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_TagResource) | Consulte [Editar um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Remova uma tag de um recurso. | Consultar [UntagResource](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UntagResource) | Consulte [Editar um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Atualize um monitor para adicionar ou remover recursos locais ou remotos. | Consultar [UpdateMonitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateMonitor) | Consulte [Editar um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md) |
| Modifique um escopo para adicionar ou remover recursos sobre os quais o Network Flow Monitor vai gerar métricas. | Consultar [UpdateScope](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/API_UpdateScope) | N/D |
# Exemplos de uso da CLI com o Network Flow Monitor
Esta seção inclui exemplos de uso da AWS Command Line Interface com operações do Network Flow Monitor.
Antes de começar, certifique-se de fazer login para usar a AWS CLI com a conta da AWS que fornece o escopo que você deseja usar para monitorar os fluxos de rede. Para obter mais informações sobre como usar ações de API com o Network Flow Monitor, consulte o [Guia de referência de APIs do Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Criar um monitor](#CloudWatch-NFM-get-started-CLI-create-monitor)
+ [Visualizar detalhes do monitor](#CloudWatch-NFM-get-started-CLI-mon-details)
+ [Criar um escopo](#CloudWatch-NFM-get-started-CLI-create-scope)
+ [Excluir um monitor](#CloudWatch-NFM-get-started-CLI-delete-monitor)
+ [Excluir um escopo](#CloudWatch-NFM-get-started-CLI-delete-scope)
+ [Obter informações sobre um monitor](#CloudWatch-NFM-get-started-CLI-get-monitor)
+ [Recuperar dados de consultas específicas](#CloudWatch-NFM-get-started-CLI-get-query-results)
+ [Ver informações do escopo](#CloudWatch-NFM-get-scope)
+ [Ver uma lista de monitores de uma conta](#CloudWatch-NFM-list-monitors)
+ [Ver uma lista de escopos de uma conta](#CloudWatch-NFM-list-scopes)
+ [Ver a lista de tags de um monitor](#CloudWatch-NFM-list-tags-for-resource)
+ [Iniciar e interromper consultas](#CloudWatch-NFM-query-monitors)
+ [Marcar um monitor](#CloudWatch-NFM-tag-resource)
+ [Remover uma tag de um monitor](#CloudWatch-NFM-untag-resource)
+ [Atualizar um monitor existente](#CloudWatch-NFM-update-monitor)
## Criar um monitor
Para criar um monitor com a AWS CLI, use o comando `create-monitor`. O exemplo a seguir cria um monitor denominado `demo` na conta especificada.
```
aws networkflowmonitor create-monitor \
--monitor-name demo \
--local-resources type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889" \
--scope-arn arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-44556677889
```
Resultado:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/demo",
"monitorName": "demo",
"monitorStatus": "ACTIVE",
"tags": {}
}
```
Para obter mais informações, consulte [Criar um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md).
## Visualizar detalhes do monitor
Para visualizar informações sobre um monitor com a AWS CLI, use o comando `get-monitor`.
```
aws networkflowmonitor get-monitor --monitor-name "TestMonitor"
```
Resultado:
```
{
"ClientLocationType": "city",
"CreatedAt": "2022-09-22T19:27:47Z",
"ModifiedAt": "2022-09-22T19:28:30Z",
"MonitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/TestMonitor",
"MonitorName": "TestMonitor",
"ProcessingStatus": "OK",
"ProcessingStatusInfo": "The monitor is actively processing data",
"Resources": [
"arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
],
"MaxCityNetworksToMonitor": 10000,
"Status": "ACTIVE"
}
```
## Criar um escopo
O exemplo de `create-scope` a seguir cria um escopo que inclui um conjunto de recursos para os quais o Network Flow Monitor vai gerar métricas de tráfego de rede.
```
aws networkflowmonitor create-scope \
--targets '[{"targetIdentifier":{"targetId":{"accountId":"111122223333"},"targetType":"ACCOUNT"},"region":"us-east-1"}]'
```
Resultado:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "IN_PROGRESS",
"tags": {}
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Excluir um monitor
O exemplo de `delete-monitor` a seguir exclui um monitor denominado `Demo` na sua conta.
```
aws networkflowmonitor delete-monitor \
--monitor-name Demo
```
Este comando não produz saída.
Para obter mais informações, consulte [Excluir um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
## Excluir um escopo
O exemplo de `delete-scope` a seguir exclui o escopo especificado.
```
aws networkflowmonitor delete-scope \
--scope-id sample-aaaa-bbbb-cccc-44556677889
```
Este comando não produz saída.
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Obter informações sobre um monitor
O exemplo de `get-monitor` a seguir exibe as informações sobre o painel chamado `demo` na conta especificada.
```
aws networkflowmonitor get-monitor \
--monitor-name Demo
```
Resultado:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"localResources": [
{
"type": "AWS::EC2::VPC",
"identifier": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
],
"remoteResources": [],
"createdAt": "2024-12-09T12:21:51.616000-06:00",
"modifiedAt": "2024-12-09T12:21:55.412000-06:00",
"tags": {}
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Recuperar dados de consultas específicas
As seções a seguir fornecem exemplos de comandos da CLI para recuperar os status das consultas.
### get-query-results-workload-insights-top-contributors-data
O exemplo de `get-query-results-workload-insights-top-contributors-data` retorna os dados da consulta especificada.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Resultado:
```
{
"datapoints": [
{
"timestamps": [
"2024-12-09T19:00:00+00:00",
"2024-12-09T19:05:00+00:00",
"2024-12-09T19:10:00+00:00"
],
"values": [
259943.0,
194856.0,
216432.0
],
"label": "use1-az6"
}
],
"unit": "Bytes"
}
```
### get-query-results-workload-insights-top-contributors
O exemplo de `get-query-results-workload-insights-top-contributors` a seguir retorna os dados da consulta especificada.
```
aws networkflowmonitor get-query-results-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Resultado:
```
{
"topContributors": [
{
"accountId": "111122223333",
"localSubnetId": "subnet-SAMPLE1111",
"localAz": "use1-az6",
"localVpcId": "vpc-SAMPLE2222",
"localRegion": "us-east-1",
"remoteIdentifier": "",
"value": 333333,
"localSubnetArn": "arn:aws:ec2:us-east-1:111122223333:subnet/subnet-2222444455556666",
"localVpcArn": "arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
}
]
}
```
### get-query-status-monitor-top-contributors
O exemplo de `get-query-status-monitor-top-contributors` a seguir exibe o status atual da consulta na conta especificada.
```
aws networkflowmonitor get-query-status-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Resultado:
```
{
"status": "SUCCEEDED"
}
```
### get-query-status-workload-insights-top-contributors-data
O exemplo de `get-query-status-workload-insights-top-contributors-data` a seguir exibe o status atual da consulta na conta especificada.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Resultado:
```
{
"status": "SUCCEEDED"
}
```
### get-query-results-workload-insights-top-contributors
O exemplo de `get-query-results-workload-insights-top-contributors` a seguir exibe o status atual da consulta na conta especificada.
```
aws networkflowmonitor get-query-status-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Resultado:
```
{
"status": "SUCCEEDED"
}
```
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Ver informações do escopo
O exemplo de `get-scope` a seguir exibe informações sobre um escopo, como status, tags, nome e detalhes do destino.
```
aws networkflowmonitor get-scope \
--scope-id sample-aaaa-bbbb-cccc-11112222333
```
Resultado:
```
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333",
"targets": [
{
"targetIdentifier": {
"targetId": {
"accountId": "111122223333"
},
"targetType": "ACCOUNT"
},
"region": "us-east-1"
}
],
"tags": {}
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Ver uma lista de monitores de uma conta
O exemplo de `list-monitors` a seguir retorna todos os monitores na conta especificada.
```
aws networkflowmonitor list-monitors
```
Resultado:
```
{
"monitors": [
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE"
}
]
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Ver uma lista de escopos de uma conta
O exemplo de `list-scopes` a seguir lista todos os escopos na conta especificada.
```
aws networkflowmonitor list-scopes
```
Resultado:
```
{
"scopes": [
{
"scopeId": "sample-aaaa-bbbb-cccc-11112222333",
"status": "SUCCEEDED",
"scopeArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:scope/sample-aaaa-bbbb-cccc-11112222333"
}
]
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
## Ver a lista de tags de um monitor
O exemplo de `list-tags-for-resource` a seguir retorna as tags associadas ao recurso especificado.
```
aws networkflowmonitor list-tags-for-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo
```
Resultado:
```
{
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Para obter mais informações, consulte [Etiquetar recursos do Amazon CloudWatch](CloudWatch-Tagging.md).
## Iniciar e interromper consultas
As seções a seguir fornecem exemplos de comandos da CLI para iniciar e interromper consultas no Network Flow Monitor.
### start-query-monitor-top-contributors
O exemplo de `start-query-monitor-top-contributors` a seguir inicia a consulta que retorna um queryId para recuperar os principais colaboradores.
```
aws networkflowmonitor start-query-monitor-top-contributors \
--monitor-name Demo \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Resultado:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors-data
O exemplo de `start-query-workload-insights-top-contributors-data` a seguir inicia a consulta que retorna um queryId para recuperar os principais colaboradores.
```
aws networkflowmonitor start-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Resultado:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### start-query-workload-insights-top-contributors
O exemplo de `start-query-workload-insights-top-contributors` a seguir inicia a consulta que retorna um queryId para recuperar os principais colaboradores.
```
aws networkflowmonitor start-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--start-time 2024-12-09T19:00:00Z \
--end-time 2024-12-09T19:15:00Z \
--metric-name DATA_TRANSFERRED \
--destination-category UNCLASSIFIED
```
Resultado:
```
{
"queryId": "sample-dddd-eeee-ffff-44556677889"
}
```
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-monitor-top-contributors
O exemplo de `stop-query-monitor-top-contributors` a seguir interrompe a consulta na conta especificada.
```
aws networkflowmonitor stop-query-monitor-top-contributors \
--monitor-name Demo \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando não produz saída.
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors-data
O comando `stop-query-workload-insights-top-contributors-data` a seguir interrompe a consulta na conta especificada.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors-data \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando não produz saída.
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
### stop-query-workload-insights-top-contributors
O exemplo de `stop-query-workload-insights-top-contributors` a seguir interrompe a consulta na conta especificada.
```
aws networkflowmonitor stop-query-workload-insights-top-contributors \
--scope-id sample-aaaa-bbbb-cccc-11112222333 \
--query-id sample-dddd-eeee-ffff-44556677889
```
Este comando não produz saída.
Para obter mais informações, consulte [Avaliar fluxos de rede com insights de workloads](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md).
## Marcar um monitor
O comando `tag-resource` a seguir adiciona uma tag ao monitor na conta especificada.
```
aws networkflowmonitor tag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tags Key=stack,Value=Production
```
Este comando não produz saída.
Para obter mais informações, consulte [Etiquetar recursos do Amazon CloudWatch](CloudWatch-Tagging.md).
## Remover uma tag de um monitor
O exemplo de `untag-resource` a seguir remove uma tag do monitor na conta especificada.
```
aws networkflowmonitor untag-resource \
--resource-arn arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo \
--tag-keys stack
```
Este comando não produz saída.
Para obter mais informações, consulte [Etiquetar recursos do Amazon CloudWatch](CloudWatch-Tagging.md).
## Atualizar um monitor existente
O exemplo de `update-monitor` a seguir atualiza o monitor denominado “Demo” na conta especificada.
```
aws networkflowmonitor update-monitor \
--monitor-name Demo \
--local-resources-to-add type="AWS::EC2::VPC",identifier="arn:aws:ec2:us-east-1:111122223333:vpc/vpc-11223344556677889"
```
Resultado:
```
{
"monitorArn": "arn:aws:networkflowmonitor:us-east-1:111122223333:monitor/Demo",
"monitorName": "Demo",
"monitorStatus": "ACTIVE",
"tags": {
"Value": "Production",
"Key": "stack"
}
}
```
Para obter mais informações, consulte [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
# Trabalhar com o EKS
Usando o Network Flow Monitor, é possível coletar métricas de performance das workloads que usam o Amazon Elastic Kubernetes Service (Amazon EKS). Este capítulo mostra como instalar o agente passo a passo e descreve os diferentes cenários do EKS que você pode monitorar. Você também encontrará descrições detalhadas dos metadados que o Network Flow Monitor fornece para o Amazon EKS no console para ajudar a entender a performance da rede.
Para obter os benefícios do monitoramento de performance do Network Flow Monitor, é preciso primeiro instalar o complemento AWS Network Flow Monitor Agent para o Amazon EKS. Para obter mais informações, consulte [Instalar o complemento do AWS EKS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
Se você quiser monitorar um único cluster do EKS com visibilidade aprimorada do tráfego de workloads e insights sobre performance dentro do cluster e com destinos externos, consulte [Observabilidade do Amazon EKS Network](https://docs.aws.amazon.com/eks/latest/userguide/network-observability.html).
**Topics**
+ [Instalar o complemento do AWS EKS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md)
+ [Metadados de caminho de rede adicionais incluídos para o Amazon EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.performance-metadata.md)
# Instalar o complemento do AWS EKS Network Flow Monitor Agent
Siga as etapas nesta seção para instalar o complemento AWS Network Flow Monitor Agent para o Amazon Elastic Kubernetes Service (Amazon EKS) e enviar métricas do Network Flow Monitor para o backend do Network Flow Monitor de clusters do Kubernetes. Após a conclusão das etapas, os pods do AWS Network Flow Monitor Agent serão executados em todos os nós do cluster do Kubernetes.
Se você usa clusters autogerenciados do Kubernetes, as etapas de instalação a serem seguidas estão na seção anterior: [Instalar agentes de instâncias autogerenciadas do Kubernetes](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md).
Tenha em mente que as [listas de prefixos gerenciados pelo cliente](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-managed-prefix-lists.html) não são compatíveis com o Network Flow Monitor.
Você pode instalar o complemento usando o console ou usando comandos de API com a AWS Command Line Interface.
**Topics**
+ [Pré-requisitos para a instalação do complemento](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-prereq)
+ [Instalar o complemento usando o console](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-console)
+ [Instalar o complemento usando a CLI](#CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-cli)
+ [Configurar para ferramentas de terceiros](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks-third-party.md)
## Pré-requisitos para a instalação do complemento
Independentemente de você usar o console ou a CLI para instalar o complemento AWS Network Flow Monitor Agent, há vários requisitos para instalar o complemento com o Kubernetes.
**Certifique-se de que a versão do Kubernetes seja compatível**
A instalação do agente do Network Flow Monitor requer a versão 1.25 do Kubernetes ou uma versão mais recente.
**Instalação do complemento Amazon EKS Pod Identity Agent**
Você pode instalar o complemento Amazon EKS Pod Identity Agent no console ou usando a CLI.
As associações de Identidade de Pods do Amazon EKS permitem gerenciar credenciais para suas aplicações de forma semelhante a como os perfis de instância do Amazon EC2 fornecem credenciais para instâncias do Amazon EC2. O Amazon EKS Pod Identity fornece credenciais para as workloads com uma API Auth adicional do Amazon EKS e um pod de agente executado em cada nó.
Para saber mais e ver as etapas para instalar o complemento Amazon EKS Pod Identity, consulte [Configurar o Amazon EKS Pod Identity Agent](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) no Guia do usuário do Amazon EKS.
## Instalar o complemento AWS Network Flow Monitor Agent usando o console
Siga as etapas nesta seção para instalar e configurar o complemento AWS Network Flow Monitor Agent no console do Amazon EKS.
Se você já instalou o complemento e está enfrentando problemas para atualizá-lo para uma nova versão, consulte [Solucionar problemas na instalação de agentes do EKS](CloudWatch-NetworkFlowMonitor-troubleshooting.md#CloudWatch-NetworkFlowMonitor-troubleshooting.ec2-agent-installation).
Antes de começar, certifique-se de que você instalou o complemento Amazon EKS Pod Identity Agent. Para obter mais informações, consulte a [seção anterior](#NFMPodIdentity).
**Para instalar o complemento usando o console**
1. No Console de gerenciamento da AWS, navegue até o console do Amazon EKS.
1. Na página de instalação de complementos, na lista de complementos, escolha **AWS Network Flow Monitor Agent**.
1. Defina as configurações do complemento.
1. Em **Acesso ao complemento**, escolha **EKS Pod Identity**.
1. Para o perfil do IAM a ser usado com o complemento, use um perfil que tenha a seguinte política gerenciada pela AWS anexada: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Essa política permite que um agente envie relatórios de telemetria para o endpoint do Network Flow Monitor. Se você ainda não tiver um perfil com a política anexada, crie um escolhendo **Criar perfil recomendado** e seguindo as etapas no console do IAM.
1. Escolha **Próximo**.
1. Na página **Analisar e adicionar**, verifique se a configuração do complemento está correta e escolha **Criar**.
## Instalar o complemento AWS Network Flow Monitor Agent usando a AWS Command Line Interface
Siga as etapas nesta seção para instalar o complemento AWS Network Flow Monitor Agent para Amazon EKS usando a AWS Command Line Interface.
**1. Instale o complemento EKS Pod Identity Agent**
Antes de começar, certifique-se de que você instalou o complemento Amazon EKS Pod Identity Agent. Para obter mais informações, consulte a [seção anterior](#NFMPodIdentity).
**2. Crie o perfil do IAM necessário**
O complemento AWS Network Flow Monitor Agent deve ter permissão para enviar métricas para o backend do Network Flow Monitor. Você deve anexar um perfil com as permissões necessárias ao criar o complemento. Crie um perfil que tenha a seguinte política gerenciada pela AWS anexada: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Você precisa do ARN desse perfil do IAM para instalar o complemento.
**3. Instale o complemento AWS Network Flow Monitor Agent**
Para instalar o complemento AWS Network Flow Monitor Agent no cluster, execute o seguinte comando:
`aws eks create-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION --pod-identity-associations serviceAccount=aws-network-flow-monitor-agent-service-account,roleArn=IAM ROLE ARN`
O resultado deve ser semelhante ao seguinte:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "CREATING",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
**4. Verifique se o complemento está em execução**
Revise o complemento AWS Network Flow Monitor Agent instalado para garantir que ele esteja ativo no cluster. Execute o seguinte comando para verificar se o status é: `ACTIVE`
`aws eks describe-addon --cluster-name CLUSTER NAME --addon-name aws-network-flow-monitoring-agent --region AWS REGION`
O resultado deve ser semelhante ao seguinte:
```
{
"addon": {
"addonName": "aws-network-flow-monitoring-agent",
"clusterName": "ExampleClusterName",
"status": "ACTIVE",
"addonVersion": "v1.0.0-eksbuild.1",
"health": {
"issues": []
},
"addonArn": "arn:aws:eks:us-west-2:000000000000:addon/ExampleClusterName/aws-network-flow-monitoring-agent/eec11111-bbbb-EXAMPLE",
"createdAt": "2024-10-25T16:38:07.213000+00:00",
"modifiedAt": "2024-10-25T16:38:07.240000+00:00",
"tags": {},
"podIdentityAssociations": [
"arn:aws:eks:us-west-2:000000000000:podidentityassociation/ExampleClusterName/a-3EXAMPLE5555555"
]
}
}
```
# Configurar complemento para ferramentas de monitoramento de terceiros
Você pode configurar o complemento Network Flow Monitor para expor um servidor OpenMetrics durante a instalação. Isso permite a integração com ferramentas de monitoramento de terceiros, como o Prometheus, o que permite coletar e analisar as métricas de fluxo de rede junto com a infraestrutura de monitoramento existente. [Saiba mais sobre o OpenMetrics](https://openmetrics.io/). Esse atributo está disponível no complemento versão v1.1.0.
Para habilitar o servidor OpenMetrics, adicione OPEN\$1METRICS, OPEN\$1METRICS\$1ADDRESS e OPEN\$1METRICS\$1PORT aos valores de configuração do complemento Network Flow Monitor do EKS. Este guia explicará como fazer isso usando a CLI e o console. Consulte [Configuração avançada dos complementos do Amazon EKS](https://aws.amazon.com/blogs/containers/amazon-eks-add-ons-advanced-configuration/) para obter detalhes adicionais sobre a adição de valores de configuração.
## Configuração na CLI
Ao usar a AWS Command Line Interface, você pode fornecer os valores de configuração como um parâmetro:
```
aws eks create-addon \
--cluster-name my-cluster-name \
--addon-name aws-network-flow-monitoring-agent \
--addon-version v1.1.0-eksbuild.1 \
--configuration-values '{"env":{"OPEN_METRICS":"on","OPEN_METRICS_ADDRESS":"0.0.0.0","OPEN_METRICS_PORT":9109}}'
```
## Configuração no console
Ao usar o console do Amazon EKS, esses valores podem ser adicionados em Configurações opcionais, como parte dos valores de configuração.
**Exemplo de JSON:**
```
{
"env": {
"OPEN_METRICS": "on",
"OPEN_METRICS_ADDRESS": "0.0.0.0",
"OPEN_METRICS_PORT": 9109
}
}
```
**Exemplo de YAML:**
```
env:
OPEN_METRICS: "on"
OPEN_METRICS_ADDRESS: "0.0.0.0"
OPEN_METRICS_PORT: 9109
```
## Parâmetros do OpenMetric no complemento Network Flow Monitor do EKS
+ **OPEN\$1METRICS:**
+ Habilite ou desabilite métricas abertas. Desabilitado se não for fornecido
+ Tipo: string
+ Valores: ["ativado", "desativado"]
+ **OPEN\$1METRICS\$1ADDRESS:**
+ Endereço IP de escuta para endpoint de métricas abertas. O padrão é 127.0.0.1 se não for fornecido
+ Tipo: string
+ **OPEN\$1METRICS\$1PORT:**
+ Porta de escuta para endpoint de métricas abertas. O padrão é 80 se não for fornecido
+ Tipo: inteiro
+ Intervalo: [0..65535]
**Importante:** ao definir OPEN\$1METRICS\$1ADDRESS como 0.0.0.0, o endpoint de métricas poderá ser acessado de qualquer interface de rede. Considere usar 127.0.0.1 para acesso somente ao host local ou implemente os controles de segurança de rede apropriados para restringir o acesso apenas aos sistemas de monitoramento autorizados.
## Solução de problemas
Se você tiver problemas com a configuração do servidor OpenMetrics, use as informações a seguir para diagnosticar e resolver os problemas comuns.
### As métricas não são exibidas
Problema: o servidor OpenMetrics está configurado, mas as métricas não estão aparecendo na sua ferramenta de monitoramento.
Etapas da solução de problemas:
1. Verifique se o servidor OpenMetrics está habilitado na configuração do complemento:
+ Verifique se OPEN\$1METRICS está definido como “ativado” nos valores de configuração. Consulte [describe-addon](https://docs.aws.amazon.com/cli/latest/reference/eks/describe-addon.html).
+ Confirme se a versão do complemento é a v1.1.0 ou posterior em *Configurar os complementos selecionados*.
1. Teste diretamente o endpoint de métricas:
+ Acesse as métricas em http://*pod-ip:port*/metrics (substitua pod-ip pelo endereço IP real do pod e a porta pela porta configurada).
+ Se não conseguir acessar o endpoint, verifique a configuração da rede e as configurações do grupo de segurança.
1. Valide a configuração da ferramenta de monitoramento. Consulte o guia do usuário das ferramentas de monitoramento para obter detalhes sobre como fazer o seguinte:
+ Certifique-se de que sua ferramenta de monitoramento (como o Prometheus) esteja configurada para coletar o endpoint correto.
+ Verifique se as configurações de intervalo de extração e tempo limite são apropriadas.
+ Verifique se a ferramenta de monitoramento tem acesso de rede ao endereço IP do pod.
### Métricas faltando em pods específicos
Problema: as métricas estão disponíveis em alguns pods do cluster, mas não em outros.
Etapas da solução de problemas:
O complemento Network Flow Monitor não é compatível com pods que usam hostNetwork: true. Se a especificação do pod incluir essa configuração, as métricas desses pods não estarão disponíveis.
Solução alternativa: remova a configuração hostNetwork: true da especificação do pod, se possível. Se a aplicação exigir rede host, considere usar abordagens alternativas de monitoramento para esses pods específicos.
### Erros de conexão recusada
Problema: você recebe erros de “conexão recusada” ao tentar acessar o endpoint de métricas.
Etapas da solução de problemas:
1. Verifique a configuração do OPEN\$1METRICS\$1ADDRESS:
+ Se definido como 127.0.0.1, o endpoint será acessível somente de dentro do pod.
+ Se definido como 0.0.0.0, o endpoint deverá ser acessível a partir de outros pods no cluster.
+ Certifique-se de que sua ferramenta de monitoramento possa alcançar o endereço configurado.
1. Verifique a configuração do OPEN\$1METRICS\$1PORT:
+ Verifique se o número da porta não está sendo usado por outro serviço.
+ Verifique se a porta está dentro do intervalo válido (1 a 65535).
+ Confirme se todos os grupos de segurança ou políticas de rede permitem tráfego nessa porta.
### Etapas de verificação
Para confirmar que a configuração do OpenMetrics está funcionando corretamente:
1. Verifique o status do complemento:
```
aws eks describe-addon --cluster-name your-cluster-name --addon-name aws-network-flow-monitoring-agent
```
1. Verifique o status do pod:
```
kubectl get pods app.kubernetes.io/name=aws-network-flow-monitoring-agent
```
1. Teste o endpoint de métricas de dentro do cluster:
```
kubectl exec add-on-pod-name -- curl localhost:9109/metrics
```
Substitua 9109 pelo número da porta configurada e o nome do pod por um nome de pod AddOn.
# Metadados de caminho de rede adicionais incluídos para o Amazon EKS
Quando o Network Flow Monitor coleta métricas de performance para fluxos de rede entre componentes do Amazon EKS, inclui informações adicionais de metadados sobre o caminho de rede, para ajudar a entender melhor a performance dos caminhos de rede da workload.
Você pode visualizar informações detalhadas sobre a performance de fluxo de rede do Amazon EKS criando um monitor para os fluxos de rede nos quais está interessado e depois visualizando os detalhes na guia **Explorador de históricos**.
Com o Network Flow Monitor, você pode medir a performance da rede entre os seguintes componentes do Amazon EKS para entender melhor a performance da workload com a configuração do Amazon EKS e determinar onde existem gargalos ou impedimentos.
+ Pod a pod no mesmo nó
+ Nó a nó no mesmo cluster
+ Pod a pod em outro cluster
+ Nó a nó em diferentes clusters
+ Com e sem Network Load Balancer
A tabela a seguir lista as informações que o Network Flow Monitor retorna para cada cenário de fluxo de rede.
| **Informações de conexão** | **Informações de metadados** | | **Local** | **Remotos** | **Cenário** | **Iniciado por** | **Local** | **Remotos** | **Nome do pod** | **Serviço** | **Namespace** | **Nome do pod** | **Serviço** | **Namespace** |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| Pod local conectado ao IP do cluster de outro serviço de cluster interno | Local | Endereço IP do pod local | Endereço IP do pod remoto (pelo endereço IP do cluster) | ✓ | ✓ | ✓ | ✓ ¹ | ✓ | ✓ |
| Pod local em um namespace de rede do nó conectado a um IP de cluster de outro serviço de cluster interno | Local | Endereço IP de nó local | Endereço IP do pod remoto (pelo endereço IP do cluster) | ✓ ² | ✓ ² | ✓ ² | ✓ ¹ | ✓ | ✓ |
| Pod local conectado a endereço IP de pod individual de outro pod (serviço sem periféricos/sem interface gráfica) | Local | Endereço IP do pod local | Endereço IP do pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod local conectado a um endereço IP de pod individual de outro pod no namespace de rede do nó (serviço sem periféricos/sem interface gráfica) | Local | Endereço IP do pod local | Endereço IP do nó remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod local conectado a pod remoto em outro cluster | Local | Endereço IP do pod local | Endereço IP do pod remoto (outro cluster) | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Pod local conectado a um endereço de rede externo | Local | Endereço IP do pod local | endereço IP externo | ✓ | ✓ | ✓ | N/D | N/D | N/D |
| Pod local operando em um namespace de rede de um nó conectado a um endereço IP de rede externo | Local | Endereço IP de nó local | endereço IP externo | ✓ ² | ✓ ² | ✓ ² | N/D | N/D | N/D |
| Pod remoto conectado ao pod local pelo endereço IP do cluster | Remotos | Endereço IP do pod local (pelo endereço IP do cluster) | Endereço IP do pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod remoto em um namespace de rede do nó conectado ao pod local | Remotos | Endereço IP do pod local (pelo endereço IP do cluster) | Endereço IP do nó remoto | ✓ | ✓ | ✓ | ✓ ³ | ✓ ³ | ✓ ³ |
| Pod remoto conectado ao pod local (serviço sem periféricos/sem interface gráfica) | Remotos | Endereço IP do pod local | Endereço IP do pod remoto | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Pod externo conectado a um pod local | Remotos | Endereço IP do pod local | Endereço IP do pod remoto | ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Recurso externo conectado por NodePort ou Load Balancer a um pod local | Remotos | Endereço IP do pod local | Endereço IP externo ⁴ | ✓ | ✓ | ✓ | N/D | N/D | N/D |
| Recurso externo conectado por NodePort ou Load Balancer a um pod local que opera em um namespace de rede do nó | Remotos | Endereço IP de nó local | Endereço IP externo ⁴ | ✓ | ✓ | ✓ | N/D | N/D | N/D |
Fique atento às seguintes informações adicionais correspondentes aos itens marcados com notas de rodapé na tabela anterior.
1. O nome do pod não é visível nesse cenário para pods com outros proprietários, como um serviço Kubernetes gerenciado pelo ambiente de gerenciamento do EKS.
1. O nome, o serviço e o namespace do pod local não serão resolvidos se outros pods estiverem presentes no namespace de rede do nó.
1. O nome, o serviço e o namespace do pod remoto não serão resolvidos se outros pods estiverem presentes no namespace de rede do nó.
1. Se o serviço usar NodePort ou LoadBalancer no modo de instância e `ExternalTrafficPolicy` estiver definido como `Cluster`, esse endereço IP será informado como o endereço IP do nó que recebe a conexão NodePort.
# Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas
Para fornecer métricas de performance para fluxos de rede em suas workloads da AWS, o Network Flow Monitor depende dos *agentes* que você instala, os quais enviam as métricas para o Network Flow Monitor. Instale agentes do Network Flow Monitor em suas instâncias e defina as permissões corretas para os agentes para que eles possam enviar métricas para o backend do Network Flow Monitor.
Um agente é uma aplicação de software leve que você instala nos recursos, como as instâncias do EC2 na VPC. Os agentes enviam métricas de performance para o backend do Network Flow Monitor de forma contínua. Em seguida, você pode visualizar as métricas na página **Insights da workload** no console do Network Flow Monitor. Também é possível pode rastrear métricas detalhadas de um fluxo de rede específico, ou um conjunto de fluxos, criando um monitor.
As etapas para implantar agentes nas instâncias dependem do tipo de instância: instâncias do Amazon EKS Kubernetes, instâncias do EC2 na VPC ou instâncias do Kubernetes autogerenciadas (não EKS).
+ Para saber mais sobre como trabalhar com o Amazon EKS, incluindo a instalação de agentes no EKS, consulte [Trabalhar com o EKS](CloudWatch-NetworkFlowMonitor-work-with-eks.md).
+ Para saber mais sobre a instalação de agentes em instâncias do EC2 na VPC e instâncias do Kubernetes autogerenciadas, consulte as seções deste capítulo.
É possível estabelecer uma conexão privada entre sua VPC e os agentes do Network Flow Monitor via AWS PrivateLink. Para obter mais informações, consulte [Usar o CloudWatch, o CloudWatch Synthetics e o CloudWatch Network Monitoring com endpoints de VPC de interface](cloudwatch-and-interface-VPC.md).
**Topics**
+ [Versões Linux compatíveis com agentes do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-agents-versions.md)
+ [Instale e gerencie agentes para instâncias do EC2](CloudWatch-NetworkFlowMonitor-agents-ec2.md)
+ [Instalar agentes de instâncias autogerenciadas do Kubernetes](CloudWatch-NetworkFlowMonitor-agents-kubernetes-non-eks.md)
# Versões Linux compatíveis com agentes do Network Flow Monitor
As instâncias em que você instala agentes devem estar executando versões e distribuições compatíveis do Linux. O Network Flow Monitor é compatível com agentes para execução somente no Linux, e a versão do kernel do Linux deve ser 5.8 ou posterior. As distribuições do Linux a seguir são compatíveis. Observe que os agentes são testados para serem executados nas versões mais recentes dessas distribuições.
+ Amazon Linux
+ Ubuntu
+ Red Hat
+ SUSE Linux
+ Distribuições Debian para x86 e aarch64
# Instale e gerencie agentes para instâncias do EC2
Siga as etapas apresentadas nesta seção para realizar a instalação dos agentes do Network Flow Monitor em workloads executadas em instâncias do Amazon EC2. É possível realizar a instalação dos agentes ao usar o SSM ou ao fazer o download e a instalação de pacotes compilados previamente para o agente do Network Flow Monitor usando a linha de comando.
Independentemente do método usado para instalar os agentes em instâncias do EC2, é necessário realizar a configuração das permissões para que os agentes possam enviar métricas de performance ao backend do Network Flow Monitor.
**Topics**
+ [Configurar permissões para os agentes](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md)
+ [Agentes para instâncias do EC2 com o SSM](CloudWatch-NetworkFlowMonitor-agents-ec2-install-ssm.md)
+ [Fazer download e instalar o agente](CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline.md)
# Configurar permissões para os agentes
Para permitir que os agentes enviem métricas para o backend de ingestão do Network Flow Monitor, as instâncias do EC2 em que os agentes são executados devem usar um perfil que tenha uma política anexada com as permissões corretas. Para fornecer as permissões necessárias, use um perfil que tenha a seguinte política gerenciada pela AWS anexada: [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html). Anexe essa política aos perfis do IAM das instâncias do EC2 em que você planeja instalar agentes do Network Flow Monitor.
Recomendamos que você adicione as permissões antes de instalar agentes nas instâncias do EC2. Você pode optar por esperar até depois de instalar os agentes, mas os agentes não poderão enviar métricas para o serviço até que as permissões estejam em vigor.
**Para adicionar permissões para agentes do Network Flow Monitor**
1. No Console de gerenciamento da AWS, no console do Amazon EC2, localize as instâncias do EC2 em que você planeja instalar os agentes do Network Flow Monitor.
1. Anexe a política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) ao perfil do IAM para cada instância.
Se uma instância não tiver um perfil do IAM anexado, escolha um perfil fazendo o seguinte:
1. Em **Ações**, escolha **Segurança**.
1. Escolha **Modificar perfil do IAM** ou crie um perfil escolhendo **Criar perfil do IAM**.
1. Escolha um perfil para a instância e anexe a política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html).
# Instalação de agentes em instâncias do EC2 com o SSM
Os agentes do Network Flow Monitor fornecem métricas de performance sobre fluxos de rede. Siga as etapas nesta seção para instalar e trabalhar com agentes do Network Flow Monitor nas instâncias do EC2, usando o AWS Systems Manager. Se você estiver usando o Kubernetes, consulte as próximas seções para obter informações sobre como instalar agentes com clusters do Amazon EKS ou clusters autogerenciados do Kubernetes.
O Network Flow Monitor fornece um pacote do Distributor para você no Systems Manager que pode ser usado para instalar ou desinstalar agentes. Além disso, o Network Flow Monitor fornece um documento para ativar ou desativar agentes, usando o comando Document Type. Use os procedimentos padrão do Systems Manager para usar o pacote e o documento, ou siga as etapas fornecidas aqui para obter orientação detalhada.
Para obter mais informações gerais sobre como usar o Systems Manager, consulte a seguinte documentação:
+ [AWS Systems Manager Run Command do](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [AWS Systems Manager Distributor](https://docs.aws.amazon.com/systems-manager/latest/userguide/distributor.html)
Complete as etapas nas seções a seguir para configurar permissões, instalar e trabalhar com agentes do Network Flow Monitor.
**Conteúdo**
+ [Instalar ou desinstalar agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-install)
+ [Ativar ou desativar agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage)
## Instalar ou desinstalar agentes usando o Systems Manager
O Network Flow Monitor fornece um pacote de distribuidor no AWS Systems Manager para você instalar agentes do Network Flow Monitor: **AmazonCloudWatchNetworkFlowMonitorAgent**. Para acessar e executar o pacote e instalar agentes, siga as etapas fornecidas aqui.
**Para instalar agentes em instâncias do EC2**
1. No Console de gerenciamento da AWS, em AWS Systems Manager, em **Ferramentas de nós**, escolha **Distribudor**.
1. Em **Propriedade da Amazon**, localize e selecione o pacote Network Flow Monitor, **AmazonCloudWatchNetworkFlowMonitorAgent**.
1. No fluxo **Executar comando**, escolha **Instalar uma vez** ou **Instalar com base na programação**.
1. Na seção **Seleção de destino**, escolha como você deseja selecionar instâncias do EC2 nas quais instalará agentes. Você pode selecionar instâncias com base em tags, escolher instâncias manualmente ou basear a escolha em grupos de recursos.
1. Na seção **Parâmetros de comando**, em **Ação**, escolha **Instalar**.
1. Role para baixo, se necessário, e escolha **Executar** para iniciar a instalação.
Se a instalação tiver êxito e as instâncias tiverem permissões para acessar os endpoints do Network Flow Monitor, o agente começará a coletar métricas e enviará relatórios para o backend do Network Flow Monitor.
Os agentes que estiverem ativos (enviando dados de métricas) geram cobranças. Para obter mais informações sobre os preços do Network Flow Monitor e do Amazon CloudWatch, consulte Network Monitoring na página [Amazon CloudWatch pricing](https://aws.amazon.com//cloudwatch/pricing/). Se você não precisar temporariamente de dados de métricas, poderá desativar um agente. Para obter mais informações, consulte [Ativar ou desativar agentes](#CloudWatch-NetworkFlowMonitor-agents-ec2-manage). Se você não precisar mais de agentes do Network Flow Monitor, poderá desinstalá-los das instâncias do EC2.
**Para desinstalar agentes de instâncias do EC2**
1. No Console de gerenciamento da AWS, em AWS Systems Manager, em **Ferramentas de nós**, escolha **Distribudor**.
1. Em **Propriedade da Amazon**, localize e selecione o pacote Network Flow Monitor, **AmazonCloudWatchNetworkFlowMonitorAgent**.
1. Na seção **Parâmetros de comando**, em **Ação**, escolha **Desinstalar**.
1. Selecione as instâncias do EC2 das quais os agentes serão desinstalados.
1. Role para baixo, se necessário, e escolha **Executar** para iniciar a instalação.
## Ativar ou desativar agentes usando o Systems Manager
Depois de instalar um agente do Network Flow Monitor com SSM, será necessário ativá-lo para receber métricas de fluxo de rede da instância em que ele está instalado. Os agentes que estiverem ativos (enviando dados de métricas) geram cobranças. Para obter mais informações sobre os preços do Network Flow Monitor e do Amazon CloudWatch, consulte Network Monitoring na página [Amazon CloudWatch pricing](https://aws.amazon.com//cloudwatch/pricing/). Se você não precisar temporariamente de dados de métricas, poderá desativar um agente para evitar o faturamento contínuo do agente.
O Network Flow Monitor fornece um documento no AWS Systems Manager que você pode usar para ativar ou desativar agentes que você instalou nas instâncias do EC2. Ao executar esse documento para gerenciar os agentes, você poderá ativá-los para começar a receber métricas de desempenho. Ou você poderá desativá-los para interromper temporariamente o envio de métricas, sem desinstalar os agentes.
O documento no SSM que você pode usar para ativar ou desativar agentes é chamado de **AmazonCloudWatch-NetworkFlowMonitorManageAgent**. Para acessar e executar o documento, siga as etapas no procedimento.
**Para ativar ou desativar agentes do Network Flow Monitor**
1. No Console de gerenciamento da AWS, em AWS Systems Manager, em **Ferramentas de gerenciamento de alterações**, selecione **Documentos**.
1. Em **Propriedade da Amazon**, localize e selecione o pacote Network Flow Monitor, **AmazonCloudWatch-NetworkFlowMonitorManageAgent**.
1. Na seção **Seleção de destino**, escolha como você deseja selecionar instâncias do EC2 nas quais instalará agentes. Você pode selecionar instâncias com base em tags, escolher instâncias manualmente ou basear a escolha em grupos de recursos.
1. Na seção **Parâmetros do comando**, em **Ação**, escolha **Ativar** ou **Desativar**, de acordo com a ação que você deseja realizar nos agentes.
1. Role para baixo, se necessário, e escolha **Executar** para iniciar a instalação.
# Download de pacotes compilados previamente para o agente do Network Flow Monitor ao usar a linha de comando
A instalação do agente do Network Flow Monitor pode ser realizada usando a linha de comando como um pacote no Amazon Linux 2023 ou por meio do download e da instalação de pacotes compilados previamente do agente do Network Flow Monitor.
Opcionalmente, antes ou após o download de um pacote compilado previamente, é possível verificar a assinatura do pacote. Para obter mais informações, consulte [Verificação da assinatura do pacote do agente do Network Flow Monitor](#CloudWatch-NetworkFlowMonitor-agents-download-agent-commandline-verify-sig).
Selecione as instruções adequadas, dentre as apresentadas a seguir, de acordo com o sistema operacional Linux que você está usando e o tipo de instalação desejado.
**Amazon Linux AMIs**
O agente do Network Flow Monitor encontra-se disponível na forma de pacote para o Amazon Linux 2023. Se você estiver usando este sistema operacional, é possível instalar o pacote ao digitar o seguinte comando:
`sudo yum install network-flow-monitor-agent`
Além disso, você deve garantir que o perfil do IAM anexado à instância tenha a política [CloudWatchNetworkFlowMonitorAgentPublishPolicy](security-iam-awsmanpol-network-flow-monitor.md#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) associada. Para obter mais informações, consulte [Configurar permissões para os agentes](CloudWatch-NetworkFlowMonitor-agents-ec2-permissions.md).
**Amazon Linux 2023**
Instale o pacote para a sua arquitetura ao usar um dos seguintes comandos:
+ **x86\$164**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.rpm`
+ **ARM64 (Graviton)**: `sudo yum install https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm`
Verifique se o agente do Network Flow Monitor foi instalado com êxito ao executar o seguinte comando e ao confirmar que a resposta indica que o agente está habilitado e ativo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
**Distribuições baseadas em DEB (Debian e Ubuntu)**
Instale o pacote para a sua arquitetura ao usar um dos seguintes comandos:
+ **x86\$164**: `wget https://networkflowmonitoragent.awsstatic.com/latest/x86_64/network-flow-monitor-agent.deb`
+ **ARM64 (Graviton)**: `wget https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb`
Instale o pacote ao usar o seguinte comando: `$ sudo apt-get install ./network-flow-monitor-agent.deb`
Verifique se o agente do Network Flow Monitor foi instalado com êxito ao executar o seguinte comando e ao confirmar que a resposta indica que o agente está habilitado e ativo:
```
service network-flow-monitor status
network-flow-monitor.service - Network Flow Monitor Agent
Loaded: loaded (/usr/lib/systemd/system/network-flow-monitor.service; enabled; preset: enabled)
Active: active (running) since Wed 2025-04-23 19:17:16 UTC; 1min 9s ago
```
## Verificação da assinatura do pacote do agente do Network Flow Monitor
Os pacotes de instalação .rpm e .deb do agente do Network Flow Monitor destinados a instâncias do Linux são protegidos por assinatura criptográfica. Use a chave pública para verificar se o arquivo de download do atendente é original e não modificado. Se os arquivos sofrerem quaisquer danos ou alterações, a verificação falhará. Você pode verificar a assinatura do pacote instalador usando RPM ou GPG. As informações apresentadas a seguir destinam-se às versões 0.1.3, ou às versões posteriores, do agente do Network Flow Monitor.
Para localizar o arquivo de assinatura mais adequado para cada arquitetura e sistema operacional, use a tabela apresentada a seguir.
| Arquitetura | Plataforma | Link para fazer download | Link do arquivo de assinatura |
| --- | --- | --- | --- |
| x86-64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.rpm.sig |
| ARM64 | Amazon Linux 2023 | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.rpm.sig |
| x86-64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/x86\$164/network-flow-monitor-agent.deb.sig |
| ARM64 | Debian/Ubuntu | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb | https://networkflowmonitoragent.awsstatic.com/latest/arm64/network-flow-monitor-agent.deb.sig |
Siga as etapas apresentadas nesta seção para verificar a assinatura do agente do Network Flow Monitor.
**Como verificar a assinatura do agente do Network Flow Monitor para o pacote do Amazon S3**
1. Instale o software GnuPG para que você possa executar o comando .gpg. O software GnuPG é necessário para verificar a autenticidade e a integridade de um agente do Network Flow Monitor baixado para um pacote do Amazon S3. Nas imagens de máquina da Amazon (AMIs, na sigla em inglês), o software GnuPG já está instalado por padrão.
1. Copie a chave pública a seguir e salve-a em um arquivo chamado `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Realize a importação da chave pública em seu chaveiro e registre o valor que for retornado.
```
PS> rpm --import nfm-agent.gpg
gpg: key 3B789C72: public key "Network Flow Monitor Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
Anote o valor da chave, pois ele será necessário na próxima etapa. Neste exemplo, o valor da chave é `3B789C72`.
1. Verifique a impressão digital executando o comando a seguir. Substitua o *valor da chave* pelo valor da etapa anterior. Recomendamos que você use o GPG para verificar a impressão digital mesmo que você use o RPM para verificar o pacote do instalador.
```
PS> gpg --fingerprint key-value
pub rsa4096 2025-04-08 [SC] [expires: 2028-04-07]
7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1
uid Network Flow Monitor Agent
```
A string de impressão digital deve ser igual a esta:
`7673 6CA9 97AD D3E9 D277 26A8 EFBD A4CC BC95 FAD1`
Se a string de impressão digital não coincidir, não instale o atendente. Entre em contato com a Amazon Web Services.
Após realizar a verificação da impressão digital, você pode usá-la para verificar a assinatura do pacote do agente do Network Flow Monitor.
1. Realize o download do arquivo de assinatura do pacote, caso ainda não o tenha feito, conforme a arquitetura e o sistema operacional da sua instância.
1. Verifique a assinatura do pacote do instalador. Certifique-se de substituir `signature-filename` e `agent-download-filename` pelos valores que você especificou ao realizar o download do arquivo de assinatura e do agente, conforme indicado na tabela apresentada anteriormente neste tópico.
```
PS> gpg --verify sig-filename agent-download-filename
gpg: Signature made Tue Apr 8 00:40:02 2025 UTC
gpg: using RSA key 77777777EXAMPLEKEY
gpg: issuer "network-flow-monitor-agent@amazon.com"
gpg: Good signature from "Network Flow Monitor Agent " [unknown]
gpg: WARNING: Using untrusted key!
```
Se a saída apresentar a mensagem `BAD signature`, confirme se o procedimento foi realizado corretamente. Caso o problema persista e você continue a receber essa resposta, entre em contato com o [AWS Support](https://aws.amazon.com/premiumsupport/) e evite usar o arquivo baixado.
Observe o aviso sobre confiança. Uma chave somente será confiável se você ou alguém em quem você confia a tiver assinado. Isso não significa que a assinatura é inválida, apenas que você não verificou a chave pública.
Em seguida, siga as etapas apresentadas nesta seção para realizar a verificação do pacote RPM.
**Como verificar a assinatura do pacote RPM**
1. Copie a chave pública a seguir e salve-a em um arquivo chamado `nfm-agent.gpg`.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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==
=INr5
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importe a chave pública em seu token de autenticação.
```
PS> rpm --import nfm-agent.gpg
```
1. Verifique a assinatura do pacote do instalador. Certifique-se de substituir `agent-download-filename` pelo valor que você especificou ao realizar o download do agente, conforme indicado na tabela apresentada anteriormente neste tópico.
```
PS> rpm --checksig agent-download-filename
```
Por exemplo, para a arquitetura x86\$164 no Amazon Linux 2023, use o seguinte comando:
```
PS> rpm --checksig network-flow-monitor-agent.rpm
```
Esse comando retorna uma saída semelhante à seguinte:
```
network-flow-monitor-agent.rpm: digests signatures OK
```
Se a saída apresentar a mensagem `NOT OK (MISSING KEYS: (MD5) key-id)`, confirme se o procedimento foi realizado corretamente. Caso o problema persista e você continue a receber essa resposta, entre em contato com o [AWS Support](https://aws.amazon.com/premiumsupport/) e não realize a instalação do agente.
# Instalar agentes de instâncias autogerenciadas do Kubernetes
Siga as etapas nesta seção para instalar agentes do Network Flow Monitor de workloads em clusters autogerenciados do Kubernetes. Depois de concluir as etapas, os pods de agentes do Network Flow Monitor serão executados em todos os nós de cluster autogerenciados do Kubernetes.
Caso use o Amazon Elastic Kubernetes Service (Amazon EKS), as etapas de instalação a serem seguidas estão na seguinte seção: [Instalar o complemento do AWS EKS Network Flow Monitor Agent](CloudWatch-NetworkFlowMonitor-agents-kubernetes-eks.md).
**Topics**
+ [Antes de começar](CloudWatch-NetworkFlowMonitor-agents-kubernetes-before-you-begin.md)
+ [Fazer download de charts do Helm e instalar agentes](CloudWatch-NetworkFlowMonitor-agents-kubernetes-install-agents.md)
+ [Configure permissões para que os agentes forneçam métricas](CloudWatch-NetworkFlowMonitor-agents-kubernetes-permissions.md)
# Antes de começar
Antes de iniciar o processo de instalação, siga as etapas nesta seção para garantir que seu ambiente esteja configurado para instalar agentes com êxito nos clusters corretos do Kubernetes.
**Certifique-se de que a versão do Kubernetes seja compatível**
A instalação do agente do Network Flow Monitor requer a versão 1.25 do Kubernetes ou uma versão mais recente.
**Certifique-se de que você instalou as ferramentas necessárias**
Os scripts que você usa para esse processo de instalação exigem a instalação das ferramentas a seguir. Se você ainda não tiver as ferramentas instaladas, consulte os links fornecidos para obter mais informações.
+ A AWS Command Line Interface (CLI). Para obter mais informações, consulte [Installing or updating to the latest version of the AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no Guia de referência da AWS Command Line Interface.
+ O gerenciador de pacotes do Helm. Para obter mais informações, consulte [Installing Helm](https://helm.sh/docs/intro/install/) no site do Helm.
+ A ferramenta de linha de comando `kubectl`. Para obter mais informações, consulte [Install kubectl](https://kubernetes.io/docs/tasks/tools/#kubectl) no site do Kubernetes.
+ A dependência do comando `make` do Linux. Para obter mais informações, consulte a seguinte postagem no blog: [Intro to make Linux Command: Installation and Usage](https://ioflood.com/blog/install-make-command-linux/). Por exemplo, realize uma das seguintes ações:
+ Para distribuições baseadas em Debian, como o Ubuntu, use o seguinte comando: `sudo apt-get install make`
+ Para distribuições com base em RPM, como o CentOS, use o seguinte comando: `sudo yum install make`
**Verifique se você tem variáveis de ambiente KubeConfig válidas e configuradas corretamente**
A instalação do agente do Network Flow Monitor usa a ferramenta de gerenciamento de pacotes do Helm, que usa a variável kubeconfig, `$HELM_KUBECONTEXT`, para determinar os clusters de destino do Kubernetes com os quais trabalhar. Além disso, esteja ciente de que, quando o Helm executa scripts de instalação, por padrão, ele faz referência ao arquivo `~/.kube/config` padrão. Você pode alterar as variáveis do ambiente de configuração, usar um arquivo de configuração diferente (atualizando `$KUBECONFIG`) ou definir o cluster de destino com o qual você deseja trabalhar (atualizando `$HELM_KUBECONTEXT`).
**Crie um namespace do Kubernetes do Network Flow Monitor**
A aplicação do Kubernetes do agente do Network Flow Monitor instala os recursos em um namespace específico. O namespace deve existir para que a instalação tenha êxito. Para garantir que o namespace necessário esteja em execução, execute um dos seguintes procedimentos:
+ Crie o namespace padrão, `amazon-network-flow-monitor`, antes de começar.
+ Crie um namespace diferente e, em seguida, defina-o na variável `$NAMESPACE` de ambiente ao executar a instalação para criar destinos.
# Fazer download de charts do Helm e instalar agentes
Você pode fazer download dos charts do Helm do agente do Network Flow Monitor do repositório público da AWS usando o comando a seguir. Certifique-se de que você primeiro se autentique com a conta do GitHub.
`git clone https://github.com/aws/network-flow-monitor-agent.git`
No diretório `./charts/amazon-network-flow-monitor-agent`, você pode encontrar o Makefile e os charts do Helm do agente do Network Flow Monitor que contêm os destinos do make de instalação que você usa para instalar agentes. Você instala agentes do Network Flow Monitor usando o seguinte destino de Makefile: `helm/install/customer`
Caso deseje, você pode personalizar a instalação, por exemplo, fazendo o seguinte:
```
# Overwrite the kubeconfig files to use
KUBECONFIG= make helm/install/customer
# Overwrite the Kubernetes namespace to use
NAMESPACE= make helm/install/customer
```
Para verificar se os pods de aplicações do Kubernetes para os agentes do Network Flow Monitor foram criados e implantados com êxito, verifique se o estado deles é `Running`. Você pode verificar o estado dos agentes executando o seguinte comando: `kubectl get pods -o wide -A | grep amazon-network-flow-monitor`
# Configure permissões para que os agentes forneçam métricas
Depois de instalar agentes para o Network Flow Monitor, você deve permitir que eles enviem métricas de rede para as APIs de ingestão do Network Flow Monitor. Os agentes no Network Flow Monitor devem ter permissão para acessar as APIs de ingestão do Network Flow Monitor para que possam fornecer métricas de fluxo de rede que coletaram para cada instância. Você concede esse acesso implementando perfis do IAM de contas de serviço (IRSA).
Para permitir que os agentes forneçam métricas de rede ao Network Flow Monitor, siga as etapas nesta seção.
1. **Implementar perfis do IAM de contas de serviço**
Os perfis do IAM de contas de serviço fornecem a capacidade de gerenciar credenciais das aplicações, semelhante à maneira como os perfis de instância do Amazon EC2 fornecem credenciais para instâncias do Amazon EC2. A implementação do IRSA é a forma recomendada de fornecer todas as permissões exigidas pelos agentes do Network Flow Monitor para acessar com êxito as APIs de ingestão do Network Flow Monitor. Para obter mais informações, consulte [Perfis do IAM para contas de serviço](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) no Guia do usuário do Amazon EKS.
Ao configurar o IRSA para agentes do Network Flow Monitor, use as seguintes informações:
+ **ServiceAccount:** ao definir a política de confiança do perfil do IAM, em `ServiceAccount`, especifique `aws-network-flow-monitor-agent-service-account`.
+ **Namespace:** para o `namespace`, especifique `amazon-network-flow-monitor`.
+ **Implantação temporária de credenciais:** quando você configura as permissões depois de implantar os pods de agentes do Network Flow Monitor, atualizando a `ServiceAccount` com o perfil do IAM, o Kubernetes não implanta as credenciais do perfil do IAM. Para garantir que os agentes do Network Flow Monitor obtenham as credenciais do perfil do IAM que você especificou, você deve implantar uma reinicialização de `DaemonSet`. Por exemplo, use o comando como o seguinte:
`kubectl rollout restart daemonset -n amazon-network-flow-monitor aws-network-flow-monitor-agent`
1. **Confirme se o agente do Network Flow Monitor está acessando com êxito as APIs de ingestão do Network Flow Monitor**
Você pode verificar se a configuração dos agentes está funcionando corretamente usando os logs HTTP 200 dos pods de agentes do Network Flow Monitor. Primeiro, pesquise um pod de agente do Network Flow Monitor e, em seguida, pesquise nos arquivos de logs para encontrar solicitações HTTP 200 com êxito. Por exemplo, você pode fazer o seguinte:
1. Localize o nome do pod do agente do Network Flow Monitor. Por exemplo, é possível usar o seguinte comando:
```
RANDOM_AGENT_POD_NAME=$(kubectl get pods -o wide -A | grep amazon-network-flow-monitor | grep Running | head -n 1 | tr -s ' ' | cut -d " " -f 2)
```
1. Use o comando grep para todos os logs HTTP do nome do pod que você localizou. Se você tiver alterado o NAMESPACE, certifique-se de usar o novo.
```
NAMESPACE=amazon-network-flow-monitor
kubectl logs $RANDOM_AGENT_POD_NAME -\-namespace ${NAMESPACE} | grep HTTP
```
Se o acesso for concedido com êxito, você deverá ver entradas de logs semelhantes às seguintes:
```
...
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027525679}
{"level":"INFO","message":"HTTP request complete","status":200,"target":"amzn_nefmon::reports::publisher_endpoint","timestamp":1737027552827}
```
Observe que o agente do Network Flow Monitor publica relatórios de fluxo de rede a cada 30 segundos, chamando as APIs de ingestão do Network Flow Monitor.
# Inicialização do Network Flow Monitor
A visualização das métricas de performance dos fluxos de rede requer a inicialização do Network Flow Monitor, um processo que concede as permissões necessárias e configura uma topologia inicial para sua conta ou para suas contas. Se você planeja monitorar recursos em diversas contas, também deverá configurar o AWS Organizations com o Amazon CloudWatch. Em seguida, você especifica as contas para o escopo do Network Flow Monitor, permitindo que ele crie uma topologia inicial para todas as contas cujas métricas de performance serão monitoradas.
Além disso, é necessário instalar agentes nas instâncias para enviar métricas de performance ao servidor de ingestão do Network Flow Monitor. Para obter mais informações, consulte [Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas](CloudWatch-NetworkFlowMonitor-agents.md).
As etapas que são executadas para a inicialização do Network Flow Monitor variam de acordo com a abrangência do monitoramento das métricas de performance relacionadas aos recursos: se será limitado a uma única conta ou ampliado para recursos distribuídos por diversas contas dentro de sua organização.
+ [Inicialização para monitoramento em conta única](CloudWatch-NetworkFlowMonitor-single-account.md)
+ [Inicialização para monitoramento entre diversas contas](CloudWatch-NetworkFlowMonitor-multi-account.md)
# Inicialização do Network Flow Monitor para monitoramento em conta única
Para realizar a inicialização do Network Flow Monitor com a finalidade de monitorar as métricas de performance da rede, é necessário conceder permissões, e o Network Flow Monitor deve criar a topologia inicial para a sua conta. Quando você monitora recursos em apenas uma conta, o Network Flow Monitor define essa conta como o escopo para o monitoramento da rede e cria uma topologia para esse escopo.
A inicialização do Network Flow Monitor realiza as seguintes ações:
+ São concedidas permissões ao Network Flow Monitor para usar os perfis vinculados a serviço necessários com a sua conta. O Network Flow Monitor exige que você conceda permissões específicas para que o recurso possa enviar métricas para o Amazon CloudWatch em seu nome e criar topologias de fluxos de rede. Para obter mais informações, consulte [Perfis vinculados ao serviço do Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
+ É definido o escopo de monitoramento do Network Flow Monitor para a conta da AWS com a qual você está conectado. Para obter mais informações, consulte **Escopo** em [Componentes e recursos do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-components.md).
+ Criação de uma topologia inicial para o seu escopo.
Com o intuito de realizar a inicialização do Network Flow Monitor por meio da configuração de perfis vinculados ao serviço que concedem as permissões requeridas, definição do escopo para sua conta e criação de uma topologia para o monitoramento da performance dos fluxos de rede, siga as etapas apresentadas a seguir.
**Como realizar a inicialização do Network Flow Monitor**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Na seção **Conceitos básicos do Network Flow Monitor**, em Etapa 1, selecione **Iniciar inicialização**.
1. Na página **Configurar Network Flow Monitor**, role para baixo e, em seguida, escolha **Inicializar o Network Flow Monitor**.
O processo de conclusão da inicialização pode durar entre 20 e 30 minutos.
Após realizar a inicialização do Network Flow Monitor para sua conta, antes de ser possível visualizar as métricas de performance dos fluxos de rede, você também deve instalar os agentes do Network Flow Monitor em seus recursos, para que enviem as métricas de performance ao servidor backend de ingestão do Network Flow Monitor. Para obter mais informações, consulte [Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas](CloudWatch-NetworkFlowMonitor-agents.md).
# Inicialização do Network Flow Monitor para monitoramento em diversas contas
Se deseja monitorar fluxos de rede no Network Flow Monitor para recursos pertencentes a diferentes contas, antes de mais nada, você deve configurar o Amazon CloudWatch com o AWS Organizations. Para usar diversas contas no Network Flow Monitor, é necessário ativar o acesso confiável para o CloudWatch, sendo também uma prática recomendada registrar um administrador delegado.
Além disso, caso planeje criar monitores para fluxos de rede diretamente pelo console, será preciso adicionar uma política do Network Flow Monitor ao perfil que está associado aos recursos. Com essa política, é possível visualizar no console os recursos de outras contas, permitindo que você os adicione a um monitor abrangente entre contas.
Caso deseje monitorar fluxos de rede referentes a recursos pertencentes a diferentes contas, será preciso realizar configurações adicionais. Como primeira etapa, a conta gerencial deve configurar o CloudWatch com o AWS Organizations para ativar o acesso confiável, sendo uma prática comum também registrar uma conta como administrador delegado. Em seguida, usando a conta de administrador delegado, é possível adicionar outras contas da sua organização com a finalidade de definir o escopo da observabilidade de rede para incluir os recursos presentes nessas contas. (Você também pode adicionar diversas contas usando uma conta gerencial, entretanto, como prática recomendada no Organizations, deve-se usar a conta de administrador delegado ao trabalhar com os recursos de um serviço. As etapas fornecidas nesta seção para o Network Flow Monitor seguem essa orientação.)
É importante salientar que, se o monitoramento de fluxos de rede para instâncias de diversas contas não for requerido, é possível usar o Network Flow Monitor com uma conta única. O escopo para o Network Flow Monitor é definido automaticamente para a conta da AWS usada no momento do acesso.
Use as orientações apresentadas nas seções a seguir para concluir essas etapas.
**Topics**
+ [Visão geral da configuração para diversas contas](#CloudWatch-NetworkFlowMonitor-multi-account.overview)
+ [Configure o AWS Organizations](#CloudWatch-NetworkFlowMonitor-multi-account.config-orgs)
+ [Adição de diversas contas](#CloudWatch-NetworkFlowMonitor-multi-account.config-scope)
+ [Adição de permissões para o console](#CloudWatch-NetworkFlowMonitor-multi-account.console-perms)
## Visão geral das etapas para usar diversas contas no Network Flow Monitor
Para começa a usar o Network Flow Monitor, é necessário que qualquer conta que nunca tenha usado o serviço realize usa inicialização. Ao inicializar o Network Flow Monitor para uma conta, o serviço adiciona as permissões necessárias por meio de um perfil vinculado ao serviço e cria um escopo com a conta ou com as contas a serem incluídas na observabilidade da rede. Para trabalhar com diversas contas no Network Flow Monitor, é necessário realizar etapas adicionais para integração com o AWS Organizations e, posteriormente, incluir as contas desejadas para o trabalho.
Em resumo, você deve seguir as seguintes etapas:
1. Acesse o Console de gerenciamento da AWS como a conta gerencial e, em seguida, execute o seguinte:
+ Conclua as etapas necessárias para realizar a integração com o AWS Organizations no CloudWatch.
1. Acesse o Console de gerenciamento da AWS como a conta de administrador delegado e, em seguida, execute o seguinte:
+ Realize a inicialização do Network Flow Monitor, incluindo a adição de contas que devem ser incluídas no seu escopo.
+ Adicione as permissões necessárias para acessar, pelo console, recursos que estejam em outras contas.
Caso você esteja configurando o Network Flow Monitor para trabalhar com diversas contas e ainda não tenha familiaridade com o AWS Organizations, consulte os recursos apresentados a seguir para compreender conceitos como a conta gerencial, o acesso confiável e a conta de administrador delegado, bem como para aprender a realizar a integração do Organizations com o CloudWatch.
+ A página [Managing accounts in an organization with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) no Guia do usuário do AWS Organizations.
+ A página [Amazon CloudWatch and AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) no Guia do usuário do AWS Organizations.
Siga as etapas apresentadas nas seções a seguir para obter orientações específicas sobre a configuração do Network Flow Monitor para diversas contas.
## Configuração do AWS Organizations no CloudWatch
Para configurar o Network Flow Monitor com o AWS Organizations, acesse a conta gerencial e ative o acesso confiável para o CloudWatch. Em seguida, registre uma conta de administrador delegado para ser usada na inicialização do Network Flow Monitor e na adição de diversas contas.
Caso o Organizations já tenha sido configurado no CloudWatch para ativar o acesso confiável para o Organizations no CloudWatch e registrar a conta de administrador delegado, nenhuma configuração adicional específica ao Network Flow Monitor será necessária no Organizations. É possível acessar o CloudWatch com a conta de administrador delegado e, posteriormente, inicializar o Network Flow Monitor, incluindo a adição de diversas contas para o escopo de observabilidade da rede.
Caso o Organizations ainda não tenha sido configurado no CloudWatch, siga as etapas apresentadas nesta seção para ativar o acesso confiável e realizar o registro de uma conta de administrador delegado.
### Ativação do acesso confiável no CloudWatch
Antes de usar o Network Flow Monitor com mais de uma conta em sua organização, é necessário ativar o acesso confiável para o AWS Organizations no Amazon CloudWatch. Use as etapas apresentadas a seguir para ativar esse acesso confiável no console do CloudWatch.
**Como realizar a ativação do acesso confiável**
1. Efetue o acesso ao console por meio da conta gerencial da organização.
1. No console do CloudWatch, localize o painel de navegação e selecione a opção **Configurações**.
1. Escolha a guia **Organizations**.
1. Em **Configurações de gerenciamento de organizações**, escolha **Ativar**. A página **Habilitar acesso confiável** é exibida.
1. Para analisar a política associada ao perfil, escolha **Visualizar detalhes da permissão** para visualizar a política.
1. Escolha **Enable trusted access (Habilitar acesso confiável)**.
A partir deste momento, à medida que o CloudWatch realiza a descoberta de recursos, as informações referentes às contas com permissão de acesso aos recursos no Network Flow Monitor são atualizadas automaticamente.
### Registro de uma conta de administrador delegado
Recomenda-se, como prática recomendada no uso do AWS Organizations, que a conta gerencial da organização registre uma conta de membro como uma conta de administrador delegado para o CloudWatch. Após o registro de uma conta de administrador delegado no CloudWatch, os membros da organização estarão autorizados a acessar essa conta para monitorar a performance da rede para os recursos pertencentes a diversas contas no Network Flow Monitor.
Ao usar a conta de administrador delegado, é possível adicionar diversas contas ao escopo de observabilidade da rede no Network Flow Monitor. Embora também seja possível usar a conta gerencial para criar um escopo que inclua diversas contas, recomenda-se seguir as práticas recomendadas para o AWS Organizations e usar uma conta de administrador delegado para adicionar diversas contas no Network Flow Monitor. No caso das contas de membros que não atuam como contas de administradores delegados, o escopo fica restrito à conta usada no momento do acesso, sendo este atribuído automaticamente.
Uma conta de administrador delegado para o Organizations consiste em uma conta de membro que compartilha o acesso de administrador para permissões gerenciadas pelo serviço. A conta selecionada para ser registrada como uma conta de administrador delegado deve ser uma conta de membro pertencente à sua organização. Uma conta de administrador delegado da sua organização pode ser usada de forma externa ao CloudWatch, portanto, certifique-se de compreender esse tipo de conta antes de prosseguir com o presente procedimento. Para obter mais informações, consulte [Amazon CloudWatch e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudwatch.html) no Guia do usuário do AWS Organizations.
**Para registrar uma conta de administrador delegado**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Configurações**.
1. Escolha a guia **Organização**.
1. Selecione **Registrar administrador delegado**.
1. Na janela **Registrar administrador delegado**, no campo **ID da conta de administrador delegado**, insira o ID da conta de membro da organização de 12 dígitos.
1. Selecione **Registrar administrador delegado**. Na parte superior da página, uma mensagem é exibida indicando que a conta foi registrada com êxito. A página **Configurações da organização** é exibida. Para ver informações sobre a conta de administrador delegado, passe o mouse sobre o número abaixo de **Administradores delegados**.
Para remover ou alterar a conta de administrador delegado, primeiro cancele o registro da conta. Para obter mais informações, consulte [Cancelar o registro de uma conta de administrador delegado](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-turn-on.html#telemetry-config-deregister-administrator).
## Adição de diversas contas ao escopo
Para realizar a adição contas no escopo do Network Flow Monitor, acesse o sistema usando a conta de administrador delegado. (É possível adicionar contas para um escopo ao realizar o acesso com a conta gerencial, entretanto, recomenda-se, como uma prática recomendada no AWS Organizations, usar a conta de administrador delegado para trabalhar com os recursos.)
Após fazer login, siga as etapas para inicializar o Network Flow Monitor, um processo que concede as permissões requeridas pelo perfil vinculado ao serviço, permite definir o escopo de observabilidade da rede por meio da adição de contas e depois cria uma topologia inicial para as contas incluídas no escopo definido. A conta com a qual você realiza o login, que, neste caso, é a conta de administrador delegado, é automaticamente incluída no escopo do Network Flow Monitor.
**Para inicializar o Network Flow Monitor com várias contas no escopo**
1. Faça login no console com a conta de administrador delegado da organização.
1. No painel de navegação do console do CloudWatch, em **Monitoramento da rede**, selecione **Monitores de fluxo**.
1. Em **Conceitos básicos do Network Flow Monitor**, na Etapa 1, selecione **Iniciar inicialização**.
1. Na página **Network Flow Monitor**, em **Adicionar contas**, escolha **Adicionar**. A conta usada no momento do acesso é incluída automaticamente no escopo e já aparece na tabela **Contas no escopo** como **(esta conta)**.
1. Na interface de diálogo **Adicionar contas**, você pode, opcionalmente, filtrar as contas e, em seguida, selecionar até 99 contas adicionais para compor seu escopo. O número total permitido de contas em um escopo é 100.
1. Escolha **Adicionar**.
1. Selecione **Inicializar o Network Flow Monitor**. O Network Flow Monitor adicionará as permissões requeridas pelo perfil vinculado ao serviço, criará um escopo que inclui todas as contas especificadas por você e, posteriormente, criará uma topologia inicial dos recursos presentes nas contas incluídas no escopo.
Para adicionar ou remover contas do escopo após a inicialização do Network Flow Monitor, siga as etapas aqui.
Lembre-se de que após fazer uma alteração no escopo, seja para adicionar ou excluir contas, será necessário esperar cerca de 20 minutos para poder fazer outra alteração. Essa demora se deve ao fato de que o Network Flow Monitor requer um breve tempo para atualizar as informações de topologia.
**Para adicionar ou remover contas do escopo**
1. Faça login no console com a conta de administrador delegado da organização.
1. No painel de navegação do console do CloudWatch, em **Monitoramento da rede**, selecione **Monitores de fluxo**.
1. Em **Monitores**, selecione um monitor.
1. Na guia **Detalhes do monitor**, em **Contas no escopo**, escolha **Adicionar** ou **Excluir**.
1. Selecione as contas a serem adicionadas ao escopo, até um total de 100 contas, ou selecione as contas a serem excluídas.
1. Conclua as etapas na caixa de diálogo de confirmação.
## Configuração de permissões para o acesso a recursos entre diversas contas (somente no console)
Se você pretende criar monitores para os fluxos de rede usando o console, é necessária uma política específica para cada conta de membro incluída em seu escopo. Essa política possibilita a visualização de recursos de outras contas ao adicionar recursos locais e remotos em um monitor.
Para cada uma das contas presentes no seu escopo, crie um perfil chamado **NetworkFlowMonitorAccountResourceAccess** e associe a política **AmazonEC2ReadOnlyAccess**. Para obter mais detalhes sobre as permissões para essa política, consulte a seção [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html) no Guia de referência de políticas gerenciadas pela AWS.
Essa política trata-se de uma adição àquela que deve ser atribuída a cada instância, a fim de permitir que o agente do Network Flow Monitor envie métricas de performance da instância ao servidor de backend de ingestão do Network Flow Monitor. Para obter mais informações sobre os requisitos para os agentes, consulte [Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas](CloudWatch-NetworkFlowMonitor-agents.md).
O procedimento apresentado a seguir fornece um resumo das etapas para a criação do perfil necessário para acessar recursos dentro do seu escopo no console do Network Flow Monitor. Para obter orientações gerais sobre a criação de perfis no IAM, consulte a seção [Criar um perfil para conceder permissões a um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) no Guia do usuário do AWS Identity and Access Management.
**Como criar um perfil para o acesso a recursos no console do Network Flow Monitor**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM.
1. No painel de navegação do console, escolha **Funções** e, em seguida, clique em **Criar função**.
1. Especifique a entidade confiável da **conta da AWS**. Esse tipo de entidade confiável permite que entidades principais em outras contas da AWS assumam o perfil e acessem recursos em outras contas.
1. Escolha **Próximo**.
1. Na lista de políticas gerenciadas pela AWS, selecione a política **AmazonEC2ReadOnlyAccess**.
1. Escolha **Próximo**.
1. No campo destinado ao nome do perfil, insira **NetworkFlowMonitorAccountResourceAccess**.
1. Reveja a função e escolha **Criar função**.
## Instalar agentes nas instâncias
Para monitorar a performance da rede por meio do Network Flow Monitor, é necessário realizar a inicialização do serviço, bem como instalar os agentes do Network Flow Monitor nas instâncias do EC2 correspondentes à workload e adicionar as permissões necessárias para que os agentes possam enviar métricas de performance da rede ao Network Flow Monitor. Após a instalação dos agentes, aguarde um curto período de tempo, aproximadamente 20 minutos, para que os dados comecem a ser enviados ao backend do Network Flow Monitor. Em seguida, você pode visualizar as métricas de performance da rede na guia de **insights de workloads** e também criar monitores para acessar informações detalhadas.
Por exemplo, é possível visualizar as métricas de performance dos principais colaboradores para os dados transferidos e para os tempos limites de retransmissão referentes aos fluxos de rede entre seus recursos locais e remotos, coletados pelos agentes do Network Flow Monitor. Ao visualizar e analisar essas métricas, você pode escolher fluxos específicos sobre os quais deseja ver mais detalhes e acompanhar mais de perto com um monitor. Ao criar um monitor para fluxos específicos, é possível visualizar informações detalhadas sobre eles, incluindo as métricas organizadas pelos principais colaboradores para cada tipo de métrica e os caminhos de rede para cada fluxo de rede.
Com um monitor, o Network Flow Monitor também fornece um indicador de integridade da rede (NHI, na sigla em inglês), que você pode usar para verificar se houve falhas na rede da AWS para os fluxos de rede que estão sendo monitorados, durante um período de tempo selecionado por você. Essas informações podem ajudar a decidir onde concentrar seus esforços de solução de problemas de rede.
Para obter mais informações e instruções sobre como instalar agentes, consulte [Instalar agentes do Network Flow Monitor em instâncias do EC2 e em instâncias do Kubernetes autogerenciadas](CloudWatch-NetworkFlowMonitor-agents.md).
# Monitorar e analisar fluxos de rede no Network Flow Monitor
Por meio do Network Flow Monitor, é possível compreender os fluxos de rede e a performance do tráfego que está sendo monitorado conforme o escopo definido. Comece analisando as informações dos principais colaboradores, por cada tipo de métrica, na guia **Insights de workloads**. Em seguida, crie monitores para que você possa analisar detalhadamente a performance da rede, ao longo de diferentes períodos, dos fluxos de rede selecionados em **Insights de workloads**.
Após a inicialização do Network Flow Monitor e a instalação dos agentes nas instâncias, o Network Flow Monitor vai gerar métricas de performance dos fluxos de rede originados dessas instâncias. Analise as seções neste capítulo para saber mais sobre como usar o Network Flow Monitor para avaliar a performance da rede no Network Flow Monitor, criar monitores com informações mais detalhadas e compreender as métricas específicas fornecidas pelo Network Flow Monitor.
As etapas fornecidas nestas seções usam o Console de gerenciamento da AWS. Você também pode usar as operações de APIs do Network Flow Monitor com a AWS Command Line Interface (AWS CLI) ou os SDKs da AWS para analisar os insights de workloads e as métricas dos principais colaboradores, e para criar e configurar um monitor. Para saber mais, consulte os seguintes recursos:
+ Caso pretenda trabalhar com o Network Flow Monitor usando a CLI, consulte [Exemplos de uso da CLI com o Network Flow Monitor](CloudWatch-NFM-get-started-CLI.md).
+ Para obter informações detalhadas sobre o uso das operações da API do Network Flow Monitor, consulte o [Guia de referência da API do Network Flow Monitor](https://docs.aws.amazon.com/networkflowmonitor/2.0/APIReference/Welcome.html).
**Topics**
+ [Avaliar fluxos de rede](CloudWatch-NetworkFlowMonitor-configure-evaluate-flows.md)
+ [Criar e trabalhar com monitores](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
+ [Monitorar e analisar](CloudWatch-NetworkFlowMonitor-monitor-and-analyze.md)
+ [Exclusão de um escopo](CloudWatch-NetworkFlowMonitor-disable.md)
# Avaliar fluxos de rede com insights de workloads
O Network Flow Monitor fornece insights de workloads sobre os fluxos de rede no escopo para o qual você habilita o monitoramento. Ao mostrar os fluxos de rede dos principais colaboradores para cada tipo de métrica, você pode ver quais fluxos estão possivelmente enfrentando problemas. Você pode ver essas métricas dos principais colaboradores no console na guia **Insights de workloads**. No Network Flow Monitor, os principais colaboradores são fluxos de rede que têm os valores mais altos para cada métrica de performance de rede.
**Principais responsáveis**
Na página **Insights de workloads** do console do Network Flow Monitor, são apresentadas as estatísticas de performance da rede dos principais colaboradores, referentes aos fluxos de rede entre todos os recursos incluídos no escopo de monitoramento com agentes implantados.
Para compilar listas dos principais colaboradores, o Network Flow Monitor determina os fluxos de rede no seu escopo que têm os maiores valores para retransmissões, tempos limite de retransmissão e dados transferidos. Esses fluxos de rede são os *principais colaboradores* de cada tipo de métrica.
Para os insights de workloads, os principais colaboradores são determinados para todos os fluxos de rede sobre os quais você está recebendo informações de performance, ou seja, fluxos de rede para todos os recursos no seu escopo com os agentes do Network Flow Monitor instalados.
**Classificações de fluxo de rede**
O Network Flow Monitor classifica as métricas em categorias locais e remotas designadas. As métricas são agrupadas em dois tipos de fluxos:
+ **Fluxos do Indicador de integridade da rede (NHI):** fluxos que contribuem para os cálculos do Indicador de integridade da rede (NHI):
+ Entre as AZs (`INTER_AZ`). Sempre na mesma VPC.
+ Dentro das AZs (`INTRA_AZ`). Sempre na mesma VPC.
+ Entre as VPCs (`INTER_VPC`). Cruza a fronteira entre VPCs.
+ Entre regiões (`INTER_REGION`). Isso significa a performance de fluxos de rede entre recursos na sua região e a borda de outra região.
+ Em direção aos buckets do Amazon S3 (`AMAZON_S3`)
+ Em direção ao Amazon DynamoDB (`AMAZON_DYNAMODB`)
+ **Fluxos não do Indicador de integridade da rede (NHI):** fluxos que não contribuem para os cálculos do Indicador de integridade da rede (NHI):
+ Em direção à Internet (`INTERNET`). Fluxos que atravessam um Gateway da Internet e terminam na Internet pública.
+ Em direção aos serviços da AWS (`AWS_SERVICE`). Fluxos que terminam em um serviço da AWS que não é totalmente monitorado (como o CloudFront ou o API Gateway).
+ Em direção a um gateway de trânsito (`TRANSIT_GATEWAY`). Os fluxos nessa classificação são fluxos que chegam a um gateway de trânsito, mas o destino final do fluxo é desconhecido.
+ Em direção a uma zona local (`LOCAL_ZONE`). Fluxos que começam ou terminam em uma zona local
+ Qualquer outro fluxo que não possa ser classificado de outra forma (`UNCLASSIFIED`).
**Métricas de performance**
As métricas de performance em **Insights de workloads** são mostradas em tabelas separadas para o seguinte tipo de métrica: retransmissões, tempos limite de retransmissão e dados transferidos. Os dados fornecidos são para os principais colaboradores de cada tipo. Tenha em mente que, após a instalação inicial dos agentes do Network Flow Monitor, será necessário aguardar cerca de 20 minutos antes que as métricas de performance estejam disponíveis, pois os agentes ainda estarão coletando e enviando os dados ao backend do Network Flow Monitor.
**Monitorar fluxos de rede específicos**
Conforme você analisa as métricas de performance, ao identificar recursos ou fluxos de rede específicos para os quais deseja explorar mais detalhes, é possível criar um monitor que inclui exclusivamente esses fluxos.
Com um monitor, você pode rastrear grupos específicos de fluxos de rede durante um período para obter insights sobre um aspecto da sua workload. Você também pode obter informações úteis para a solução de problemas, como a verificação do indicador de integridade da rede (NHI) para ver se os problemas são causados por falhas da AWS.
Para obter mais informações, consulte . [Criar e trabalhar com monitores no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors.md)
**Cobertura de várias contas**
Para trabalhar com diversas contas no Network Flow Monitor, é necessário configurar a integração do AWS Organizations com o CloudWatch. Ao configurar o Organizations, é possível adicionar contas ao escopo da sua cobertura do Network Flow Monitor. Depois, se você tiver várias contas no seu escopo que possuam recursos entre os quais deseja monitorar os fluxos de rede, poderá especificar um escopo que inclua todas as contas e, então, visualizar as métricas de performance coletadas pelos agentes do Network Flow Monitor instalados em seus recursos. Para obter mais informações, consulte [Inicialização do Network Flow Monitor para monitoramento em diversas contas](CloudWatch-NetworkFlowMonitor-multi-account.md).
# Criar e trabalhar com monitores no Network Flow Monitor
Um monitor é criado para permitir a visualização de detalhes sobre a performance da rede referentes a um ou a diversos fluxos de rede associados a uma workload. Para cada monitor, o Network Flow Monitor publica métricas de performance de ponta a ponta e um indicador de integridade da rede (NHI), e gera caminhos de rede de fluxos de rede individuais. Depois de criar um monitor, é possível visualizar as informações fornecidas por ele no console, na guia **Monitores**.
Os monitores de fluxo podem ajudar você a avaliar os problemas de performance de rede que estão afetando suas workloads, incluindo deficiências em uma Região da AWS e problemas na rede global da AWS entre uma região local e uma remota. O indicador de integridade da rede (NHI) fornecido pelo monitor também captura a integridade da rede global da AWS nos caminhos de rede da sua workload entre as regiões. Isso ajuda você a identificar rapidamente se as deficiências em uma região local, na rede global da AWS ou na região remota estão afetando suas workloads.
Para regiões remotas, os monitores podem fornecer visibilidade de rede para fluxos para o endereço IP público da região e para tráfego privado fluindo para uma região remota por meio do emparelhamento da VPC ou do emparelhamento do Transit Gateway.
Após a criação de um monitor, você pode editá-lo para fazer alterações (exceto alterar o nome do monitor) ou excluí-lo a qualquer momento.
As seções apresentadas a seguir incluem os procedimentos para a criação, a edição e a exclusão de monitores no console do Network Flow Monitor.
**Topics**
+ [Criar um monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-create.md)
+ [Editar um monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-edit.md)
+ [Excluir um monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md)
# Criar um monitor no Network Flow Monitor
Ao analisar os principais contribuidores na guia **Insights de workloads**, se você vir um ou vários fluxos de rede que deseja acompanhar ao longo do tempo, ou sobre os quais deseja obter mais detalhes, você pode criar um monitor diretamente de **Insights de workloads**. Isso simplifica o processo de criação de um monitor para fluxos de rede específicos.
Ou, se você souber de fluxos de rede específicos que deseja rastrear com um monitor, como verificar as informações de performance de todos os fluxos de rede para outra Região da AWS, você pode usar o assistente **Criar monitor** para criar um monitor do zero. Ao criar um monitor dessa forma, você especifica todos os recursos locais e remotos que definem os fluxos de rede que você deseja monitorar.
Para procedimentos específicos, consulte as seguintes seções:
+ [Criar um monitor especificando fluxos de rede](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-workload-insights)
+ [Criar um monitor especificando recursos locais e remotos](#CloudWatch-NetworkFlowMonitor-configure-monitors-create-standalone)
## Criar um monitor especificando fluxos de rede
Para criar um monitor selecionando fluxos de rede, comece na guia **Insights de workloads**. Selecione um ou mais fluxos de rede em uma das tabelas, em uma única região, e depois opte por criar um monitor com esses fluxos.
Quando você cria um monitor dessa forma, o assistente **Criar monitor** preenche previamente os recursos locais e remotos para você e os exibe em um diálogo modal. Você pode criar um monitor com esses recursos ou editar a seleção de recursos locais ou remotos para adicionar ou remover os recursos a serem incluídos.
Ao analisar regularmente os principais colaboradores nos **Insights de workloads**, você pode avaliar com frequência se tem os monitores de que precisa, ou se criar mais monitores seria útil.
**Importante**
Essas etapas foram projetadas para serem concluídas de uma só vez. Não será possível salvar trabalhos em andamento para continuar mais tarde.
**Para criar um monitor de **Insights de workloads****
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Escolha **Insights de workloads**.
1. Em uma das tabelas de **Principais colaboradores**, selecione um ou mais fluxos de rede e escolha **Criar monitor**.
1. Na janela modal que é exibida, você pode editar os recursos que definem os fluxos de rede escolhidos, ou pode escolher **Criar monitor**.
## Criar um monitor especificando recursos locais e remotos
Você pode criar um monitor a qualquer momento para recursos locais e remotos específicos que definem fluxos de rede dos quais você deseja ver detalhes.
Por exemplo, você pode querer criar um monitor para um dos seguintes cenários:
+ Um monitor que inclui fluxos de rede de uma VPC específica em uma região local para outra VPC na mesma região. (Observe que você não pode selecionar um recurso específico, como uma VPC, como um endpoint de fluxo de rede [ou seja, o recurso remoto] em outra região.)
+ Para recursos locais, escolha **Recursos específicos na *região***. Em seguida, escolha **VPC e sub-redes** e, na tabela, selecione uma VPC específica.
+ Para recursos remotos, faça o mesmo: escolha **Recursos específicos na *região***, depois **VPC e sub-redes** e, então, selecione uma VPC específica.
+ Um monitor que inclui todos os fluxos de rede da sua workload em uma região local para uma zona de disponibilidade específica.
+ Para recurso local, escolha **Em toda a *região***
+ Para recurso remoto, escolha **Zona de disponibilidade** e depois uma AZ específica
+ Um monitor que inclui todos os fluxos de rede para sua workload em uma região local.
+ Para recurso local, escolha **Em toda a *região***
+ Para recurso remoto, escolha **Em toda a *região***
+ Um monitor que inclui todos os fluxos de rede para sua workload de uma região local até a borda de outra região.
+ Para recurso local, escolha **Em toda a *região***
+ Para recurso remoto, escolha **Outra região** e depois a região remota
**Importante**
Essas etapas foram projetadas para serem concluídas de uma só vez. Não será possível salvar trabalhos em andamento para continuar mais tarde.
**Para criar um monitor usando o console**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Na página Network Flow Monitor, selecione a guia **Monitores** e escolha **Criar monitor**.
1. Em **Nome do monitor**, insira o nome que você deseja usar para ele. Você não poderá alterar esse nome depois.
1. Escolha **Próximo**.
1. Selecione os recursos locais (um ou mais) para os fluxos de rede que você deseja monitorar.
+ Para monitorar os fluxos de rede de todos os recursos em sua região, escolha **Em toda a *região***.
+ Para escolher recursos locais específicos dos quais monitorar fluxos, escolha **Recursos específicos na *região***. Depois, em **Adicionar recursos**, escolha **Zonas de disponibilidade**, **Clusters do EKS** ou **VCPs e sub-redes**, e depois escolha os recursos a serem adicionados.
1. Escolha **Próximo**.
1. Selecione os recursos locais (um ou mais) para os fluxos de rede que você deseja monitorar.
+ Para monitorar os fluxos de rede de todos os recursos em sua região, escolha **Em toda a *região***.
+ Para monitorar os fluxos originários de recursos remotos específicos, escolha **Recursos específicos na *região***. Em **Adicionar recursos**, escolha **VPCs e sub-redes**, **Zonas de disponibilidade** ou **Serviços da AWS**, e depois escolha os recursos a serem adicionados.
+ Para monitorar os fluxos de rede até a borda de outra região, escolha **Outra região**.
1. Escolha **Próximo**.
1. Analise suas opções para confirmar os fluxos de rede a serem monitorados, ou edite as opções para fazer alterações.
1. Escolha **Criar monitor**.
Após criar um monitor, você pode editá-lo ou excluí-lo a qualquer momento para adicionar ou remover fluxos de rede. Selecione um monitor e escolha **Editar** ou **Excluir**. Observe que não é possível alterar o nome de um monitor.
**Para visualizar o painel do Network Flow Monitor**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Monitoramento de rede** e depois **Monitores de fluxo**.
A guia **Monitors** (Monitores) exibe uma lista dos monitores que você criou.
Para ver mais informações sobre um monitor, escolha-o.
# Editar um monitor no Network Flow Monitor
É possível editar um monitor a qualquer momento para adicionar ou remover fluxos de rede.
Observe que você não pode alterar o nome de um monitor depois de criá-lo.
**Importante**
Essas etapas foram projetadas para serem concluídas de uma só vez. Não será possível salvar trabalhos em andamento para continuar mais tarde.
**Como editar um monitor usando o console**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Na guia **Monitores**, selecione um monitor e, no menu **Ações**, escolha **Editar**.
1. Selecione os recursos remotos ou locais que deseja adicionar ou remover do monitor. Se você tiver diversas contas em seu escopo, especifique a conta na qual os recursos estão localizados e, em seguida, selecione os recursos.
1. Quando terminar de atualizar o monitor, escolha **Avançar** para analisar e confirmar os fluxos de rede a serem monitorados.
1. Escolha **Salvar monitor**.
# Excluir um monitor no Network Flow Monitor
Para excluir um monitor no Network Flow Monitor, siga as etapas a seguir.
**Para excluir um monitor**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Na guia **Monitores**, selecione um monitor e, no menu **Ações**, escolha **Excluir**.
1. Na caixa de diálogo exibida, insira o texto de confirmação e escolha **Excluir**.
# Monitorar e analisar fluxos de rede com um monitor do Network Flow Monitor
Os dados e grafos do Network Flow Monitor ajudam você a visualizar e rastrear problemas de rede. Você pode criar monitores para ver informações detalhadas sobre segmentos de rede específicos das workloads da AWS, incluindo uma visão do caminho de rede de fluxos de rede individuais. Depois de criar um ou mais monitores no Network Flow Monitor, você pode observar a performance e as métricas e analisar dados históricos para encontrar anomalias.
Para visualizar as informações fornecidas por um monitor, na guia **Monitores**, selecione um monitor na tabela **Monitores**. Em seguida, escolha uma das seguintes guias para obter mais informações: **Visão geral**, **Explorador histórico** ou **Detalhes do monitor**.
**Guia Visão geral**
Na guia **Visão geral**, é possível analisar os itens apresentados a seguir para os períodos de tempo especificados por você. Para ver uma gama mais ampla ou mais restrita de informações históricas, incluindo o NHI e os dados de resumo do tráfego, ajuste a seleção do período na parte superior da página.
+ **Indicador de integridade da rede (NHI):** o NHI alerta você sobre se houve problemas de rede da AWS em um ou mais dos fluxos de rede rastreados pelo monitor, durante o período selecionado para a visualização das métricas de performance. NHI é um valor binário, ou seja, 1 ou 0, que é mostrado no console como **Degradado** ou **Íntegro**.
+ O NHI será mostrado como **Degradado** se houver problemas com a parte da rede da AWS que qualquer fluxo de rede no monitor tenha percorrido, a qualquer momento durante o período selecionado.
+ Do contrário, o NHI será mostrado como **Íntegro**.
Se o NHI estiver **Degradado**, você poderá visualizar o grafo de barras do **Indicador de integridade da rede** para obter mais informações. O grafo mostra quando, durante o período selecionado, houve problemas de rede da AWS nos fluxos de rede rastreados pelo monitor.
+ **Resumo do tráfego:** observe as métricas gerais dos fluxos rastreados pelo monitor no período que você selecionou. Você pode ver o tempo médio de ida e volta, as somas (totais) dos tempos limite de transmissão e retransmissões e a quantidade média de dados transferidos para os fluxos no monitor. Lembre-se de que os dados do RTT podem ser esparsos, pois nem sempre o RTT é calculado.
**Guia Explorador histórico**
Na guia **Explorador histórico**, é possível analisar detalhadamente as informações referentes a fluxos específicos. Você pode analisar as métricas e os caminhos de rede dos fluxos de rede dos principais colaboradores em períodos específicos. Nas tabelas de métricas, é possível filtrar os dados por diferentes categorias de fluxos, como fluxos entre zonas de disponibilidade (`INTER_AZ`).
+ **Métricas:** veja informações detalhadas dos principais colaboradores de cada tipo de métrica para o qual o Network Flow Monitor agrega dados. Tabelas separadas dos principais colaboradores são fornecidas para tempos limite de retransmissão, retransmissões, tempo de ida e volta e dados transferidos.
+ **Caminhos de rede**: para ter uma ideia sobre onde as anomalias estão ocorrendo, você pode visualizar o caminho ou um fluxo de rede. Quando você escolhe uma métrica específica em uma tabela de métricas, o caminho de rede do fluxo é exibido abaixo da tabela.
**Guia Detalhes do monitor**
Na guia **Detalhes do monitor**, é possível visualizar detalhes sobre o monitor, incluindo seu estado, o ARN, a data de criação, a última atualização e os fluxos que estão incluídos.
Você pode optar por editar ou excluir um monitor de qualquer página na guia **Monitores**.
Como parte do uso regular do Network Flow Monitor, recomendamos que você analise periodicamente os dados na página **Insights de workloads** para determinar se há novos fluxos que mostram anomalias de métricas que você deseja acompanhar mais de perto ao longo do tempo. Quando você vê um conjunto de fluxos na página **Insights de workloads** sobre o qual deseja ver detalhes, selecione os fluxos e crie um monitor para eles.
# Exclusão de um escopo do Network Flow Monitor
Se decidir que não deseja mais realizar o monitoramento dos fluxos de rede usando o Network Flow Monitor, você pode excluir o escopo do Network Flow Monitor. Ao excluir o escopo, não será mais possível acessar as informações sobre a performance da rede.
Antes de excluir o escopo, é necessário excluir todos os monitores. Tenha em mente que pode demorar aproximadamente 15 minutos para concluir a remoção dos monitores após o pedido de exclusão. Para obter mais informações, consulte [Excluir um monitor no Network Flow Monitor](CloudWatch-NetworkFlowMonitor-configure-monitors-delete.md).
**Como realizar a exclusão do escopo**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação à esquerda, em **Monitoramento de rede**, escolha **Monitores de fluxo**.
1. Na guia **Configurações**, escolha **Excluir escopo**.
1. Na caixa de diálogo, insira o texto de confirmação e, em seguida, escolha **Excluir escopo**.
# Visualize as métricas do Network Flow Monitor no CloudWatch
O Network Flow Monitor publica as seguintes métricas de performance de fluxo de rede na conta: tempo de ida e volta, retransmissões de TCP, tempos limite de retransmissão de TCP, dados transferidos e indicador de integridade da rede. Você pode visualizar essas métricas no CloudWatch Metrics no console do Amazon CloudWatch.
Para localizar todas as métricas para seu monitor, no painel de métricas do CloudWatchconsulte o namespace personalizado `AWS/NetworkFlowMonitor`. As métricas são agregadas para cada monitor implantado e ativo.
O Network Flow Monitor fornece as métricas a seguir. Lembre-se de que os dados de RoundTripTime podem ser esparsos, pois nem sempre essa métrica é calculada.
| Métrica | Descrição |
| --- | --- |
| DataTransferred | O número de bytes transferidos de todos os fluxos de um monitor. |
| Retransmissões | Número total de retransmissões de um monitor. As retransmissões ocorrem quando o remetente precisa reenviar pacotes que foram danificados ou perdidos. |
| Tempo limite | Tempo limite total de retransmissão de um monitor. Isso ocorre quando o remetente não recebe muitas confirmações e, portanto, decide fazer uma pausa e parar completamente de enviar. |
| RoundTripTime | Tempo médio de ida e volta de fluxos de rede de um monitor. Essa métrica, medida em microssegundos, é uma medição de performance. Registra o tempo necessário para que o tráfego seja transmitido de um recurso local para um endereço IP remoto, e para que a resposta associada seja recebida. O tempo é uma média do período de agregação. Os dados podem ser esparsos, pois nem sempre essa métrica é calculada. |
| HealthIndicator | Indicador de integridade da rede (NHI) de um monitor geral. O indicador de integridade da rede (NHI) é um valor que revela uma deficiência na rede da AWS. O valor do NHI será 1 (degradado) se houver um problema de rede da AWS durante um período de tempo especificado. Será definido como 0 (íntegro) se nenhum problema de rede da AWS for detectado. Observar o NHI pode ajudar a priorizar a solução de problemas da workload ou da rede AWS da . |
# Criar alarmes com o Network Flow Monitor
Você pode criar alarmes do Amazon CloudWatch com base nas métricas do Network Flow Monitor, da mesma forma que é possível criar para outras métricas do CloudWatch.
Por exemplo, é possível criar um alarme com base na métrica de `Retransmissions` do Network Flow Monitor e configurá-lo para enviar uma notificação quando a métrica for maior do que o valor escolhido. Configure alarmes para métricas do Network Flow Monitor seguindo as mesmas diretrizes de outras métricas do CloudWatch.
Veja abaixo exemplos de métricas do Network Flow Monitor para as quais é possível escolher criar um alarme:
+ **Retransmissões**
+ **Tempos limite**
+ **RoundTripTime**
Para ver todas as métricas disponíveis do Network Flow Monitor, consulte [Criar um alarme do CloudWatch com base em um limite estático](ConsoleAlarms.md).
O procedimento a seguir fornece um exemplo de configuração de um alarme de **Retransmissões** navegando até a métrica no painel do CloudWatch. Em seguida, você segue as etapas padrão do CloudWatch para criar um alarme com base em um limite escolhido e configurar uma notificação, ou escolher outras opções.
**Para criar um alarme para **Retransmissões** no CloudWatch Metrics**
1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Escolha **Métricas** e, em seguida, escolha **Todas as métricas**.
1. Filtre por Network Flow Monitor escolhendo `AWS/NetworkFlowMonitor`.
1. Escolha **MeasurementSource, MonitorName**.
1. Na lista, selecione **Retransmissões**.
1. Na guia **GraphedMetrics**, em **Ações**, escolha o ícone do sino para criar um alarme com base em um limite estático.
Agora, siga as etapas padrão do CloudWatch para escolher as opções para o alarme. Por exemplo, é possível optar por ser notificado com uma mensagem do Amazon SNS se **Retransmissões** estiver abaixo de um número limite específico. Como alternativa, ou além disso, é possível adicionar o alarme a um painel.
Lembre-se do seguinte:
+ As métricas do Network Flow Monitor são normalmente agregadas e enviadas para o backend do Network Flow Monitor a cada 30 segundos, com uma possível instabilidade de cinco segundos (em outras palavras, 25 a 35 segundos).
+ Quando você criar um alarme com base nas métricas do Network Flow Monitor, certifique-se de levar em conta o pequeno atraso antes da publicação ao definir o período de lookback de um alarme. Recomendamos que você configure os **Períodos de avaliação** com um período de lookback de, no mínimo, 25 minutos.
Para obter mais informações sobre as opções disponíveis quando você cria um alarme do CloudWatch, consulte [Criar um alarme do CloudWatch com base em um limite estático](ConsoleAlarms.md).
# AWS CloudTrail para Network Flow Monitor
O monitoramento de um serviço é uma parte importante da manutenção da confiabilidade, disponibilidade e performance do Network Flow Monitor e de outras soluções da AWS. O *AWS CloudTrail* captura chamadas de API e eventos relacionados feitos pela Conta da AWS, ou em nome dela, e entrega os arquivos de logs para um bucket do Amazon S3 que você especificar. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem no qual as chamadas foram feitas e quando elas ocorreram. Para saber mais, consulte o [Guia do usuário do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Para obter mais informações sobre o registro em log do Network Flow Monitor CloudTrail, consulte [Network Flow Monitor no CloudTrail](logging_cw_api_calls.md#CloudWatch-NetworkFlowMonitor-info-in-ct).
# Solucionar problemas no Network Flow Monitor
Esta seção fornece orientação para solucionar erros com o Network Flow Monitor, incluindo a solução de problemas com a instalação de agentes.
## Solucionar problemas na instalação de agentes do EKS
Ao tentar atualizar o complemento AWS Network Flow Monitor Agent para EKS da v1.0.0 para v1.0.1 no Console de gerenciamento da AWS, a seguinte mensagem de erro pode ser exibida:
"A conta de serviço `aws-network-flow-monitoring-agent-service-account` na configuração de identidade do pod não é compatível com o complemento `aws-network-flow-monitoring-agent`."
Esse erro é retornado porque um recurso foi renomeado. O complemento EKS v1.0.1 altera o nome da conta de serviço de `aws-network-flow-monitoring-agent-service-account` para `aws-network-flow-monitor-agent-service-account`.
Então, se **Não definido** não estiver selecionado no console, a associação de identidade de pods não será redefinida para o novo nome do recurso.
Para resolver esse problema, faça o seguinte ao atualizar para a nova versão usando o console:
1. Em **Perfil do IAM de identidade de pods para conta de serviço**, selecione **Não definido**.
1. Selecione **Nova versão (v1.0.1)**.
1. Selecione **Atualizar**.
1. Escolha **Salvar alterações**.
# Segurança e proteção de dados no Network Flow Monitor
A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de data centers e arquiteturas de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem:** a AWS é responsável pela proteção da infraestrutura que executa os serviços da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores terceirizados testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao Network Flow Monitor, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada quando usar o Network Flow Monitor. Os tópicos a seguir mostram como configurar o Network Flow Monitor para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros serviços da AWS que ajudam a monitorar e proteger os recursos do Network Flow Monitor.
**Topics**
+ [Proteção de dados no Network Flow Monitor](data-protection-nfw.md)
+ [Segurança de infraestrutura no Network Flow Monitor](infrastructure-security-nfw.md)
+ [Gerenciamento de identidade e acesso do Network Flow Monitor](CloudWatch-NetworkFlowMonitor-security-iam.md)
# Proteção de dados no Network Flow Monitor
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Network Flow Monitor. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para saber mais sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso vale para quando você trabalha com o Network Flow Monitor ou outros Serviços da AWS que usam o console, a API, a AWS CLI ou SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Segurança de infraestrutura no Network Flow Monitor
Como um serviço gerenciado, o Network Flow Monitor é protegido pelos procedimentos de segurança da rede global da AWS descritos no whitepaper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Você usa as chamadas de API publicadas da AWS para acessar o Network Flow Monitor por meio da rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
# Gerenciamento de identidade e acesso do Network Flow Monitor
O AWS Identity and Access Management (IAM) é um serviço da AWS service (Serviço da AWS) que ajuda um administrador a controlar com segurança o acesso aos recursos da AWS. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar os recursos do Network Flow Monitor. O IAM é um AWS service (Serviço da AWS) que pode ser usado sem custo adicional.
**Topics**
+ [Como o Network Flow Monitor funciona com o IAM](security_iam_service-with-iam-network-flow-monitor.md)
+ [Políticas gerenciadas pela AWS](security-iam-awsmanpol-network-flow-monitor.md)
+ [Perfis vinculados ao serviço](using-service-linked-roles-network-flow-monitor.md)
# Como o Network Flow Monitor funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Network Flow Monitor, saiba quais recursos do IAM estão disponíveis para uso com o Network Flow Monitor.
Para ver tabelas que mostrem uma visão similar de alto nível sobre como os serviços da AWS funcionam com a maioria dos recursos do IAM, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Recursos do IAM que podem ser usados com o Network Flow Monitor**
| Recurso do IAM | Compatibilidade com o Network Flow Monitor |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies-nfm) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies-nfm) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions-nfm) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources-nfm) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys-nfm) | Sim |
| [ACLs](#security_iam_service-with-iam-acls-nfm) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags-nfm) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds-nfm) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions-nfm) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service-nfm) | Não |
| [Perfis vinculados ao serviço](#security_iam_service-with-iam-roles-service-linked-nfm) | Sim |
## Políticas baseadas em identidade do Network Flow Monitor
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
## Políticas baseadas em recursos no Network Flow Monitor
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico.
## Ações de políticas do Network Flow Monitor
**Compatível com ações de políticas:** sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Network Flow Monitor, consulte as [ações definidas pelo Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Network Flow Monitor usam o seguinte prefixo antes da ação:
```
networkflowmonitor
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"networkflowmonitor:action1",
"networkflowmonitor:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "networkflowmonitor:Describe*"
```
## Recursos de políticas do Network Flow Monitor
**Compatível com recursos de políticas:** sim
Na *Referência de autorização do serviço*, é possível ver as seguintes informações relacionadas ao Network Flow Monitor:
+ Para ver uma lista dos tipos de recursos do Network Flow Monitor e seus ARNs, consulte os [recursos definidos pelo Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-resources-for-iam-policies).
+ Para saber as ações que podem ser especificadas com o ARN de cada recurso, consulte as [ações definidas pelo Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
## Chaves de condição de políticas do Network Flow Monitor
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Network Flow Monitor, consulte as [chaves de condições do Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar uma chave de condição, consulte as [ações definidas pelo Network Flow Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkflowmonitor.html#amazoncloudwatchnetworkflowmonitor-actions-as-permissions).
## ACLs no Network Flow Monitor
**Compatível com ACLs:** não
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Network Flow Monitor
**Compatível com ABAC (tags em políticas):** sim
O Network Flow Monitor tem compatibilidade *parcial* com tags nas políticas. Ele oferece suporte à aplicação de tags a um recurso, os monitores.
Para usar tags com o Network Flow Monitor, use a AWS Command Line Interface ou um AWS SDK. A aplicação de tags do Network Flow Monitor não é compatível com o Console de gerenciamento da AWS.
Para saber mais sobre o uso de tags em políticas em geral, consulte as informações a seguir.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades do IAM e recursos da AWS e, em seguida, projetar políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Network Flow Monitor
**Compatível com credenciais temporárias:** sim
As credenciais temporárias dão acesso de curto prazo aos recursos da AWS e são criadas automaticamente quando você usa a federação ou alterna os perfis. A AWS recomenda a você gerar credenciais temporárias dinamicamente, em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões de entidade principal entre serviços do Network Flow Monitor
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões da entidade principal chamando um AWS service (Serviço da AWS), bem como o AWS service (Serviço da AWS) solicitante, para fazer solicitações a serviços subsequentes. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Network Flow Monitor
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
## Perfil vinculado ao serviço do Network Flow Monitor
**Compatibilidade com perfis vinculados a serviços:** sim
Um perfil vinculado a serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode presumir o perfil de executar uma ação em seu nome. Perfis vinculados ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter mais informações sobre o perfil vinculado ao serviço do Network Flow Monitor, consulte [Perfis vinculados ao serviço do Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
Para obter detalhes sobre a criação ou o gerenciamento de funções vinculadas a serviços em geral na AWS, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Políticas gerenciadas pela AWS do Network Flow Monitor
Uma política gerenciada pela AWS é uma política autônoma criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Não é possível alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para saber mais, consulte [AWSPolíticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Política gerenciada pela AWS: CloudWatchNetworkFlowMonitorServiceRolePolicy
Não é possível anexar a `CloudWatchNetworkFlowMonitorServiceRolePolicy` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor**, que publica os resultados da agregação de telemetria de rede, coletados pelos agentes do Network Flow Monitor, no CloudWatch. Também permite que o serviço use o AWS Organizations para obter informações para cenários de várias contas.
Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.
Para obter mais informações, consulte [Perfis vinculados ao serviço do Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## Política gerenciada pela AWS: CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy
Não é possível anexar a ` CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` às entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Usando essas permissões, bem como a coleta interna de informações de metadados (para eficiência de performance), esse perfil vinculado ao serviço coleta metadados sobre configurações de rede de recursos, como a descrição de tabelas de rotas e gateways, para recursos para os quais esse serviço monitora o tráfego de rede. Esses metadados permitem que o Network Flow Monitor gere snapshots de topologia dos recursos. Quando há degradação da rede, o Network Flow Monitor usa as topologias para fornecer insights sobre a localização dos problemas na rede e ajudar a determinar a atribuição dos problemas.
Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.
Para obter mais informações, consulte [Perfis vinculados ao serviço do Network Flow Monitor](using-service-linked-roles-network-flow-monitor.md).
## Política gerenciada pela AWS: CloudWatchNetworkFlowMonitorAgentPublishPolicy
Você pode usar essa política em perfis do IAM anexados aos recursos de instância do Amazon EC2 e do Amazon EKS para enviar relatórios de telemetria (métricas) para um endpoint do Network Flow Monitor.
Para visualizar as permissões para essa política, consulte [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorAgentPublishPolicy.html) na *Referência de política gerenciada pela AWS*.
## Atualizações dos perfis vinculados ao serviço do Network Flow Monitor
Para conferir as atualizações nas políticas gerenciadas pela AWS dos perfis vinculados ao serviço do Network Flow Monitor, consulte a [tabela de atualizações das políticas gerenciadas pela AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates) do CloudWatch. Você também pode assinar alertas automáticos de RSS na [página de histórico de documentos](DocumentHistory.md) do CloudWatch.
# Perfis vinculados ao serviço do Network Flow Monitor
O Network Flow Monitor usa [perfis do AWS Identity and Access Management (IAM) vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM que é vinculado diretamente ao Network Flow Monitor. O perfil vinculado ao serviço é predefinido pelo Network Flow Monitor e inclui todas as permissões de que o serviço precisa para chamar outros serviços da AWS em seu nome.
O Network Flow Monitor define as permissões dos perfis vinculados ao serviço e, a menos que definido em contrário, apenas o Network Flow Monitor poderá assumir o perfil. As permissões definidas incluem as políticas de confiança e as políticas de permissões, e essas políticas de permissões não podem ser anexadas a nenhuma outra entidade do IAM.
Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Essa restrição protege os recursos do Network Flow Monitor, pois não é possível remover acidentalmente as permissões de acesso a eles.
Para saber mais sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços com **Sim** na coluna **Perfil vinculado ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões do perfil vinculado ao serviço do Network Flow Monitor
O Network Flow Monitor usa os seguintes perfis vinculados ao serviço:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor
O Network Flow Monitor usa o perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor**. Esse perfil permite que o Network Flow Monitor publique métricas de telemetria agregadas do CloudWatch coletadas para o tráfego de rede entre instâncias e entre instâncias e locais da AWS. Também permite que o serviço use o AWS Organizations para obter informações para cenários de várias contas.
Esse perfil vinculado ao serviço usa a política gerenciada `CloudWatchNetworkFlowMonitorServiceRolePolicy`.
Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.
O perfil **AWSServiceRoleForNetworkFlowMonitor** vinculado ao serviço confia no seguinte serviço para assumir o perfil:
+ `networkflowmonitor.amazonaws.com`
### Permissões de perfil vinculado ao serviço de AWSServiceRoleForNetworkFlowMonitor\$1Topology
O Network Flow Monitor usa o perfil vinculado ao serviço denominado **AWSServiceRoleForNetworkFlowMonitor\$1Topology**. Esse perfil permite que o Network Flow Monitor gere um snapshot da topologia dos recursos que você usa com o Network Flow Monitor.
Esse perfil vinculado ao serviço usa a política gerenciada `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`.
Para visualizar as permissões dessa política, consulte [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.
O perfil **AWSServiceRoleForNetworkFlowMonitor\$1Topology** vinculado ao serviço confia no seguinte serviço para assumir o perfil:
+ `topology.networkflowmonitor.amazonaws.com`
## Criar perfil vinculado ao serviço do Network Flow Monitor
Você não precisa criar manualmente perfis vinculados ao serviço para o Network Flow Monitor. Quando você inicializar o Network Flow Monitor pela primeira vez, ele criará as funções **AWSServiceRoleForNetworkFlowMonitor** e **AWSServiceRoleForNetworkFlowMonitor\$1Topology** em seu nome.
Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.
## Editar perfil vinculado ao serviço do Network Flow Monitor
Após o Network Flow Monitor criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil porque várias entidades poderão referenciá-lo. Porém, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir perfil vinculado ao serviço do Network Flow Monitor
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Porém, você deve limpar os recursos do perfil vinculado ao serviço antes de poder excluí-lo manualmente.
**nota**
Se o serviço do Network Flow Monitor estiver usando um perfil quando você tentar excluí-lo, a exclusão poderá falhar. Se isso acontecer, aguarde alguns minutos e tente novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil **AWSServiceRoleForNetworkFlowMonitor** ou o **AWSServiceRoleForNetworkFlowMonitor\$1Topology** vinculado a serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Atualizações do perfil vinculado ao serviço do Network Flow Monitor
Para conferir as atualizações de `CloudWatchNetworkFlowMonitorServiceRolePolicy` ou `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`, as políticas gerenciadas pela AWS dos perfis vinculados ao serviço do Network Flow Monitor, consulte as [atualizações do CloudFront para as políticas gerenciadas da AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Para obter alertas automáticos sobre alterações em políticas gerenciadas, inscreva-se no feed RSS na página [Histórico de documentos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html) do CloudWatch.